Cisco Security Intelligence Operations has detected significant activity related to German-language spam e-mail messages that claim to contain purchase details for two mobile phones for the recipient. The text in the e-mail message attempts to convince the recipient to open the .zip attachment and view the contract details, including billing information. However, the .zip attachment contains a malicious .com file that, when executed, attempts to infect the system with malicious code.
E-mail messages that are related to this threat (RuleID4255) may contain the following files:
Einzelverbindungsnachweis.zip
Einzelverbindungsnachweis 06.2012 .com
The size of the Einzelverbindungsnachweis 06.2012 .com file in the Einzelverbindungsnachweis.zip attachment is unavailable. The MD5 checksum, which is a unique identifier of the executable, is also unavailable.
The following text is a sample of the e-mail message that is associated with this threat outbreak:
Subject: DE DE deine DebitelE-Plus Rechnung
Message Body:
Sehr geehrter DE DE,
diese Emailadresse wurde bei der Erhrung von 3 Mobilcom Mobilfunk Vertr䧥n angegeben. Die Simkarten wurden bei der Vertragsunterzeichnung zu Verfgung gestellt. Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenso nicht reagiert.
Zwischensumme Mai: 844,49 Euro
Wir bitten Sie, den ausstehenden Rechnungsbetrag in den n䣨sten 5 Tagen zu berweisen.
Die Handys sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Telefonen (iPhone 4S) gemacht werden soll.
In beigefgter Datei senden wir Ihnen die Vertragskopie, die Ausweis-Kopie des Vertrages, Rechnungen so wie den Einzelverbindungsnachweis.
Teilen Sie uns bitte mit an welche Adresse die Telefone versendet werden sollen.
Mit freundlichen
Grߥn
Kr䭥r GmbH
Horner Stieg 55
Potsdam
Telefon: (0900) 047 3576938
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE046914153
Gesch䦴sfuehrer: Matilda Busch
Cisco Security Intelligence Operations analysts examine real-world e-mail traffic data that is collected from over 100,000 contributing organizations worldwide. This data helps provide a range of information about and analysis of global e-mail security threats and trends. Cisco will continue to monitor this threat and automatically adapt IronPort systems to protect customers. This report will be updated if there are significant changes or if the risk to end users increases.
Cisco IronPort Virus Outbreak Filters protect customers during the critical period between the first exploit of a virus outbreak and the release of vendor antivirus signatures. E-mail that is managed by Cisco and end users who are protected by Cisco IronPort web security appliances will not be impacted by these attacks. Cisco IronPort appliances are automatically updated to prevent both spam e-mail and hostile web URLs from being passed to the end user.
Related Links
Cisco Security Intelligence Operations
Cisco Threat Operations Center
Cisco SenderBase Security Network
