Monthly Archive for December, 2007

DNS Zonetransfer (AXFR) nato.int

Published on December 30, 2007 in Security Advisory. 0 Comments Tags: , , , .

Peinlich, aber ein für die domain nato.int zuständiger DNS-Server (ns1.cs.ucl.ac.uk) erlaubt einen vollständigen Zonentransfer (AXFR).

Nameservers for this domain:

—————————————-

ns1.drenet.dnd.ca. 56563 IN A 131.136.242.3
ns.namsa.nato.int. 244 IN A 208.161.248.15
ns.namsa.nato.int. 244 IN A 193.168.11.15
ns.namsa.nato.int. 244 IN A 193.168.15.15
max.nra.nato.int. 3544 IN A 192.101.252.69
relay.mod.uk. 65811 IN A 192.5.29.50
maxima.nra.nato.int. 3544 IN A 193.110.130.68
ns.saclantc.nato.int. 82032 IN A 192.106.197.1
ns.nc3a.nato.int. 3544 IN A 195.169.116.6
ns1.cs.ucl.ac.uk. 46361 IN A 128.16.5.32

——————————————

Trying Zonetransfers

——————————————

trying zonetransfer for .nato.int on ns1.cs.ucl.ac.uk

Das Zone-File ist riesig, deshalb hier ein kleiner Ausschnitt:

nato.int. 3600 IN SOA maximiliaan.nra.nato.int. hostmaster.ncsa.nato.int. (
2007122106 ; Serial
10800 ; Refresh
3600 ; Retry
7776000 ; Expire
900 ) ; Minimum TTL
nato.int. 3600 IN NS ns.nc3a.nato.int.
ns.nc3a.nato.int. 3600 IN A 195.169.116.6
nato.int. 3600 IN NS ns.namsa.nato.int.
ns.namsa.nato.int. 3600 IN A 193.168.11.15
ns.namsa.nato.int. 3600 IN A 193.168.15.15
ns.namsa.nato.int. 3600 IN A 208.161.248.15
nato.int. 3600 IN NS ns.saclantc.nato.int.
ns.saclantc.nato.int. 3600 IN A 192.106.197.1
nato.int. 3600 IN NS max.nra.nato.int.
nato.int. 3600 IN NS ns1.cs.ucl.ac.uk.
nato.int. 3600 IN NS ns1.drenet.dnd.ca.
nato.int. 3600 IN NS relay.mod.uk.
nato.int. 3600 IN NS maxima.nra.nato.int.
nato.int. 3600 IN MX 10 mail.relay.nato.int.
nato.int. 3600 IN MX 30 mail1.relay.nato.int.
nclb.nato.int. 3600 IN NS dns.jhlb.nato.int.
dns.jhlb.nato.int. 3600 IN A 195.23.241.87
nclb.nato.int. 3600 IN NS dns.nclb.nato.int.
dns.nclb.nato.int. 3600 IN A 195.23.241.87
nclb.nato.int. 3600 IN NS dns.jc-lisb.nato.int.
dns.jc-lisb.nato.int. 3600 IN A 195.23.241.87
nciz.nato.int. 3600 IN NS ns1.nciz.nato.int.
ns1.nciz.nato.int. 3600 IN A 212.175.206.69
nciz.nato.int. 3600 IN NS ns2.nciz.nato.int.
ns2.nciz.nato.int. 3600 IN A 212.175.206.68
nahema.nato.int. 86400 IN MX 10 mail.nahema.nato.int.
mail.nahema.nato.int. 86400 IN A 83.206.112.137
naa.nato.int. 86400 IN CNAME nato.nato.int.
ags3.nato.int. 3600 IN NS ns.nc3a.nato.int.
ns.nc3a.nato.int. 3600 IN A 195.169.116.6
sce.nato.int. 86400 IN MX 10 mail.relay.nato.int.
sce.nato.int. 86400 IN MX 30 mail1.relay.nato.int.
mlo-belgrade.nato.int. 3600 IN MX 10 mail.mlo-belgrade.nato.int.
mail.mlo-belgrade.nato.int. 3600 IN A 212.200.249.218
arrc.nato.int. 86400 IN MX 10 mail.arrc.nato.int.
mail.arrc.nato.int. 86400 IN A 66.232.130.123
www.arrc.nato.int. 86400 IN A 66.232.130.12
cnrcsa.nato.int. 3600 IN NS ns1.budgettopserver.nl.

Neue version von Trojan.Win32.Pakes im Umlauf

Published on December 24, 2007 in Malware & Virus Analysing. 0 Comments Tags: , , , , , .

Heute habe ich folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Horace Parr”
To: marco@rbl.abuse.ch
Subject: Something hot

Helo, buddy!

Hey, Did you see this????? Angelina Jolie played in hardcore porn!!
Watch in attachment…

Good Bye.

Attachement: hard.zip

Im Attachement hard.zip ist folgende Datei zu finden:

File name: hard.scr
File size: 20992 bytes
MD5: 601392bea264054d2a5b02ef79a8d4ab
SHA1: 452360840181742de7d1e5f52958bee45adf1260

Das Attachment ist mit dem Virus Trojan-Dropper.Win32.Agent.dgf (F-Secure) infiziert. Eine frühere Version des Trojaners habe ich am 11. Dezember 2007 bereits einmal analysiert: Post vom 1. Dezember 2007 “Trojan.Win32.Pakes.btf (F-Secure) im Umlauf”

Beim ausführen der Datei hard.scr lädt der Virus zusätzliche Malware nach (Email-Worm.Win32.Agent.bc – F-Secure):

GET 67.18.114.98/*hashkey*
GET 208.66.195.71/*hashkey*

Des weiteren kontaktiert der Virus (wie auch der Vorgänger) die IP-Adresse 216.195.61.87 auf Port 2581
economics-recluse
Scene
Urgent!