Monthly Archive for July, 2008

Page 2 of 4

wsnpoem: Rechnung_S833.zip

Es ist wieder soweit:

Betreff: Ihre Rechnung N 36928769 im Anhang

Sehr geehre Damen und Herren,
Ihr Auftrag Nr. SP5468611 wurde erfullt.
Ein Betrag von 6466.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als Paypalabbuchung angezeigt.
Sie finden die Details zu der Rechnung im Anhang

PayPal (Europe)
S.721; r.l. & Cie, S.C.A.
44-17 Boulevard Royal
L-0847 Luxembourg

Gruss,
Vertretungsberechtigter: Kennith Barr
Handelsregisternummer: R.C.S. Luxembourg B 632 021

Die Spam-Welle scheint auch diesmal wieder sehr aggressiv zu sein. Innerhalb einer Stunde sind in meinen Honeypots über 60 solcher E-Mails eingegangen. Das Deutsch in den E-Mails ist wie immer schlecht und mit Umlauten kommen die Autoren scheinbar immer noch nicht zu recht. Der Absender, die Nummer im Betreff sowie der Betrag und die Auftrags Nr. im Mail-Text variieren jeweils. Als Anhang hat das Mail eine ZIP-Datei Namens Rechnung_S833.zip, in welcher sich die ausführbare Datei Rechnung_____________________________NRDKJH8833423444229.exe befindet:

Filename: Rechnung____NRDKJH8833423444229.exe
File size: 29696 bytes
MD5…: 8ceb0f61089d86c086dcc08d6a783015
SHA1..: af422cc0b6bcac2d997a39c0d4c46814db65d658
Erkennungsrate: 4/35 (11.43%)

Weitere Infos folgen innert Kürze.

UPDATE 24.07.08 16:53 Uhr

MELANI hat soeben eine entsprechende Warnung herausgegeben:
7. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Gemäss MELANI scheint der Betreff ebenfalls zu variieren:

Lastschrift xxxxxxx
N xxxxxxx Rechnung
BITTE BEACHTEN – IHRE RECHNUNG N xxxxxxx
Rechnung xxxxxxx
Ihre Rechnung xxxxxxx
xxxxxxx Rechnung

Wobei xxxxxxx für beliebige Zahlen steht.
Die Malware installiert sich nicht mehr wie gewohnt als ntos.exe Datei und im wsnpoem Verzeichnis, sondern erstellt drei neue Dateien:

C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\explorer.dll

Danach meldet sich wsnpoem (aka zbot) bei koromanskipart1.ru (193.27.246.220):

http://koromanskipart1.ru/shl/ma22je28.php

Auf dieser Domain scheint auch der Botnet Master zu sitzen: Steuert man nämlich http://koromanskipart1.ru/shl/ an, kommt man auf die Admin Login-Seite von trojan 3alupko.

Die Taktik des Trojaners ist scheinbar die Selbe wie bei der letzte Spam-Welle: Der infizierte Rechner meldet sich regelmässig bei koromanskipart1.ru und schaut ob es neuen Schadcode zum Nachladen gibt. Wenn ja, sendet der Webserver die Antwort HTTP 302 Found mit einer Location zurück. Bis jetzt sind mir zwei Locations bekannt:

http://xpsecuritycenter.com/install/Installer.exe

http://66.199.242.115/install.exe

Filename: Installer.exe
Source: xpsecuritycenter.com (206.161.126.40)
File size: 348100 bytes
MD5…: 49a2645cd2912f7dbbfdcae3c190f137
SHA1..: d4ee69c7d9debaf75846b9e30b443e97869d56d5
Erkennungsrate: 30/35 (85.72%)
Filename: install.exe
Source: 66.199.242.115
File size: 40960 bytes
MD5…: 12d390e0a38385faaaccc28f11dc536b
SHA1..: 72a769d6779de775a90aee5d09fb0dac551dd76f
Erkennungsrate: 12/35 (34.29%)

Bei dem nachgeladenen File Installer.exe handelt es sich wie beim letzten Mal um so genannte Rogue Software. Diesmal installiert er ein Antivirus Namens “XP SecurityCenter”. Nach dem Ausführen von Installier.exe lädt er massenweise Binaries nach:

www.xpsecuritycenter.com/XPSecurityCenter/Binaries1.zip
www.xpsecuritycenter.com/XPSecurityCenter/Binaries2.zip
www.xpsecuritycenter.com/XPSecurityCenter/Binaries3.zip

Im ersten ZIP befindet sich die Datei xpsecuritycenter.exe:

Filename: xpsecuritycenter.exe
File size: 525028 bytes
MD5…: 0fe50b8e1d0c91179ad08292a1dac146
SHA1..: 9c53d09aff438f7b9c60e4243c303e7963bff91e
Erkennungsrate: 24/35 (68.57%)

Im zweiten ZIP File befinden sich diverse DLL-Dateien. Im dritten ZIP File ist ein veraltetes DAT-File von ClamAV (10 Feb 2008 20-57 +0000) zu finden. Hat er die Binaries einmal installiert, meldet er sich regelmässig bei softcashier.com (216.195.56.82) und virus-quick-scan.com (216.195.56.88):

http://softcashier.com/members/update_inst.php

Infizierten Usern wird der Gang zu einem Fachmann empfohlen um den Trojaner vom System zu entfernen.

UPDATE 25.07.08 10:58 Uhr

Während gestern das Mail an Deutsche Nutzer heraus gegangen ist (CH, DE, AT), scheint das Mail heute auch auf englisch seine Kreise zu drehen:

From: Cutomer Service
Subject: Your parcel is at the customs office

Hello,

We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.

Kind regards,
Debora Betts
Your Customs Service

Das E-Mail trägt den Anhang Bill_Tax.zip worin sich die ausführbare Datei Bill_Tax___________________________N89798742344.exe befindet:

Filename: Bill_Tax______N89798742344.exe
File size: 56320 bytes
MD5…: dd2bddde963c8f6d5a9f0c0de6d4457b
SHA1..: b06b683b981d3a6b6cd0fa6181093fb32905ff1f
Erkennungsrate: 14/35 (40%)

Was mich momentan nicht verwirrt, ist, dass die Englische Version das wsnpoem Verzeichnis sowie die ntos.exe erstellt:

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\video.dll

Danach holt sich wsnpoem das Konfigurations-File sowie weiteren Schadcode von baltikaredison.ru (91.203.92.4):

http://baltikaredison.ru/alaska/alaska.bin

http://superbaltikaneda.ru/alaskareserv/alaska.bin

http://baltikaredison.ru/alaska/alaska.exe

Danach meldet er sich regelmässig bei der selben Domain:

http://baltikaredison.ru/alaska/alaska.php

UPDATE 25.07.08 13:02 Uhr

Auch die Englische Variante scheint Rogue Software nach zu laden:

GET http://alparslanovayurt.com/index1/ldr.exe (85.159.66.19)

Filename: ldr.exe
File size: 25088 bytes
MD5…: 2f8c7ef766493d2b5f8a2ecddb6d217f
SHA1..: 9abf6645afb2fbe6f82559287c0d01032ea4997d
Erkennungsrate: 11/35 (31.43%)

und danach

GET http://nimolp.net/imgs/ld.php (92.62.101.8)
GET http://presents.avxp-08.com/scan (195.93.218.197)

Wer haben wir denn da? Unser alter Freund Antivirus XP 2008. Und was fehlt jetzt noch? Genau; Der Spam-Mailer PushDo:

GET http://66.199.242.115/loader3.exe
File size: 30720 bytes
MD5…: ce5d185bd8cfa0ce2d7afb4db47e080c
SHA1..: 7506482ef8ee5bde88a92210880aa613a1e45341
Erkennungsrate: 8/35 (22.86%)

Hinter den Kulissen von wsnpoem

Über wsnpoem (aka Zbot) wird derzeit viel gesprochen, da er seit Anfang Jahr aggressiver und schneller mit neuen Spam-Wellen auftritt um ahnungslose User zu infizieren. Doch wer steckt dahinter? Aus bestimmten Ecken hört man, dass angeblich das Russian Business Network (RBN) hinter wsnpoem steckt. Bestätigt hat sich diese Vermutung bis anhin jedoch nicht. Leider kann ich die Frage, wer hinter wsnpoem steckt, genau so wenig beantworten wie allen andern. Ich habe jedoch einmal ein bisschen recherchiert und habe dabei einige interessante Entdeckungen gemacht.

Schauen wir uns als erstes doch einmal die Registrierdaten der beiden Domains an, bei welchen sich wsnpoem nach der Infizierung meldet:

domain: FIXASERVER.RU
type: CORPORATE
nserver: ns1.fixaserver.ru. 91.203.92.3
nserver: ns2.fixaserver.ru. 91.203.92.3
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN
domain: FIXBSERVER.RU
type: CORPORATE
nserver: ns1.checkyourip.ru.
nserver: ns2.checkyourip.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN

Was sehen wir? Die Registrierdaten sind abgesehen von den zuständigen Nameserver gleich. Wir sehen ebenfalls, dass die beiden Domains am selben Tag registriert wurden. Dank einem Russischen Domain-Registrar ist es nun möglich heraus zu finden, welche Domains mit den selben Registrierdate registriert worden sind. Ich habe nicht schlecht geschaut, als ich sage und schreiben 44 Domains gefunden habe, welche mit der Telefon-Nummer +7 933 7898898 registriert worden waren. Eine weitere Telefon-Nummer welche für die Registrierung verwendet wurde, ist +7 933 7898890. Mit dieser Nummer wurden im letzten Jahr insgesamt 20 Domains registriert. Ich habe nun eine List zusammen gestellt, welche Domains noch aktiv sind und welche inaktiv (=keinen A Record haben):

Aktive domains: 18
Inaktive domains: 48
Total: 66

Aktive domains

Folgende Domains sind derzeit aktiv d.h. sie haben einen A-Record:

Domain Reg. date SBL? A Record
blatundalqik.ru 15-Jul-2008 SBL65512 91.203.92.27
baltikaredison.ru 23-Jul-2008 SBL65512 91.203.92.4
checkyourip.ru 11-Jun-2008 SBL65512 91.203.92.27
cosmo7771.ru 15-Apr-2008   202.151.177.85
fixaserver.ru 11-Jun-2008 SBL65512 91.203.92.3
fixbserver.ru 11-Jun-2008 SBL65512 91.203.92.27
fixproblems.ru 11-Jun-2008 SBL65512 91.203.92.27
fixredirector.ru 16-Jun-2008   FastFlux
fixbaserver.ru 14-Jul-2008   66.199.242.114
guns-fi-logs.ru 24-Jan-2008 SBL65112 79.135.166.132
malafikarubik.ru 15-Jul-2008 SBL65512 91.203.92.27
m5bmwfire.ru 24-Jan-2008   91.98.31.131
mbmwxxx.ru 5-Jun-2008 SBL65512 91.203.92.4
newvalarsrent.ru 29-Apr-2008 SBL65512 91.203.92.4
powerserver.ru 24-Jan-2008   216.195.58.18
superbaltikaneda.ru 23-Jul-2008 SBL65512 91.203.92.4
valarsbackuo.ru 29-Apr-2008 SBL65512 91.203.92.4
valarsmemeverzone.ru 29-Apr-2008 SBL65512 91.203.92.4
wfrules.ru 11-Jun-2008 SBL65512 91.203.92.4

Was bei den aktiven Domains sofort auffällt, ist, dass viele Domains auf die selbe (uns bereits bekannte) IP Adresse zeigen: 91.203.92.4. Scheinbar sind die IP Adressen auch bei Spamhaus bekannt, für die meisten IP Adresse gibt es nähmlich einen SBL Eintrag (Spamhaus Block List).

Schauen wir uns den SBL Eintrag SBL65512 doch einmal etwas genauer an. Der Eintrag wurde am 09-Jul-2008 um 22:49 Uhr GMT hinzugefügt mit dem Kommentar “Virus writers spreaders” (Virenschreiber Umschlagplatz). Der Eintrag listed das Subnet 91.203.92.0/22 worin sich auch die uns bekannten IP Adressen 91.203.92.3, 91.203.92.4 und 91.203.92.27 befinden. Das Subnet gehört einem Ukrainischen Provider Namens ISP UATelecom holding LLC.. Die uns bekannten IP Adressen sind in dem SBL Eintrag zwar nicht explizit erwähnt, da sie jedoch im genannten Subnet liegen sind sie trozdem geblacklistet.

Der zweite SBL Eintrag SBL65112 betrifft 79.135.166.132 (guns-fi-logs.ru). Hierbei wurde das Subnet 79.135.160.0/19 am 1-May-2008 um 21:36 Uhr GMT mit dem Kommentar “SBL62483 AbdAllah_Internet – Ukrainian cybercrime hosting” gelistet. Stop! AbdAllah Internet? Die kennen wir doch! Dem AbdAlah Internet Hizmetleri (AHI) wird eindeutig eine Zugehörigkeit zum Russian Business Network (RBN) zugesprochen (Siehe Shadowserver.org und joewein.net). Hierher stammen also die Vermutungen, dass möglicherweise das RBN hinter wsnpoem steckt.

Auch Interessant ist die Domain fixredirector.ru; diese wird nähmlich im Gegensatz zu allen anderen Domains auf einem Botnet gehosted (FastFlux):

;; ANSWER SECTION:
fixredirector.ru. 1800 IN A 221.34.239.33
fixredirector.ru. 1800 IN A 221.166.202.111
fixredirector.ru. 1800 IN A 85.26.37.224
fixredirector.ru. 1800 IN A 125.139.235.157
fixredirector.ru. 1800 IN A 219.254.85.28

Als Betreiber der FastFlux Blacklsite drone.abuse.ch überwache und Blackliste ich IP Adressen (sprich Bots), welche in solchen Botnetze tätig sind. Das Botnet welche die Domain fixredirector.ru hosted ist mir nicht unbekannt: Lookup fixredirector.ru at drone.abuse.ch. Was sehen wir denn da? Das Botnetz hosted gerade aktive auch die beiden Money Mule Domains duty-free-international.biz und duty-free-international.org. Googeld man nach den beiden Domains, wird man sehr schnell fündig:

“This Duty Free International fraud is another fairly standard spamvertised money laundering mule recruitment operation. […] It’s currently zombie botnet hosted which pretty well confirms its criminal status even without any of the other damning evidence set out below. The website exists purely to convey a sense of legitimacy to the inevitable money mule job posted under the ‘Careers’ tab. These criminals are also spamvertising a stolen goods handling job as is becoming more common.”

Source: www.bobbear.co.uk/dutyfreeint.html

Des Weiteren werden derzeit noch einige phishing Domains in dem FastFlux Botnet gehosted: WSNPoem FastFlux Botnet Monitor

Interessant, jetzt schauen wir doch einmal zurück, welche Domains früher in dem selben Botnet gehosted wurden:

6565commerce.com
773tresman.com
bnsluns.com
cvbmncv.com
dftged.com
ejrkt.com
hwhvia.com
mnbvne.com
neryere.com
nmvbcq.com
rkj43ghi.com
uerrm.com
vcertd.com
cvbmncv.com
dftged.com
mnxcbv.com
ejrkt.com
rkj43ghi.com
vcertd.com
dftged.com
ejrkt.com
rkj43ghi.com
vcertd.com
asxoi.cn
groupdg.cn
sastop.com
uiydsr.com

Auf den ersten Blick sagen diese Domains nicht viel aus, googeld man jedoch nach den Domains, wird man sehr schnell bei den Kollegen von PhishTank fündig:

Beispiel neryere.com:

PhishTank Submission #457326
Status: Verified: Is a phish

Auch bei den anderen Domains sieht es nicht besser aus; alle Domains sind durch Phishing Aktivitäten aufgefallen.

Ebenfalls Interessant ist die Domain cosmo7771.ru welche auf die IP Adresse 202.151.177.85 zeigt. Auf diesem Server wird nämlich nicht nur eine Domain von wsnpoem gehosted sondern auch viele weitere Domains:

islaimic-bank.com
bankeofscotlands.com
froxik.com
banifs.org
jefyxx.net
relanlabs.com
sexyura.info
olan-complex.com
euro-invest-solutions.com
p-cons-group.com
persdev-center.com
job.vanlines.de

Die ersten beiden Domains sehen auf den ersten Blick legitim aus, auf den zweiten jedoch findet man je ein Schreibfehler in den Domains, wobei sofort der Verdacht auf phishing aufkommt. Googeld man nach den Domains olan-complex.com und euro-invest-solutions.com, wird man erneut fündig bei bobbear.co.uk:

olan-complex.com
“Olan Complex Co. is just another run-of-the mill fake Russian financial site that exists solely to ensnare the unwary, whether it is to ‘phish’ for bank details or mainly to recruit money mules. The clues are all there that give the criminal’s game away without a shadow of a doubt.”

Source: www.bobbear.co.uk/olancomplex.html

und

euro-invest-solutions.com
“EURO Investment Solutions is part of a huge Russian money laundering criminal network […].”

Source: www.bobbear.co.uk/euroinvestmentsolutions.html

Aha… nochmals zwei Domains, welche verwendet werden um Money Mules anzuwerben. Bei den letzten drei Domains p-cons-group.com, persdev-center.com und job.vanlines.de sieht es nicht anders aus. Googeld man nach diesen Domains, findet man erneut Hinweise auf Geldwäscherei.

Inaktive Domains

Folgende Domains sind der Zeit Inaktiv d.h. sie haben keinen A-Record und teilweise auch keinen NS-Record mehr:

Domain Reg. date
allmoneyoftheworld.ru 7-Apr-2008
allworldinmyhands.ru 7-Apr-2008
bazuka-nl-fk.ru 24-Jan-2008
bazuka-nl-logs.ru 24-Jan-2008
bazuka-nl-reserv.ru 24-Jan-2008
bazuka-nl-reserv2.ru 24-Jan-2008
cosmo9998.ru 15-Apr-2008
firestorm-ch-fk.ru 24-Jan-2008
firestorm-ch-logs.ru 24-Jan-2008
firestorm-ch-reserv.ru 24-Jan-2008
firestorm-ch-reserv2.ru 24-Jan-2008
grob-ch-fk.ru 13-Feb-2008
grob-ch-logs.ru 13-Feb-2008
grob-ch-reserv.ru 13-Feb-2008
grob-ch-reserv2.ru 13-Feb-2008
guns-fi-fk.ru 24-Jan-2008
guns-fi-reserv.ru 24-Jan-2008
guns-fi-reserv2.ru 24-Jan-2008
helloallworld.ru 7-Apr-2008
m3bmw.ru 15-Apr-2008
m3bmwfire.ru 7-Jun-2008
m5bmw.ru 15-Apr-2008
moneyofworld.ru 7-Apr-2008
multik-nl-fk.ru 13-Feb-2008
multik-nl-logs.ru 13-Feb-2008
multik-nl-reserv.ru 13-Feb-2008
multik-nl-reserv2.ru 13-Feb-2008
theworldismine777.ru 8-Apr-2008
testingdomain.ru 22-Dec-2007
fastless.ru 22-Dec-2007
gameoverther.ru 22-Dec-2007
lobstert.ru 22-Dec-2007
lostfaq.ru 22-Dec-2007
lostfee.ru 22-Dec-2007
lostfreak.ru 22-Dec-2007
lostfrost.ru 22-Dec-2007
lostfrozen.ru 22-Dec-2007
lostgogo.ru 22-Dec-2007
lostmos.ru 22-Dec-2007
lostprost.ru 22-Dec-2007
losysfree.ru 22-Dec-2007
losysgo.ru 22-Dec-2007
loungeer.ru 22-Dec-2007
louse.ru 22-Dec-2007
mostfree.ru 22-Dec-2007
peargame.ru 22-Dec-2007
pharmgame.ru 22-Dec-2007
productthere.ru 22-Dec-2007

Fazit

Folgende Erkenntnisse ziehe ich aus meinen Recherchen:

  • Es gibt Fakten die eine Verbindung zwischen wsnpoem und dem RBN (AbdAlah Internet Hizmetleri) aufzeigen.
  • Wir wissen, dass wsnpoem eine Domain in einem Botnet hosted, welches Zeitgleich Money Mule Domains hosted.
  • Die Registrierdaten der wsnpoem Domains sind jeweils identisch.
  • Es ist bekannt, dass sich im Subnet 91.203.92.0/22 Virenschreiber tummel und dass Subnet ein Umschlagplatz für deren “Waren” (=Malware) ist.
  • Auf den Servern, auf welchen die wsnpoem Domains gehosted sind, werden ebenfalls phishing Domains gehosted.
  • Es besteht der Verdacht, dass die Ukrainische Telekom (UATelecom holding LLC) dem RBN nahe steht oder dass das RBN Maulwürfe in die Ukrainischen Telekom eingeschleust hat.
  • Nun Fragt sich jedoch, ob diese Aktivitäten von der selben kriminellen Gruppe ausgehen wie wsnpoem. Es könnte nämlich auch sein, dass z.B. das Botnet, welches die Domain fixredirector.ru hosted, gemietet ist. Bis anhin sind nämlich noch nie solche Aktivitäten von einem durch wsnpoem infizierten Rechner festgestellt worden. Es ist also wahrscheinlich, dass die wsnpoem Domains Bulletproof gehosted sind und das Botnet gemietet ist.




    economics-recluse
    Scene
    Urgent!