Monthly Archive for October, 2007

abuse.ch Blacklist

Published on October 19, 2007 in Monitoring & Reporting. 0 Comments

Ab heute steht meine Private Blacklist für alle frei zu Verfügung: http://dnsbl.abuse.ch
Hier eine kleine Liste der verschiedenen Zonen:

In der Blacklist dnsbl.abuse.ch sind IP-Adressen aufgelistet, von welche ich Spam-Mails in meinen Honeypots erhalten habe. Zurzeit sind in dieser Blacklist rund 2558 IP-Adressen gelisted.

In der Blacklist drone.abuse.ch sind IP-Adressen aufgelistet, welche Mitglied in einem Fast-Flux Botnet sind. Zurzeit sind in dieser Blacklist rund 3554 IP-Adressen gelisted.

In der Blacklist storm.abuse.ch sind IP-Adressen aufgelistet, welche Mitgliede in dem Storm Botnet sind. Zurzeit sind in dieser Blacklist rund 7219 IP-Adressen gelisted.

Ihr könnt auch alle Blacklists gleichzeitig Abfragen: In der Blacklist combined.abuse.ch sind alle drei Zonen zusammengefasst. Die verschiedenen Blacklists werden natürlich stündlich automatisch aktualisiert.

Ihr habt auch die Möglichkeit, Einträge in den Blacklists über ein Web-Interface zu überprüfen: dnsbl.abuse.ch/check.php.

UPDATE 23.10.2007:

Die Zahl der Einträge in den verschiedenen Zonen (vor allem in der Storm-Blacklist) ist rasant gestiegen:

dnsbl.abuse.ch (Spam Blacklist): ca. 3’000 Einträge
storm.abuse.ch (Storm-Botnet Blacklist): ca. 16’000 Einträge
drone.abuse.ch (Fast-Flux Botnet): ca. 8’000 Einträge

Somit sind in der Zusammengefassten Blacklist combined.abuse.ch rund 28’000 IP-Adressen geblacklisted!

Spy-Agent.bv.gen (McAfee)

Published on October 14, 2007 in Malware & Virus Analysing. 1 Comment

Ich habe heute folgendes Mail in einer meiner Honeypot Email-Adressen bekommen:

Return-Path:
Delivered-To: dau@rbl.abuse.ch
Received: from host175-188-static.23-87-b.business.telecomitalia.it (host175-188-static.23-87-b.business.telecomitalia.it [87.23.188.175])
by tor.abuse.ch (tor.abuse.ch) with ESMTP id A4F505AC0E1
for ; Sun, 14 Oct 2007 18:06:56 +0200 (CEST)
Received: from [87.23.188.175] by zmucdmz15.wacker.com; , 14 Oct 2007 10:16:58 +0100
Message-ID: <01c80e4b$5a6e4010$afbc1757@gratia.danby>
From: “Cassandra Blair”
To:
Subject: Something hot
Date: , 14 Oct 2007 12:27:57 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0006_01C80E5D.A6C27B90″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4927.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4927.1200

This is a multi-part message in MIME format.

——=_NextPart_000_0006_01C80E5D.A6C27B90
Content-Type: text/plain;
charset=”windows-1250″
Content-Transfer-Encoding: 7bit

Hello, man!

Nude Paris Hilton fucks Bill Gates with big black dildo! See in your attachment!

Bye.

release Monday play is a simple for looking for discover “I truly believe about creating “super children” contribute to has many benefits. Academy super parents, I believe this message stress for children such as blocks and dolls, adjust to school settings, the contribute to depression for some of

——=_NextPart_000_0006_01C80E5D.A6C27B90
Content-Type: application/zip;
name=”ha.zip”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”ha.zip”

UEsDBBQAAAAIAG9KPDdBiGEsqEkAAABSAAAHAAAAc2hlLmV4Ze28d1hTS/cwGjAgItYTkIOoqNiO
eg5HZ6cTEkggQKiG0EI19CJqEoo0MRQpNgIGR[.......]

Der Anhang “ha.zip” ist laut McAfee mit dem Virus “Spy-Agent.bv.gen” infiziert. Aus Langweile habe ich das File auf meinem Labor-Pc ausgeführt. Ich werde euch nun kurz zeigen was das “ding” mit eurem Computer anstellt wenn ihr die Datei ausführt.

Nach dem Ausführen der Datei habe ich den Netzwerk Verkehr überwacht und das folgende herausgefunden:

Als erstes Kontaktiert der Virus die IP-Adresse“208.66.194.241″ welcher der McColo Hosting Solutions in Florida (USA) gehört. Dabei generiert der Viren verseuchte PC einen Has-Key und übermittelt diesen per einem HTTP GET Request an die oben genannte IP-Adresse:

TCP From: 212.x.x.x To: 208.66.194.241 To Port: 80 Data:
/s_60_3232235783?m=3&a=1&hdd=20202020202020[....]

Der Server gibt danach eine Konfigurationsdatei zurück im welche die zu erledigenden Task stehen.
In meinem falle wurde mein PC wieder einmal zu eimem Spam-Bot umgewandelt, welcher als erstes folgende Mail-Server unter Beschuss nahm:

msx.mail.ru
gmail-smtp-in.1.google.com
gsmtp183.google.com
in1.smtp.messagingengine.com
mail7.digitalwaves.co.nz
mail.upmen.com.cn

Danach legt der Virus damit los, sich zu vermehren:

220 mail.upmen.com.cn (IMail 9.10 37407-1) NT-ESMTP Server X1
EHLO static-212-xxx-xx-xxx.xxx.xxxx.ch
MAIL FROM:
250 2.1.0 … Sender ok
RCPT TO:
250 OK
DATA
354 Start mail input; end with .

Received: from [212.xxx.xxx.xxx] by mail2.vectren.com; , 14 Oct 2007 12:27:54 +0100
Message-ID: <01c80e5d$a4f8b810$b21365d4@wallace.dalzell>
From: “Julianne Kearney”
To:
Subject: Something hot
Date: , 14 Oct 2007 12:27:54 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0006_01C80E5D.A4F8B810″
X-Priority: 3
boundary=”—-=_NextPart_000_0006_01C80E5D.A4F8B810″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200

This is a multi-part message in MIME format.

——=_NextPart_000_0006_01C80E5D.A4F8B810
Content-Type: text/plain;
charset=”Windows-1252″
Content-Transfer-Encoding: 7bit

Good afternoon, dear Friend!

Nude Avril Lavigne fucks Bill Gates with big black dildo! Watch in your attachment!

Bye.

Numerous studies for many children, these things, will and lots of own thing,” for your kids if you a pediatrician at The Children’s Hospital said Gervasio, Gervasio said her discover load their stress for children play is a simple when they can

——=_NextPart_000_0006_01C80E5D.A4F8B810
Content-Type: application/zip;
name=”ha.zip”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”ha.zip”

UEsDBBQAAAAIAG9KPDdBiGEsqEkAAABSAAAHAAAAc2hlLmV4Ze28d1hTS/cwGjAgItYTkIOoqNiO
eg5HZ6cTEkggQKiG0EI19CJqEoo0MRQpNgIGREUBRQ56VBIIvRiKSlMDIqKiAqKiooYiInwJnv[....]
QUIT

Somit versendet sich der Virus selbst weiter.

UPDATE 12.11.07

Der Virus kann sehr wohl auch etwas “Kaputt” machen, da der verseuchte PC sich bei jedem Neustart beim Server Meldet und neue Tasks anfordert. Diese Tasks können irgendetwas beinhalten (z.B DDoS Angriffe auf fremde Rechner, Umkonfiguration zu einem Spam- oder Fast Flux-Bot, Hosten von Spammer und Phishing Seiten, Formatierung des PC’s etc. Alles ist möglich).
economics-recluse
Scene
Urgent!