Monthly Archive for April, 2008

Page 2 of 2

wsnpoem: “Der Vertrag”

Published on April 11, 2008 in Malware & Virus Analysing. 0 Comments Tags: , , , , , , .

Neues von wsnpoem! Habe heute folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Clyde Gillespie”
To: *honeypot*
Sent: Fri, 11 Apr 2008 12:11:32 +0200
Subject: Der Vertrag

Guten Tag!

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von
Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfallt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Im Anhang ist eine Datei Namens debt.2007.10.29.6467730.pdf angefügt. In der Datei befindet sich wsnpoem, welcher derzeit erst von einigen Antivirenherstellern heuristisch erkennt wird:

Filename: debt.2007.10.29.6467730.pdf
File size: 54453 bytes
MD5…: 0bd048c0db7e3f781e5f88284f5c0baa
SHA1..: 2db9d6d446c4cdc03dcfa6da7e84f141ff6562b4
Erkennungs-Rate: 7/32 (21.88%)

Benennt man die Endung von .pdf auf .rar um und öffnet das File mit z.B. WinRAR, findet man die eigentliche Malware in der Datei vertrag.exe vor:

Filename: vertrag.exe
File size: 64122 bytes
MD5…: 88c6f4706e5d4a5467cfff38a2624b7b
SHA1..: 2b6b0e81f3fba9ac4f5c207e59c526e8f4fe9337
PEiD..: DCrypt Private 0.9b -> drmist
Erkennungs-Rate: 7/32 (21.88%)

Wieso die Datei als PDF abgespeichert ist und nicht als RAR, ist mir noch schleierhaft. Ich werde Euch auf dem Laufenden halten.

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 13:17 Uhr

Ich habe meine Honigtöpfe soeben etwas genauer durchforstet und das exakt gleiche Mail gefunden mit der Datei vertrag.rar als Anhang anstelle von debt.2007.10.29.6467730.pdf. So wie es aussieht, werden die Mails also mit PDF und RAR Anhang verschickt. Der Grund dafür ist mir leider noch unklar, da es beim Ausführen des PDF Files zu keiner Infektion kommt.

UPDATE 16:29 Uhr

Auch MELANI hat reagiert und ihre Warnung vom 4.4.2008 aktualisiert:

3. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 22.05.2008

Seit heute Morgen scheint das selbe Mail wieder die Runde zu machen, jedoch mit einer neuen Variante des Trojaners und diesmal auch mit dem Betreff “Mietvertrag” oder “Darlehensvertrag”. Das File ist diesmal ein ZIP Archiv, welches die ausführbaren Datei “Vertrag.exe” beinhaltet:

Filename: Vertrag.zip
File size: 66894 bytes
MD5…: ebd7bc66ef4de14819d0334e2ac56fae
SHA1..: 28dd38f68dae474a1cb8809c94734ae94b4ac4dc
Filename Vertrag.exe
File size: 70774 bytes
MD5…: 72b8e2cd965f54fe924cba585e64d216
SHA1..: ab79ad34f85a87634eb73975d19c7d20d602bd68

Die Erkennungsrate der Antivirenprodukte liegt derzeit bei 13/32 (40.62%).

Es wird empfohlen, Mails mit dem Betreff “Der Vertrag” sowie dem Attachment “Vertrag.zip” nicht zu öffnen sondern umgehend zu löschen.

UPDATE 14:50 Uhr 22.05.2008

Auch MELANI hat auf die erneute Erscheinung solcher E-Mails reagiert:

4. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Nach der Infizierung durch wsnpoem nimmt der Trojaner Kontakt zu den folgenden Webserver auf und holt sich die aktuellsten Konfigurations-Dateien:

http://valarsrent.ru

http://newvalarsrent.ru

UPDATE 24.05.0008

Die Welle solcher Mails scheint nicht aufzuhören. Gestern Abend habe ich nochmal ein solches “Vertrags”-Mail bekommen, diesmal jedoch mit einem anderen Betreff (“Bestellugsvertrag”) sowie einem anderen Attachement:

Filename: Vereinbarung.rar
File size: 66649 bytes
MD5…: 61a4c061c4f94e054dfb6babe4aeabcb
SHA1..: 23a8a7f7ee77620f37b6625c09058815475b16a5
Erkennungsrate: 18/32 (56.25%)
Filename: Vertrag.exe
File size: 64675 bytes
MD5…: 10add4d02743f4b65d794acc8b0db390
SHA1..: 74b6c9ed6053303eca0fb748a142881e3012feb8
Erkennungsrate: 18/32 (56.25%)

wsnpoem: “Switzherland-Polina”

Published on April 3, 2008 in Malware & Virus Analysing. 0 Comments Tags: , , .

Neues von wsnpoem; Nach der Spam-Welle mit dem Thema “Bankenkrise” (Siehe post vom 27.03.2008 “Eine Bankenkrise der Schweizer Banken ist unvermeindlich”), schlägt wsnpoem erneut zu. Dieses Mal jedoch mit einem weniger brisanten Thema:

From: ruffiansma08@healthwi.com
To: dau@rbl.abuse.ch
Subject: Switzherland-Polina

Hallo, Mich rufen Polina. Ich bin Studentin und bin in die Swiss zum Studium gekommen.
Jetzt bin ich auf der Suche nach einem Freund und Sexpartner. Alles was ich brauche, ist ein guter Mann. Sie sollen ernst, solide, gescheit sein.

Machen sie kenntlich, wenn Sie sich mit mir treffen wollen

Sie konnen also einfach mein Freund sein. Sie konnen sich meine Fotos auf meiner Startseite http://www.livejournalfuac.cn/pol_ch/
NUR ERNSTLICHE ANTRÄGE BITTE!

MIT KÃœSSEN, ALICE

Wie immer ist das Mail in schlechtem Deutsch verfasst und es fehlen die Umlaute (öäü). In dem Mail greifen die Autoren der Malware auf die gleiche Masche zurück wie bis an hin: Ein Link zu einer Webseite (in diesem Fall livejournalfuac.cn) welche dem Besucher weiss machen möchte, dass ein Plug-In benötigt wird um die Fotos oder Videos anschauen zu können:

wsnpoem.jpg

In Wahrheit verbirgt sich jedoch wsnpoem in der Datei. Wenn die Datei zum ersten mal herunter geladen wird, wird dem User folgendes File aufgetischt:

Filename: iPIX-install.exe
File size: 69140 bytes
MD5: 0c208229c50beacc234b8f509ccd79c0
SHA1: 1b63752db51a2e9b5f05283b4b6115e53688d08e
Source: www.livejournalfuac.cn/download/iPIX-install.exe

Veruscht man das exe file ein weiteres mal herutnerzuladen, bekommt man nur noch eine defekte Version des Trojaner aufgetischt:

Filename: iPIX-install.exe
File size: 69140 bytes
MD5: 7618bb4b84831d5cbaef8a2fa517f68c
SHA1: c75b1fa0543dc6d4802442f7e2d8f9fbf5aa56ea
Source: www.livejournalfuac.cn/download/iPIX-install.exe

Beim ersten download der Datei erfolgt eine infektion, bei jedem weiteren download des files wird nur noch die defekte version der Malware ausgeliefert bei welcher keine infektion erfolgt.

Die Webseite (livejournalfuac.cn ) wird wie immer auf der IP-Adresse 58.22.101.116 gehosted (CNCGroup FuJian province network in China).
Wie auch bei der Spam-Welle “Bankenkrise”, wurde dieses Mail scheinbar auch an Lettische User versendet. Relativ neu ist jedoch eine Version für die Niederlande und Finnland:

www.livejournalfuac.cn/pol_ch/ (Schweiz)
www.livejournalfuac.cn/pol_lv/ (Lettland)
www.livejournalfuac.cn/pol_nl/ (Niederlande)
www.livejournalfuac.cn/pol_fi/ (Finnland)

Alle drei URL zeigen im Gegensatz zum letzte mal auf das selbe Binary: www.livejournalfuac.cn/download/iPIX-install.exe

Gleiche Masche, gleiche Empfehlung:

  • Die Domain livejournalfuac.cn meiden
  • Auf keinen Fall das exe-file ausführen

    • UPDATE 4.3.08 12:27 Uhr

    MELANI hat heute Morgen eine entsprechende Warnung herausgegeben:

    “2. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren”
    economics-recluse
    Scene
    Urgent!