Monthly Archive for October, 2008

Page 2 of 5

WSNPoem: Täter verhaftet?

Published on October 23, 2008 in Malware & Virus Analysing. 2 Comments Tags: , , .

Soeben erhielt ich die Nachricht, dass scheinbar die Täter hinter dem Banken Trojaner WSNPoem verhaftet wurden. Ein dementsprechendes Statement ist auf der Webseite der Niederländischen Staatsanwaltschaft (Openbaar Ministerie) zu finden:

Niederländische Staatsanwaltschaft: Hacker arrested in Ukraine and Russia

Der Artikel ist leider in Niederländisch geschrieben. Dank Google Translate lässt sich das Statement jedoch problemlos übersetzten:

Die Täter wahren mit höchster Wahrscheinlichkeit auch Urheber der DDoS-Attacke auf abuse.ch sowie des Joe-jobs gegen meine Person im vergangenen August (Siehe Post: “DDoS Angriff & Joe Job gegen abuse.ch”).
Hat sich also mein Kampf gegen die Kriminellen doch gelohnt?

Weitere Infos folgen!

Weiterführende Links

  • Niederländische Staatsanwaltschaft: Hacker arrested in Ukraine and Russia
  • wsnpoem: “Switzherland-Polina”
  • wsnpoem: “Der Vertrag”
  • EULA & Anleitung von wsnpoem
  • wsnpoem: Kostenauflistung.rar
  • wsnpoem: Rechnung.rar
  • wsnpoem: UPS_Lieferschein.zip
  • Hinter den Kulissen von wsnpoem
  • wsnpoem: Rechnung_S833.zip
  • wsnpoem: UPS_E9712.zip
  • wsnpoem in La_Poste_N8832.exe?
  • wsnpoem: IPLOGS.zip
  • wsnpoem per DriveBy-Infektion
  • UATelecom: WSNPoem, Emold und Cutwail

    • Emold: Statement.Jan,Oct.zip

    Published on October 21, 2008 in Malware & Virus Analysing. 1 Comment Tags: , , , .

    Seit heute Morgen kurz nach 9:00 Uhr verbreitet sich Emold (aka AutoRun) mit einer neuen Spam-Welle:

    Betreff: Statement Januar – October
    Please find the document attached to this message. The report was issued today. Requested account details have been altered successfully.

    Thank you for contacting us.

    Respectfully,
    Antoinette

    Betreff der E-Mail variiert:

  • Data request
  • Statement Januar – October
  • Account information
  • Attached Statement

    • Im Attachement Statement.Jan,Oct.zip befindet sich die ausführbare Datei Statement_January-October.doc.exe im welcher sich der Trojaner Emold befindet:

    Filename: Statement_January-October.doc.exe
    File size: 47616 bytes
    MD5…: 7c90658b942d2608e44d2c85955318f8
    SHA1..: dd37c8255d37cca6e87257c2265fdd36629b073d
    Erkennungsrate: 6/36 (16.67%)

    Nach der Infektion lädt der Trojaner weiteren Schadcode von peterharris.com.au (202.191.62.240) sowie marsdenpilgrimages.com.au (202.191.61.82) nach:

    GET http://peterharris.com.au/lsys/lscan2.exe
    GET http://marsdenpilgrimages.com.au/lsys/lscan2.exe

    Filename: lscan2.exe
    File size: 23552 bytes
    MD5…: c1b7ea81f3f8517a89f568ad6f416040
    SHA1..: 7309e9f44cfed11dea8c174afc48ed400f7065af
    Erkennungsrate: 6/36 (16.67%)

    Mit installiert wird auch der Spam-Mailer Cutwail, welcher den Infizierten Rechner in einen Spam-Bot verwandelt.
    economics-recluse
    Scene
    Urgent!