German email with subject “Bestellnummer 63617385517” contains trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Bestellnummer 63617385517” (number will vary).

This email is send from a spoofed address and has the following body in the German language:

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen!
Ihre Bestellung #63617385517 wird 07.06.2014 verschickt werden.

Datum: 02.06.2014 12:47:45
Summe: €105.18
Bezahlungstyp: Kreditkarte
Transaktionsnummer: 2B6D237A2D66A51D47

Die Gesamtrechnung werden Sie in der Datei auftrag284.zip finden

Mit freundlichen Grüßen,
Verkaufsabteilung
Dile Tietze

The attached ZIP file has the name auftrag284.zip and contains the 77 kB large file buchung4946.exe.

The trojan is known as Trojan.Agent.BDHD , Win32:Malware-ge, Win32/TrojanDownloader.Elenoocka.A, Trojan-Spy.Zbot or Troj/Agent-AHII.

At the time of writing, 13 of the 52 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: 0774f43c53c036fa252991d1f24cce70a8d19fc1720d00780d8356b44a69c93c.

One thought on “German email with subject “Bestellnummer 63617385517” contains trojan

Comments are closed.