Monthly Archive for September, 2008

Page 4 of 5

Verstärktes Malwareaufkommen in der Schweiz

Schweizer User finden heute gleich mehrere Viren-Mails in ihrem E-Mail Postfach. Seit kurz nach Mitternacht habe ich ein verstärktes Malwareaufkommen in der Schweiz beobachtet. Hier ein kleiner Überblick:

Betreff: Statement of fees 2008/09
Please find attached a statement of fees as requested, this will be
posted today.

The accommodation is dealt with by another section and I have passed
your request on to them today.

Kind regards.

Dawn

Im Attachement Fees-2008_2009.zip befindet sich die Datei Fees-2008_2009.doc.exe, im welchem sich der Trojaner Emold / AutoRun:

Filename: Fees-2008_2009.doc.exe
File size: 31744 bytes
MD5…: a5201e4ca4ad72ca9767c4dbaf05e16a
SHA1..: e26287bd8db62f29357ab5e7d011274089d0dbbc
Erkennungsrate: 13/36 (36.12%)

Der Selbe Trojaner scheint sich auch noch über eine andere Spam-Welle zu verbreiten:

Betreff: Record in debit of account
Good day,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.

If necessary, we can send it by fax.
Looking forward to your decision.

Im Attachement Contract_I2_9.2008.zip befindet sich die Ausführbare Datei Contract_I2_9.2008.doc.exe, in welcher sich erneut Emold / AutoRun versteckt:

File size: 31744 bytes
MD5…: 8bbdda8469f96af51dde5033909c225b
SHA1..: 46ebccc44001af80bbe69dd28ba4b31fbe63df87
Erkennungsrate: 15/36 (41.67%)

Am Verhalten des Trojaners (Emold) hat sich jedoch nichts geändert (Siehe Post vom 28.8.08).

Weitaus mehr Sorgen macht mir eine Word Datei, welche derzeit in der Schweiz versendet wird und aktiv eine Schwachstelle in Microsofts Office Word ausnützt um Malware auf dem Rechner zu installieren:

Betreff: 1 Rate
Sehr geehrte Damen und Herren!
Die Anzahlung 907185196420 ist erfolgt
Es wurden 4194.00 EURO von Ihrem Konto abgebucht.
Die Auflistung der Kosten finden Sie im Anhang

Zyklop Inkasso Deutschland GmbH
Königsberger Str. 10
D-47809 Krefeld

Geschäftsführer: Lothar Hilse, Gerhard Liebchen
Handelsregister: Amtsgericht Krefeld HRB 35 89
Aufsichtsbehörde: Landgerichtspräsident Krefeld
USt-IdNr.: DE 120 154 439

Im Attachement Rechnung.zip befindet sich (wie bereits erwähnt) ein Word-Dokument mit dem Namen Rechnung.doc:

Filename: Rechnung.doc
File size: 289280 bytes
MD5…: 6572d04247ccd088ab7ff45e5eabf89f
SHA1..: 3ef4506a8cf0d69e858ceef43ac22d19affe4249
Erkennungsrate: 15/36 (41.67%)

Laut F-Secure handelt es sich bei der Malware um Trojan-Dropper.MSOffice.Fordo.b.

Ob die genannten Mails nur in der Schweiz versendet werden oder auch in anderen Ländern, ist derzeit nicht bekannt.

Weitere Infos folgen.

UPDATE 17:51 Uhr

Ich konnte mir das Office Dokumment nun ein bisschen genauer anschauen. Die Datei nützt keine Sicherheitslücke aus sondern führt beim öffnen der Datei lediglich ein VBA Script aus. Das VBA Script erstellt die Ausführbare Datei whlp32.exe im USERPROFILES Ordner und deaktiviert die Makrosicherheit im Word und Excel:

Danach wird ein POST request an on1000000.cn (222.73.38.5) gesendet und weiterer Schadcode nachgeladen:

POST http://on1000000.cn/Get7IT.php

Dabei werden mehrere Dateien im system32 Verzeichnis erstellt, dessen Namen jedoch per Zufall generiert wird. z.B:

C:\WINDOWS\system32\orkjejtevv.exe
File: orkjejtevv.exe
Size: 45297
MD5: ????
Path: C:\WINDOWS\system32\orkjejtevv.exe

C:\WINDOWS\system32\bbgngtzx.dll
File: bbgngtzx.dll
Size: 2560
MD5: A704B4A16EDEB2B0A5DF2FC23636995A
Path: C:\WINDOWS\system32\bbgngtzx.dll

C:\WINDOWS\system32\ssqtkynjpecqm
File: ssqtkynjpecqm
Size: 47409
MD5: 8C9CDB129794FBC05349E1EF8390EED6
Path: C:\WINDOWS\system32\ssqtkynjpecqm

Nun wird eine weitere Domain kontaktiert und ebenfalls ein POST request gesendet (ferrychi445677.com: 200.63.45.34):

POST http://errychi445677.com/Get7ITU.php HTTP/1.0

Vorsicht also bei verdächtigen Word Dokumenten!

UPDATE 15.09.08

Das SANS Internet Storm Center hat ebenfalls ein Post zu Fordo geschrieben:

SANS ISC: Blast from the future?

wsnpoem: IPLOGS.zip

Seit heute Morgen kurz vor 05:00 Uhr ist WSNPoem (aka zbot) mit einer neuen Spam-Welle unterwegs:

Betreff: I am wait your reply
To Whom It May Concern:

I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!!!
If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!…
Today I received a hard copy of your data logs from my Internet service provider. The copy contains your IP address, logs of sending malicious programs and your e-mail address details…
I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault!!!!!!
You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address!!!!

Ask your Internet service provider to resolve this problem!!!!

Do this now!!!
Once again!!! If you dont stop sending the letters, I will address to the Police and file a lawsuit against you!!!

Im Attachement IPLOGS.zip befindet sich die Ausführbare Datei IPLOGS.exe, welche den Banken-Trojaner WSNPoem beinhaltet:

Filename: IPLOGS.exe
MD5: 14caab0b572d371b114b304d9f685593
SHA1: 030eef41346a94071b9b625d0526df9c8a1b452e
Erkennungsrate: 12/36 (33.33%)

Weitere Infos folgend….

UPDATE 16:45 Uhr

Der Banken-Trojaner hat wie bereits vermutet sein “Aufmachung” geändert. Er installiert sich nicht mehr wie gwohnt als Datei ntos.exe und dem wsnpoem Verzeichnis, sondern benützt völlig neue Namen:

wsnpoem -> sysproc64
ntos.exe -> oembios.exe
audio.dll -> sysproc86.sys
video.dll -> sysproc32.sys

Desweiteren kontaktiert er eine völlig neue Domain, welche in einem anderen (neuen) Subnet liegt, als die bisherigen Domains. Bei Spamhaus ist das Subnet bereits als cybercrime hosting vermerkt:

bmwx6foreva.ru -> 89.187.49.26

89.187.49.26 is listed in the SBL, in the following records:

* SBL66870
* SBL67259

Ref: SBL67259
89.187.32.0/19 is listed on the Spamhaus Block List (SBL)

22-Aug-2008 00:59 GMT | SR04
Spammer/cybercrime hosting (escalation)

Totally spam/cybercrime dirty or selling off IP space to Russian/Ukrainian crime/spam gangs.
Source: http://www.spamhaus.org/sbl/sbl.lasso?query=SBL67259

Ref: SBL66870
89.187.49.0/24 is listed on the Spamhaus Block List (SBL)

31-Aug-2008 07:49 GMT | SR15
spamsites

malware hosts, spamsites
possible hijacked block, wmdhost.net does not exist

Von der genannten Domain bmwx6foreva.ru holt er sich das aktuelel Config-File:

GET http://bmwx6foreva.ru/loads/engine3.bin

Danach folgt wie gewohnt eine Rogue Software (XPSecutritycenter) sowie der Spam-Mailer PushDo.

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

PS: Auch diesmal sorry für die verspätete Meldung, ich war wieder einmal an einem Security Event.




economics-recluse
Scene
Urgent!