MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email where the body of the email message with Document.zip inside an URL that leads to malware.
The email is send from the spoofed addresses on the ovh.net domain. Some examples of the email body:
Goedendag,
U heeft uitgegeven factuur # 163226-372456 van 14.02.2012.
Het moet worden betaald voor 05.02.2011 17:00
hxxp://www.agenziaprontocasa.it/FactuurDoc/Document.zip
Het antwoord op uw vraag over het profiel op de website van 30.11.2011
hxxp://www.ic-rosastampa.it/FactuurDoc/Document.zip?id_47501331UseRmail@**********.nl
Goedendag, 434c8b22.4090603.
Wij vestigen uw aandacht op het feit dat u een onbetaalde rekening hebben.
Details:
hxxp://www.dreamzz.eu/DocumentDownloadPdf/Document.zip?id_5237825UseR434c8b22.4090603@**********.nl Tel./Fax.: +31 (40) 308-97-67
Hallo.
Wij vestigen uw aandacht op het feit dat u een onbetaalde rekening hebben.
Details:
hxxp://www.agenziaprontocasa.it/DocumentDownloadPdf/Document.zip?id_46546800UseRk.*****@**********.nl
Goedendag, ******@************.nl. U heeft uitgegeven factuur # 974189-471431 van 14.02.2012.
Het moet worden betaald voor 01.21.2011 17:00
hxxp://www.agenziaprontocasa.it/DocumentDownloadPdf/Document.zip
The downloaded Document.zip contains the 250 kB large file Document.Docx__[many_Underscores]__.exe.
The trojan is known as PWS-Zbot.gen.ru (MacAfee), a variant of Win32/Kryptik.AASL (NOD32), Trojan.Zbot (Symantec).
At the time of writing, only 4 of the 43 AV engines did detect the trojan at Virus Total.
Virus Total permalink and SHA256: ****.
Similar threats:
Order confirmation by email contains download URL that leads to malware
Email with new price list contains an URL that downloads a trojan
