Monthly Archive for July, 2008

Page 3 of 4

userinit.exe – Ein Ãœberblick

Die letzte wsnpoem Spam-Welle vom 14.07.08 traf vor allem Deutsche User. Vereinzelt landeten die Spam-Mails jedoch auch Österreichischen sowie Schweizerischen Postfächern. Gestern wurde ich auf einen Blog Eintrag von PandaLabs mit dem Titel “Fake UPS invoice Email” aufmerksam. Scheinbar sind die selben Spam-Mails auch in Englisch versandt worden:

Deutsch:

Betreff: UPS Paket Nxxxxx
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus, und holen Sie ihr Paket bei uns ab.

Mit freundlichen Grussen,
Ihre UPS

Englisch:

Subject: UPS Paket Nxxxxx
Unfortunately we were not able to deliver postal package you sent on July the 1st in time because the receipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Des Weiteren trägt das Attachement in der englischen Version einen anderen Namen:

E-Mail Attachement Deutsch: UPS_Lieferschein_8102.zip
E-Mail Attachement Englisch: UPS_Invoice_317.zip

Nun, was geschieht nach einer Infektion durch die Malware? Die Malware benennt die Systemdatei userinit.exe in userini.exe um und installiert sich an dessen Stelle. Bei der Malware handelt es sich Anfangs um einen Downloader. Das heisst, er greift regelmässig auf ein URL zu und holt sich dort neuen Schadcode:

http://fixaserver.ru/ldr/gate.php?hash=xxxxxx (91.203.92.27)

Der Hash-Code ist dabei die Serien-Nummer der primären HardDisk und somit eindeutig. Der Server meldet jeweils ein HTTP 202 OK zurück. Ab und zu sendet er jedoch eine HTTP 302 Found mit einer HTTP Location zurück (bis jetzt konnte ich leider keine Regelmässigkeit feststellen). Bis jetzt sind drei verschiedene HTTP Locations bekannt:

Location: http://aetopoulos.de/loader.exe (Massenmailer)
Location: http://aetopoulos.de/bot.exe (WSNPoem)
Location: http://aetopoulos.de/ldr.exe (Antivirus XP 2008)

Wird eine solche HTTP Location empfangen, speichert der Downloader im folgendem temporären Verzeichnis ab:

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp

Die Files, welche von dem Downloader heruntergeladen werden, sind jeweils mit iexxx.tmp oder inxxx.tmp benannt, wobei xxx für beliebige Zahlen und Buchstaben steht:

Bei den leeren Dateien (0KB) handelt es sich um die Anfragen vom Downloader, welche mit HTTP 200 OK beantwortet wurden. Ist ein File grösser als 0KB, wurde mit HTTP 302 Found geantwortet (=Es wurde Schadcode heruntergeladen). Sind solche Dateien in dem Ordner vorhanden, kann man sicher sein, dass der Rechner infiziert ist.

loader.exe

Bei der Datei loader.exe handelt es sich um einen Massenmailer Namens PushDo. Dieser versendet aktuell gerade WorldCasino Spam. Nach der Installation löscht er sich selbst und installiert sich als Treiber unter C:\WINDOWS\system32\drivers. Danach nimmt er Kontakt mit der IP-Adresse 208.66.195.15 auf und holt sich sein Config-File:

http://208.66.195.15

Eine weitere kontaktierte URL ist sys282.3fn.net (216.195.61.96). Von dort holt er sich eine Art XML File. In diesem File ist beschrieben, auf welcher URL er neue Live Mail Accounts anlegen kann sowie wo er sich mit diesen einloggen muss. Danach versucht er neue Accounts bei Windows Live (ehemals Hotmail) zu erstellen und sich dann anzumelden:

GET http://login.live.com/login.srf

Ist das Erstellen & das Einloggen in den Windows Live Mail Account erfolgreich, beginnt er über diesen Account Spam Mails zu versenden:

GET http://mail.live.com/mail/EditMessageLight.apsx
POST http://mail.live.com/mail/SendMessageLight.aspx

From: markfinney426@hotmail.com
To: dad*censored*@aol.com
Bcc: tyoty*censored*@aol.com
Subject: US $ 89.95 50mg x 30 pills buy now

US $ 69.95 viagra (sildenafil) 100mg x 10 pils price

http://chicagobestdoctor.info

Bei der umworbenen URL handelt es sich um Spam der Marke Pharmacy Express.

bot.exe

Erst bei bot.exe handelt es sich um den uns bekannten WSNPoem Trojaner (Zbot). Dieser kann mit dem McAfee Rootkit Detective entfernt werden. WSNPoem meldet sich wie gewohnt bei fixbserver.ru (91.203.92.27) und holt sich das aktuelle Config File:

http://fixbeserver.ru/bconfig/bredir22.php

http://fixbserver.ru/bconfig/bconfigAhsAAs.bin

ldr.exe

Die Datei ldr.exe enthält so genannte “Rouge Software” (in diesem Fall auch Rouge Antivirus genannt). Solche Programme sind keine Malware oder ähnliches sondern angebliche Antivirensoftware. Die Software tritt unter folgenden Namen auf:

WinIFixer
Antivirus 2008 XP
Antivirus 2008
MalwareProtector 2008
Malware Patrol Pro
Malware Alarm Pro
IE AntiVirus
SpywareIsolator
XPSecurity Center
u.v.m

Nach der Installation des angeblichen AntiVirus meldet er sich bei mehreren Domains:

stat.antivirxp08.com (85.255.120.140)
antivirxp08.com (85.255.120.140)
www.antivirxp08.com (85.255.120.140)
www.winifixer.com/log2.php (85.255.120.139)

Dem infiziertem User wird nun vorgegaukelt, er sei mit Viren und Trojanern infiziert wobei er jedoch nichts von dem installierten Massenmailer PushDo oder von dem Trojaner wsnpoem erwähnt. Der Virenschutz erzählt dem User, dass er die Malware zwar entfernen könne, aber der User zuerst die Vollversion der Software kaufen muss (Preis: 106.90 CHF).

Fazit

Dank der Methode mit dem “HTTP Locations” ist es nicht möglich voraus zu sagen, welche Schadsoftware der Downloader sonst noch so vom Internet holen wird. Ich empfehle jedem, welcher sich mit dem Trojaner infiziert hat, den Gang zu einem Fachmann oder das komplette System neu aufzusetzen.

wsnpoem: UPS_Lieferschein.zip

Seit heute Abend ca. 18:00 Uhr (GMT +0200) verbreitet sich WSNPoem mit einer neuen Spam-Welle:

Betreff: Ihr UPS Paket N8212771475

Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus, und holen Sie ihr Paket bei uns ab.

Mit freundlichen Grussen,
Ihre UPS

Die UPS Packet Nummer im Betreff variiert jeweils. Das Mail trägt den Anhang “UPS_Lieferschein.zip”, im welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet:

Filename: UPS_Lieferschein.exe
File size: 56832 bytes
MD5…: 5a1434342ac892e7fc3c004977de6fd3
SHA1..: 0748e88ebdf9d0ea8b854d6e1338e788fe9e1773
Erkennugnsrate: 2/33 (6.07%)

Nach erfolgter Infizierung nimmt der Trojaner wie schon bei der letzten Spam-Welle Kontakt mit fixbserver.ru (91.203.92.27) und lädt von dort weiteren Schadenscode sowie eine Konfigurations-Datei nach:

http://fixbserver.ru/bconfig/bconfigAhsAAs.bin (Config)
http://fixbserver.ru/bconfig/bconfigAhsAAs.exe (Backdoor)

http://fixbserver.ru/bconfig/bredir22.php

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 08.07.2008 08:33 Uhr

MELANI hat die neue Spam-Welle bestätigt und soeben eine entsprechende Warnung herausgegeben:

6. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 14.07.2008 12:04 Uhr

Seit heute Morgen früh sind erneut solche Spam-Mails mit dem selben Betreff und Mail Text im Umlauf. So wie es aussieht, ist das Mail jedoch mit zwei verschiedenen Attachements unterwegs: “UPS_Lieferschein_8102.zip” und “UPS_Lieferschein.zip” wobei das Archiv mit dem Namen “UPS_Lieferschein_8102.zip” scheinbar defekt ist. Auch neu ist, dass die Spam-Welle nun auch Deutsche User erreicht hat.

UPDATE 14.07.2008 15:33 Uhr

Bis anhin landete nur das File UPS_Lieferschein_8102.zip in meinen Honigtöpfen. Das File lässt sich jedoch nicht mit WinZIP öffnen:

Benennt man die Dateiendung jedoch von zip in rar um, kann das Archiv mit der neusten WinZip Version sowie WinRAR geöffnet werden. Darin befindet sich die uns bekannte Datei UPS_Lieferschein.exe:

Filename: UPS_Lieferschein.exe
File size: 8192 bytes
MD5…: 6b4ef50e3e21205685cea919ebf93476
SHA1..: 2da85de11a84682e8c56290891de5bc522714d9c
Erkennungsrate: 19/31 (61.3%)

Was sofort auffällt, ist die Dateigrösse; die Datei ist viel kleiner als wsnpoem normalerweise ist. Auch mysteriös ist, dass die Datei von den Virenscannern nicht als Zbot sondern als Trojan.Dldr.Tiny.brm oder als Trojan-Downloader.Win32.Obitel.a erkannt wird. Zu diesem Zeitpunkt kommt mir nun der Verdacht auf, dass es sich bei der neuen Spam-Welle nicht um wsnpoem handelt sonder um Nachahmetäter. Bestätigen kann ich dies noch nicht. Ich werde euch jedoch auf dem Laufenden halten.

UPDATE 14.07.2008 19:59 Uhr

Der heutige Tag war sehr hektisch. Schuld daran war die neue Spam-Welle. Ich kann nun folgendes bestätigen:

In dem Zip Archiv UPS_Lieferschein_8102.zip befindet sich ein Ordner Namens UPS_Lieferschein_8102, in welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet (Dateiinfos siehe oben). Bei der Infizierung erstellt der Trojaner die Datei userinit.exe im system32 Verzeichnis:

C:\WINDOWS\system32\userinit.exe

Da es sich bei der Datei userinit.exe um eine Systemdatei handelt, benennt er diese zuerst in userini.exe um, um sich danach als die scheinbar legitime Datei userinit.exe auszugeben. Das Symbol der Datei userinit.exe mutiert nach dem Wechseln in das selbe “Word-Symbol” wie bei der Datei UPS_Lieferschein.exe. Nach der Infizierung nimmt der Trojaner mit der Domain fixaserver.ru (91.203.92.27) Kontakt auf:

http://fixaserver.ru/ldr/gate.php?hash?=*hashkey*

Da die letzte “offizielle” wsnpoem Variante vom 8. Juli die selbe Domain kontaktiert hat, vermute ich, dass es sich bei diesem Trojaner um eine neue Variante von wsnpoem handelt. Nach kurzer Zeit wird eine weiter Domain kontaktiert, von wo der Trojaner weitere Schadsoftware nach lädt:

http://aetopoulos.de/2.exe

Bei der Domain handelt es sich höchstwahrscheinlich um eine gehackte Webseite.

Da es sich nun um eine völlig neue Variante von wsnpoem handelt ist es wichtig zu sagen, dass nun meine Anleitung “Entfernen von WSNPoem” nicht mehr funktioniert. Ich werde mich jedoch bemühen in den nächsten Tagen eine Anleitung zur Entfernung des neuen Trojaners online zu stellen.. Meine Anleitung “Entfernen von wsnpoem” habe ich der neuen Variante angepasst. Ihr seit nun mit der Anleitung in der Lage, die alte sowie die neue Version von wsnpoem von eurem Rechner zu entfernen.

UPDATE 15.07.2008 11:09 Uhr

Seit heute Morgen zeigt die Domain fixaserver.ru auf eine andere IP Adresse:

;; ANSWER SECTION:
fixaserver.ru. 3549 IN A 66.199.242.114

Des Weiteren wird an Stelle der Domain aetopoulos.de nun eine andere Domain verwendet um Schadcode nachzuladen:

URL: http://ratskeller-bremen.de/1.exe (81.169.145.86)
Filename: 1.exe
File size: 106511 bytes
MD5…: d13439fc020b47da5e7303d051eb84bd
SHA1..: d912bc4382321431530092e2c2993b8a48b834dd
Erkennungsrate: 6/33 (18.19%)



economics-recluse
Scene
Urgent!