Monthly Archive for June, 2008

Scam: “your computer was infected our spyware”

Heute habe ich nicht schlechte geschaut, also ich folgendes E-Mail in meinem Postfach fand:

From: lampas34@gmail.com
Subject: your computer was infected our spyware

Hello,

Glad to inform you that four month ago your computer was infected our spyware, we had full access to your computer during that time. We have complete your adress book, all logins and passwords for “dirty sites” where you rigistered. We had record form you webcam, incredible! Your hands may be better than hooker? ok about deals, in 48 hours that video and screen shots will send to whole your contact group. To prevent that funny actions and to delete spyware form you pc you can reach us by this e-mail: lampas34@gmail.com and you will get instructions what to do. We recomend you to write e-mail in 24 hours to avoid promlems and maintenance and in this case we can garranty that we will not send it to your friends. This letter and furher actions will be done automaticly via hi-tech software from china servers. Just write to e-mail:lampas34@gmail.com and get instructions so, back accounting start right now.

Natürlich habe ich der angegebenen E-Mail Adresse “lampas34@gmail.com” sofort eine E-Mail geschrieben um zu erfahren, was ich machen muss, damit der böse Hacker mein “schmutziges Video” nicht veröffentlicht. Das Mail ist in sehr schlechtem englisch verfasst. Ich kann mir jedoch vorstellen, dass es einige Empfänger dieser E-Mail beim Lesen kalt den Rücken herunter lief. Deshalb hier die Entwarnung: Es handelt sich um E-Mail Betrug (engl. Scam). Die Absender sind nicht wirklich in euren Computer eingedrungen, sondern versuchen nur mit dieser billigen Masche an euer Geld zu kommen.

Das Mail erinnert mich an die Geschichte mit der hübschen Russin, welche mich gerne besucht hätte (Siehe Post “Auf der Spur Russischer Betrüger”). Es würde mich nicht wunder, wenn hinter dieser Mail die gleichen Kriminellen stecken wie hinter der Masche mit dem Russischen Mädchen.

UPDATE 6.6.08

Der E-Mail Account des Betrügers scheint gesperrt worden zu sein:

Final-Recipient: lampas34@gmail.com
Action: failed
Status: 5.2.1
Diagnostic-Code: smtp;550 5.2.1 The email account that you tried to reach is disabled.

wsnpoem: Rechnung.rar

Ich habe heute dutzende solcher Mails in meinen Honigtöpfen gefunden:

Betreff: Leihvertrag

Sehr geehrter Kunde, sehr geehrte Kundin!
Ihr Abbuchungsauftrag Nr. 060659920298 wurde erfullt.
Ein Betrag von 8530.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
Sie finden die Details zu der Rechnung im Anhang

PayPal (Europe) S.224; r.l. & Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxembourg

Vertretungsberechtigter: Brent Bellm
Handelsregisternummer: R.C.S. Luxembourg B 118 349

Der Betreff des E-Mails variiert zwischen:

  • Leihvertrag
  • Darlehensvertrag
  • Bestellungsvertrag
  • Mietvertrag
  • Konto eroeffnung
  • Abbuchungsvertrag
  • Tilgungsvertrag
  • Ihr neuer Arbeitsvertrag
  • Abbuchungserlaubnis
  • Die Mails tragen alle ein Attachement Namens “Rechnung.rar”, in welchem die ausführbare Datei “Rechnung.exe” steckt:

    Filename: Rechnung.exe
    File size: 66220 bytes
    MD5…: fd2d4bc6798fd373e041c1d28571b57e
    SHA1..: f253bc2e352a4163b8397d700cf60b89fbf6316b
    Erkennungsrate: 14/31 (45.17%)

    Bei dem Attachement handelt es sich eindeutig um unseren geliebten Freund WSNPoem. Nach einer erfolgreichen Infektion legt er das verstecktes Verzeichnis “C:\WINDOWS\system32\wsnpoem” an und erstellt dort die zwei dll-Dateien “audio.dll” und “video.dll”. Danach holt sich der Trojaner das aktuelle Config-File von 91.203.92.4.

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 2.06.08

    MELANI hat soeben eine entsprechende Warnung herausgegeben:

    5. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 6.06.08

    Seit heute Nachmittag sind erneut solche E-Mails im Umlauf: gleicher Betreff, gleicher Text und gleiches Attachement. Die Malware wird nun jedoch von fast allen Antiviren Herstellern erkannt:

    Erkennungsrate: 29/32 (90.63%)

    UPDATE 15.06.08

    Seit heute Nachmittag sind wieder E-Mails mit dem selben Text & Betreff im Umlauf. Das Mail besitzt auch wieder das Attachement “Rechnung.rar” in welchem sich jedoch nun eine neue Variante des Trojaners mit anderem Dateinamen befindet:

    Filename: sconfig_crypt.exe (von Rechnung.rar/4106)
    File size: 68160 bytes
    MD5…: b7d6f50bd91be5863e31388a60840e25
    SHA1..: 34214faee8bb436b7d84be9ae953560399455e2c
    Erkennungsrate: 9/32 (28.13%)

    Nach erfolgter Infizierung lädt der Trojaner ein Konfigurations-File von “fixaserver.ru” (91.203.92.3) und “fixbserver.ru” (91.203.92.27) nach:

    http://fixaserver.ru/sconfig/sconfig.bin

    http://fixbserver.ru/bconfig/bconfig.bin

    Ausserdem lädt er weitere Schadenssoftware nach:

    http://fixbserver.ru/bconfig/bconfig.exe

    Filename: bconfig.exe [Trojan-Spy.Win32.Zbot.cmn]
    File size: 50176 bytes
    MD5…: 7a1f7ba08342830536317c7691a7d651
    SHA1..: 973f497310c0d1a0564dc0a4e5c4905c6e74be57
    Erkennungsrate: 6/33 (18.19%)

    UPDATE 23.06.08

    Erneut sind Mails mit dem selben Betreff & Text unterwegs, jedoch wie gewohnt mit einer neuen Version des Trojaners an Bord. Das RAR-File enthält nun auch wieder die ausführbare Datei Rechnung.exe:

    Filename: Rechnung.exe (von Rechnung.rar)
    File size: 68165 bytes
    MD5…: e3c994e87504f28f60ea663023fd5acb
    SHA1..: a47e0514e08607241f714b82f1c0453f0485d6a8
    Erkennungsrate: 13/33 (39.4%)



    economics-recluse
    Scene
    Urgent!