Il contenuto della mail e' :
Uno dei seguenti Subject:
Balance report
Credit report
Credit statement
deferred tax
Financial report
Income points
Income report
Profit or loss reports
Statement of cash flows
Statement of retained earnings
Il corpo della mail contiene invece uno dei seguenti testi
Please have a look at attached document.
Please read the attached document.
Please review your Financial report.
Please review your Income points.
Please review your Income report.
Review the attached file for details.
Review your Balance report.
Review your deferred tax.
Review your Profit or loss reports.
Review your Statement of cash flows.
Your document is attached.
Per quanto si riferisce all'Attachment possiamo avere:
debt.2007.10.29. seguito da sei numeri . pdf es. (debt.2007.10.29.2663995.pdf)
overdraft.2007.10.29.seguito da sei numeri.pdf es. (overdraft.2007.10.29.6991633.pdf)
report.2007.10.29. seguito da sei numeri .pdf es. (report.2007.10.29.5848849.pdf)
Le dimensioni dei files PDF sono di circa 4.7KB,
Il programma antivirus Kaspersky identifica il file pdf come Exploit.Win32.PDF-URI.l.
Tutti questi file se aperti in versioni non patchate di Adobe Reader, scaricherebbero un file eseguibile da un server ftp remoto.
Ho esgutio un whois dell'IP del server remoto e questo e' il risultato:
Network Information for 81.95.146.181
% Information related to '81.95.144.0 - 81.95.147.255'
inetnum: 81.95.144.0 - 81.95.147.255
netname: RBNET
descr: RBusiness Network
Edgar
Nessun commento:
Posta un commento