Achtung neuer Crypto Locker im Anflug

Robert Schetterer rs at sys4.de
Mi Jun 29 17:33:37 CEST 2016 

Am 29.06.2016 um 10:34 schrieb Patrick Ben Koetter:
> Er tarnt sich als DHL Paketverfolgung:


Achtung kein Allheilmittel, diese sieve regel hier, rejected kleine zip
Anhaenge mit whitelist fuer einen Empfaenger ( dmarc reports kommen auch
oft als kleine zip im Anhang ), kann man auch global verwenden,

require ["reject","mime","foreverypart"]; if address :all :comparator
"i;ascii-casemap" :contains ["To", "Cc", "Bcc", "Resent-to"]
"postmaster at exmaple.com" { keep; stop; } foreverypart { if allof (
header :mime :param "filename" :matches ["Content-Type",
"Content-Disposition"] ["*.zip", "*.tar.gz" ], size :under 100k ) {
reject "small compressed attachments rejected by filter"; stop; } }


> 
> ----
> From: DHL Paketverfolgung <tracking at dhl.de>
> Subject: DHL-Paket-Lieferung fehlgeschlagen
> Reply-To: <DHL Paketverfolgung <tracking at dhl.de>>
> 
> Sehr geehrter Kunde,
> 
> die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.
> Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
> 
> Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
> 
> Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
> 
> Mit freundlichen Grüßen,
> 
> DHL EXPRESS
> Deutsche Post AG
> Charles-de-Gaulle-Straße 20
> PLZ/ Ort: 53113 Bonn
> ----
> 
> 
> Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:
> 
> 
> unzip -t Desktop/Sendung_056392024191.zip 
> Archive:  Desktop/Sendung_056392024191.zip
>     testing: Sendungsetikett_056392024191.pdf.js.js   OK
>     testing: Sendungsinformationen_056392024191.pdf.js.js   OK
> No errors detected in compressed data of Desktop/Sendung_056392024191.zip.
> 
> 
> In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code.
> Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der
> Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann
> aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner
> unter Kontrolle bringt.
> 
> 
> Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien
> handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.
> 
> p at rick
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users