Monthly Archive for August, 2008

Page 2 of 3

wsnpoem: Fedex Tracking

Seit heute Nachmittag kurz nach 16:00 Uhr verbreitet sich der Banken-Trojaner WSNPoem über eine neue Spam-Welle. Diesmal ist der angebliche Absender nicht UPS sondern FEDEX:

Betreff: Fedex Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your FEDEX

Die angebliche “Fedex Tracking Number” im Betreff variiert. Im Attachement WD6128922.zip befindet sich die ausführbare Datei WD6128922.exe, in welcher sich wsnpoem versteckt:

Filename: WD6128922.exe
File size: 73216 bytes
MD5…: df73c2b3562ef157c10ba1a16b4c8885
SHA1..: 9ffee9196fa8f305ce255925d4f4f60d380b8fdf
Erkennungsrate: 9/35 (25.72%)

Der Trojaner erstellt wie gewohnt das wsnpoem Verzeichnis im C:\WINDOWS\system32 Verzeichnis sowie die beiden DLLs audio.dll und video.dll und die Datei ntos.exe unter C:\WINDOWS.

Danach wird die Domain blatundalqik.ru (91.203.92.27) kontaktiert und eine Konfigurationsdatei herunter geladen:

GET http://blatundalqik.ru/revolution/rev.bin

Danach wird der Spam-Mailer PushDo von 66.199.242.115 bzw. 208.66.195.71 heruntergeladen:

GET http://66.199.242.115/loader.exe

In gewissen Abständen meldet sich wsnpoem wie gewohnt bei seinen Autoren:

POST http://blatundalqik.ru/revolution/rev.php

Was auch nicht fehlen darf ist eine sogenannte Rogue Software mit dem Namen Antivirus2008:

GET http://66.199.242.115/baka_upd.exe
Filename: baka_upd.exe
File size: 1575991 bytes
MD5…: 72f32eea76c7a35c419f5bdf5b3f2012
SHA1..: 844035d11eb6859f1867d6301926cc649b437f41

GET http://66.199.242.115/scan.exe
Filename: scan.exe
File size: 188416 bytes
MD5…: dfdfd6a72dd2a295c51726dfc3265470
SHA1..: a9a05f1d6b9ff232ca5e79c188baf46eac948f55

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 22:13 Uhr

Der mit installierte Spam-Mailer PushDo scheint nach der Infektion gleich damit anzufangen, den Banken-Trojaner weiter zu verbreiten. Interessant ist jedoch, dass es sich bei den versandten E-Mails nicht um das selbe E-Mail handelt, welches ich oben beschrieben habe:

Betreff: Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Betreff und Signatur weichen von dem von mir beschriebenen E-Mail ab. Des Weiteren hat auch das Attachement einen anderen Namen: Fedex_89710021NR.zip. Auch der MD5-Hash des in dem Zip-Archiv enthaltenen Files scheint ein anderer zu sein:

Filename: Fedex_89710021NR.exe
File size: 55808 bytes
MD5: 992ee92b3730708738d3d9a905fd0dc6
SHA1: b4fc4ba2c7af95a01261972785dd7a363ee39a18
Erkennungsrate: 5/36 (41.67%)

UPTADE 22.08.08

Sophos hat soeben einen entsprechenden Blog-Post zu dem Thema geschrieben: SophoLab Blog: “Failed to deliver your package in 48hrs!!! Here have some malware instead”

wsnpoem in La_Poste_N8832.exe?

Seit heute Nachmittag kurz nach 15:00 Uhr zieht eine neue Spam-Welle die Kreise in der Schweiz und Frankreich. Das E-Mail ist in französisch geschrieben. Das Mail gaukelt vor, von der französischen Post (“La Poste” support@laposte.fr) zu stammen:

Von: La Poste
Betreff: Colis postal

Bon matin,
malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l’adresse du Destinataire n’existe pas.
S’il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli
a notre office a l’adresse indiquee a la facture.
Consultant Nicolas Clements,
La Poste France

Der Betreff scheint immer der Selbe zu sein, jedoch variiert die Anrede im E-Mail Text:

  • Bon jour
  • Chers Messieurs
  • Bon matin
  • Chers clients
  • Im E-Mail findet sich das Attachement “La_Poste_N8832.zip”, in welchem sich die Ausführbare Datei “La_Poste_N8832.exe” verbirgt:

    File size: 37376 bytes
    MD5…: 99048fccfaf1c8cb97ab8880f4d64fb8
    SHA1..: db0ef302aaaf57d5367506cfc35172b575ad235d
    Erkennungsrate: 15/36 (41.67%)

    AntiVir und ClamAV erkennen das File als “Zbot” (wsnpoem). Bezugnehmend auf frühere wsnpoem Varianten scheint das Attachement jedoch zu klein zu sein. Des Weiteren läuft die Datei nicht unter einer VM. Ob es sich also tatsächlich um wsnpoem (Zbot) handelt, kann ich deshalb zur Zeit noch nicht bestätigen.




    economics-recluse
    Scene
    Urgent!