Dutchies, probably new phishing

[FanJ]

In Dutch and in English:

English:

I've just seen an email in my Mailwasher Pro.
It "looks" like it is coming from a Dutch bank ABNAmro.
The mail is in Dutch.
It is about a new SSL3 protocol.
Attached seems to be a file ms_ssl3_upd.exe
This can't be true.
I haven't yet opened it.

Here is the text of the email in Dutch:

===

Geachte gebruiker!

Onze bank houdt regelmatig toezicht over de laatste vorderingen ter tegenstrijding van netpiraten en treft steeds preventiemaatregelen om zijn klanten tegen opscheppers te beschermen. Een groep vakmensen op het gebied van computerveiligheid is te weten gekomen van een grove fout in het protocol SSL, die door een hacker kan worden gebruikt om toegang te krijgen tot uw bankrekening.

Vanaf morgen wordt er in het toegangsysteem tot klantenrekeningen een nieuw protocol SSL3 in gebruik genomen, dat op het huidige moment als het meest veilig wordt beschouwd. De klanten die gebruik maken van Internet-browsers zonder SSL3 kunnen dus geen toegang krijgen tot hun bankrekeningen via het Intenet.

U dient uw browser te vernieuwen. Onze vakmensen hebben de vernieuwingen voor alle browsertypes uitgewerkt. De vernieuwing is aan deze brief bijgelegd. U hoeft de programma-module gewoon te starten en de vernieuwing wordt automatisch opgeslagen.

De programmamodule ms_ssl3_upd.exe is bijgelegd.

Bedankt voor uw ondersteuning en wij hopen verder met u samen te werken.

===

[lucas1985]

Save that file to disk (don´t execute it), upload it to VirusTotal and Jotti.
Then, send it compressed and password-protected to AV companies with a short description in the body message.

[Pieter_Arntz]

I got that too.
The attachment:
875.exe - infected by Trojan-Spy.Win32.Banker.cmb

I posted in the Dutch section at CC:
http://www.castlecops.com/postlite183420-.html

[gerardwil]

I guess to follow soon one from Barclays
(by the way I get warned of this via my handy, but a little late. I read about it 24 hours before my handy warning)

Gerard

[Old Monk]

Quote:

Originally Posted by gerardwil

I guess to follow soon one from Barclays
(by the way I get warned of this via my handy, but a little late. I read about it 24 hours before my handy warning)

Gerard

Hi

I got a phish Barcays mail last week at work. Forwarded it to Barclays security. Pretty amateurish one though.

[gerardwil]

Hi Jan (FanJ),

I am sure you have noticed that is pretty poor Dutch language.

Gerard

[Pieter_Arntz]

Yeah, makes you wonder how they ended up using:

"protecting our customers against braggers"

[FanJ]

Hi Lucas,

Thanks; that was exactly what I was planning to do ( ), but other things got in the way before I had the opportunity to look further at it.

Hoi Pieter en Gerard,
Sorry dat het even duurde voordat ik er verder naar kon gaan kijken.
Bedankt voor jullie berichten !
Pieter, het wordt echt tijd dat ik me daar ook eens laat zien
Begrijp ik dat het niet zoveel nut meer heeft om het bestand op te sturen naar de diverse AV/AT/AS firma's?
LOL Gerard, zoiets dacht ik ook meteen.

Groetjes, Jan.

[Pieter_Arntz]

The file was made available to the AV's FanJ.
dvk01 helped me do that, since I was at work when I got that mail.

Groetjes,

Pieter

[FanJ]

OK, thanks a lot Pieter (and Derek) !

[gerardwil]

Quote:

Originally Posted by FanJ

Begrijp ik dat het niet zoveel nut meer heeft om het bestand op te sturen naar de diverse AV/AT/AS firma's?
Groetjes, Jan.

I guess it is well known now everywhere
Greetz,

Gerard

[FanJ]

Hi,

In the meanwhile I understood that today a warning was broadcasted here in Holland on the radio.

The filename of the nasty that I got, is: 599.exe

~ Online virus scan results removed. Please send any samples to the respective antivirus vendors. Menorcaman ~