Anti Rootkit

In the past few months, Email-Worm.Win32.Zhelatin always masquerades as “ecard.exe” in the lots of spams.

Since last night, the file name has been changed. The latest file name is “msdataaccess.exe”. Everyone should be careful.

We received a Citibank Deutschland phishing email today.If you are Germany people,please be careful.
The link in the mail will point to the phishing web:

http://cipehb14.cdg.citib.ank.de.pers.hk/HomeBankingSecure/index.html?LANG=4&LANGNAME=German_(Germany)

Block the url of this phishing web please!

We’ve received numurous spams about the subject of Internet Explorer 7 Downloads today. These spams look like from Microsoft, and a file “IE7.0.exe” will be downloaded. This is not real Internet Explorer 7, it’s Virus.Win32.Grum.a. If you meet the same spam, please delete it at once.

We have received some different downloaded urls, they are include:

http://cincinnatifeet.com/<removed>.exe
http://cincinnatifeet.com/<removed>.jpg
http://jpcommunications.net/images/<removed>.exe
http://jpcommunications.net/images/<removed>.jpg
http://tvz-archive.com/<removed>.exe
http://tvz-archive.com/<removed>.jpg
http://66.98.149.237/<removed>.jpg
http://arrestingphotography.com/<removed>.exe
http://arrestingphotography.com/<removed>.jpg
http://manualshop.com.ar/<removed>.jpg
http://abnoba.net/<removed>.exe
http://abnoba.net/<removed>.jpg
http://nottyweb.com/images/<removed>.jpg
http://gc-music.com/<removed>.exe
http://cyberbutt.com/<removed>.jpg
http://kcmancandy.com/<removed>.jpg

Some of them has been closed now, some are still active. We hope everyone can block these domains.

The size is 33,792 bytes, packed with TLPack, MD5 hash is 0423541c811fd0dba2a6e804320dd613
Upon execution, it copy itself as the following path:

%temp%\winlogon.exe

Adds the following auto start registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Firewall auto setup = %temp%\winlogon.exe

We recevied a phishing email about PayPal account update today.We warn that PayPal users should be careful of this kind of phishing email.

The phishing email is like the following:

Subject: Important : Update your account urgently!
Body:
Dear PayPal ? valued member,
It has come to our attention that your PayPal Billing
Information records are out of date. That requires you to update the Billing
Information.
Failure to update your records will result in account termination.:
Please update your records in maximum 24 hours. Once you have updated them, your
PayPal session will not be interrupted and will continue as normal. Failure to
update them will result in cancellation of service, Terms of Service (TOS)
violations or future billing problems. Please follow the link below and update
your account information:
https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-run

Update your records is a security measure that will ensure that you
are the only person with access to the account.

Thanks for your patience as we work together to protect your account.

Sincerely,
PayPal
—————————————————————-
Please do not reply to this e-mail. Mail sent to this address cannot be
answered. For assistance, log in to your PayPal account and choose the
"Help" link in the header of any page.

PayPal Email ID PP321

If someone clicks the link in the mail,you will visit a web the same as PayPal web like the following:

You can see the url is not real url of PayPal.It’s phishing web.We advise all of friends should be blocked this url.

We just received a new variant of Trojan-downloader.win32.nurech (aka Yabe). It’s spreading via spam in Germany now. It is masquerated from cleverbridge.com, and masquerated as a confirmation order of “Avira AntiVir Products”. German users should be careful of these spams.

These spams are as the following:

From: cleverbridge / Avira GmbH. tech@cleverbridge.com
Subject: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Body:
Vielen Dank für Ihre Bestellung bei cleverbridge.
cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

Ihre cleverbridge Referenznummer: 595169
Zahlungsinformationen
Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von “www.avira.com” erscheinen wird.
Ihre Produkte
Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner “Eigene Dateien”
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.
Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
Avira AntiVir PersonalEdition Premium herunterladen
Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner “Eigene Dateien”. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
Installationsanleitung anzeigen
WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
1 Zuwendung an die Auerbach Stiftung

Ihre Rechnung
Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:

Ihre Rechnung
Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den “Adobe Acrobat Reader”, um es öffen zu können. Sollte der “Adobe Acrobat Reader” nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

Fragen oder Anregungen?
Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.

Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html
Mit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam

Attachment: 595169.zip

In the .zip file, there is a file “HBEDV.KEY.exe“, 2,560 bytes, MD5 hash is f7a109ae6e620ed8d195f085b14f01cb, Kaspersky detects it as Trojan-Downloader.Win32.Nurech.bh.
This trojan will download a variant of Trojan-Spy.Win32.BZUB.