Monthly Archive for March, 2008

Page 2 of 3

“Nachricht über eine radioaktive Kontamination in der Schweiz” zum zweiten

Published on March 13, 2008 in Malware & Virus Analysing. 5 Comments Tags: , , , , .

Schon über drei Monate ist es her, als ich ein Post über einen Virus gemacht habe, welcher sich unter dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” verbreitet hat.

Scheinbar war die Erfolgsquote so hoch, dass die Virenautoren heute kurz nach dem Mittag einen zweiten Anlauf gestartet haben:

From: “Gordon Dove”
To: robert@rbl.abuse.ch
Subject: Nachrichtüber eine radioaktive Kontaminwation in der Schweiz

Auf Internetforums erschienen Nachrichten über eine gewaltige Explosion auf dem Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 12. März etwa um 15 Uhr stattgefunden hatte.

Im Einzelnen machte eine Bürgerin dieser Stadt einen telefonischen Anruf und teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde, damit man keinen Menschen anrufen könnte.

Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe,
und dabei eine sehr mächtige, und dass eine Strahlungswolke erstrecke sich jetzt.

In privaten Gesprächen wird diese Information von Amtstägern inoffiziell bestätigt.

Ausserdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosions folgen und Körper der Beschädigten dargestellt sind.

LiveJournal Blog: http://www.financial-expret.cn/aes/

Der Mail-Text hat sich bis auf das Datum wo der Vorfall passiert sein soll nicht geändert. Der Text möchte den User auf ein “LiveJournal Blog” unter der URL www.financial-expret.cn/aes verweisen. Die Webseite ist die selbe wie vor drei Monaten, jedoch wird Sie auf einem anderen Server (202.44.53.30 – World Internetwork Co. Ltd Thailand.) unter einer anderen URL betrieben.
Besucht man die Webseite, wird der User aufgefordert ein Plug-In zu installieren um die Fotos der Ortsbewohner auf der Webseite anschauen zu können:

ps_radioaktivitaet_genf_13-mar1.jpg

Die Datei “iPIX-install.exe” enthält einen derzeit noch unbekannten Virus und wird nur durch 8 von 31 Antiviren-Produkte heuristisch erkannt (z.B. suspicious:W32/Malware!Gemini – F-Secure).

Filename: iPIX-install.exe
URL: http://www.financial-expret.cn/aes/iPIX-install.exe
File size: 53803 bytes
MD5: ed709375fd36dca13cfc078d6fa845c3
SHA1: 84c2f3bd9ae17b8a646dad5bf6745e4ccb0a79ef

Im Unterschied zum letzten mal, verwendet die Domain financial-expret.cn keine Fast-Flux Technik.

Es wird empfohlen, folgende Domain / IP-Adresse zu blockieren:

202.44.53.30
static-53-30.worldinternetworkcorporation.com
financial-expret.cn

UPDATE 16:55 GMT +1

Nach dem ausführen der EXE-Datei stellt die Malware eine Verbindung zur Domain freelifenet.cn (203.211.131.242 – AXGN-SG, Singapur) über Port 80 (HTTP) her und holt sich dort eine Konfigurations-Datei mit dem Namen “file.bin” und lädt weitere Schadens-Software nach:

http://freelifenet.cn/trash/ch/file.bin (Konfig)
http://freelifenet.cn/trash/ch/file.exe (Malware)

Es gilt also auch den Zugriff zu dieser Domain resp. IP-Adresse zu blockieren:

freelifenet.cn
203.211.131.242

UPDATE 19:57 GMT +1

Der Server (202.44.53.30) auf welchem die Webseite financial-expret.cn gehosted wird, scheint bereits eine bekannte Quelle von “Kriminellen Energien” zu sein:

Die IP-Adresse ist bereits seit dem 1. März 2008 in der Spamhaus Blocklist (SBL) mit folgendem Kommentar geblacklisted:

Money-mule recruitment site, looking for human “mules” to help criminals launder their spam, phishing and carding monies.
All hosting on these addresses appears to be controlled by Russian cybercriminals.

Auf deutsch: Die IP-Adresse wird scheinbar durch Russische Kriminelle kontrolliert und für Spam, Phishing und das rekrutieren von Money Mule verwendet. Das ist jedoch noch lange nicht alles; Die für die Domain financial-expret.cn und freelifenet.cn eingetragenen Nameserver werden auf dem selben Server gehosted wie die Webseite financial-expret.cn selber:

;; QUESTION SECTION:
;financial-expret.cn. IN A

;; ANSWER SECTION:
financial-expret.cn. 14400 IN A 202.44.53.30

;; AUTHORITY SECTION:
financial-expret.cn. 12151 IN NS ns1.domaindns.biz.
financial-expret.cn. 12151 IN NS ns2.domaindns.biz.

;; ADDITIONAL SECTION:
ns1.domaindns.biz. 9822 IN A 202.44.53.30
ns2.domaindns.biz. 9822 IN A 202.44.53.30

Im Klartext fungiert der Server also als Webserver und Nameserver zugleich. Laut uribl.com dient der Nameserver derzeit für drei weitere Domains welche Replica Mobile Phones umwerben und ebenfalls auf dem selben Server gehosted werden.
Versucht man per SSL auf die Domain financial-expret.cn zuzugreifen (https://financial-expret.cn) erscheint folgende Meldung:

Welcome to formregistration2008.cn
To change this page, upload a new index.html to your private_html folder

Aha! Noch eine weitere verdächtige Domain!

Fazit

Laut Spamhaus steckten Russische Kriminelle dahinter, welche als Allrounder tätig sind:
- Verbreitung von Malware
- Rekrutierung von Leuten für Ihre Pihshing attacken (Money Mule)
- Versenden von Spam-Mails

Die Kriminellen Energien laufen (fast) alle auf dem ein und dem selben Server zusammen:

formregistration2008.cn (Money Mule) -> 202.44.53.30
financial-expret.cn (Malware Domain) -> 202.44.53.30
freelifenet.cn (Malware Domain) -> 203.211.131.242
vertucopies.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
rightcopyphones.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
litho2you.info (Spam [Replica Mobile Phone]) -> 202.44.53.30

Nameserver für diese domains:
ns1.domaindns.biz-> 202.44.53.30
ns2.domaindns.biz-> 202.44.53.30

UPDATE 14.03.2008

Die Welle derartiger Mails hält an, wobei scheinbar nun eine zweite URL für die Verbreitung des Virus verwendet wird:

www.mybesthomepage.cn/aes/iPIX-install.exe

Die Domain hat die selben Nameserver wie financial-expret.cn (ns1.domaindns.biz & ns2.domaindns.biz) und wird ebenfalls auf dem Server hinter der IP-Adresse 202.44.53.30 betrieben.

UPDATE 17.03.2008

Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute (endlich) eine entsprechende Warnung herausgegeben:

Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer

Trojaner verbreitet sich via google.com (Zlob)

Published on March 11, 2008 in Malware & Virus Analysing. 0 Comments Tags: , , , , , , .

Heute fand ich eine grosse Anzahl von Mails mit dem selben Betreff (watch the biggest tits in the world) in meinen Honeypots vor:

watch.jpg

Das email ist in HTML geschrieben. Lässt man sich den Quellcode des emails anzeigen erkennt man, dass der Link welcher bei Click to download and watch hinterlegt ist scheinbar auf Google verweist. Betrachtet man den Quellcode jedoch genauer fällt folgende URL auf:

http://rusdiam.com/1.exe

Die Registrierung der Domain rusdiam.com lautet auf einen Herrn aus Brooklyn (New York), USA mit einer Russischen email Adresse (@mail.ru).
Die Registrierungsdaten sind wahrscheinlich (wie so oft) gefälscht.
Die Domain zeigt auf die IP-Adresse 64.79.160.26 welche auf Host Collective, Inc. (ein Hosting Provider in den USA) registriert ist.

Die EXE-Datei welche zum download angeboten wird, enthält einen Trojaner (W32/Agent.EJVH / F-Secure):

File size: 42496 bytes
MD5: 2330e3a5b55db53b2ba3c39dea74ab0c
SHA1: 3ea9a3e64659c5967d5d4790cc89f7dc3f3d89ca
PEiD: UPX 2.90 [LZMA]

Der Virus wir zur Zeit von 26/31 Virenscannern erkannt.

Besucht man die Domain rusdiam.com, kommt die Meldung “The Site Has Moved – redirecting” auf den Schirm. Danach wird man nach

http://bs.t-redirect.com/tds/rdr.php?id=676

weitergeleitet. Diese Webseite leitet den Besucher wiederum weiter auf trinityfpltd.info welche dann diverse bekannte Schwachstellen im Internet Explorer ausnutzt um weitere Malware auf dem Rechner zu installieren. Es wird empfohlen, den Zugriff auf folgende drei URLs zu blockieren:

rusdiam.com
t-redirect.com
trinityfpltd.info

UPDATE 14.03.2008

Scheinbar ist bereits wieder eine neue Variante der Malware im Umlauf:

zlob-14-03-08.jpg

Die Taktik ist die selbe wie das letzte mal: Der User wird dazu verleitet auf “VIDEO DOWNLOAD” zu klicken. Hinter diesem Text verbirgt sich scheinbar ein Link nach Google.com. Schaut man auch hier genauer hin, stellt man fest das die tatsächliche URL ganz und gar nichts mit Google zu tun hat:

http://jf-carvalhal.pt/watch.exe

Die Datei watch.exe wird derzeit nur durch 5 von 32 Virenscannern erkannt (Trojan.Zlob-2002 ClamAV):

Filename: watch.exe
URL: http://jf-carvalhal.pt/watch.exe
File size: 62976 bytes
MD5: 91d9883e5f633a7858c1a8a20af40260
SHA1: 6129fcefde8ff902f0a6a090b7e5a7827790c3ed

Die Domain ist auf einen Privatmann in Portugal registriert. Besucht man die Domain jf-carvalhal.pt, bekommt man eine Unmengen an Links ausgegeben:

jf-carvalhal-pt.jpg

Alle Links verweisen auf ein Blog welches unter der Webadresse des Massachusetts Institute of Technology (MIT) gehosted wird:

http://web.mit.edu/aswei/Public/viagra/
economics-recluse
Scene
Urgent!