Monthly Archive for November, 2008

Page 2 of 2

Spam-Mails mit Grand Casino Baden als Absender

Gestern fand ich einige Spam-Mails in meinen Honeypots, welche als Absender das Grand Casino Baden trugen. Die Spam-Mails umwerben ein dubioses online gambling casino:

Im Absender sowie im Mail-Text selber wird mehrmals das Grand Casino Baden erwähnt (siehe Printscreen). In Wahrheit kommt das Mail jedoch weder vom Grand Casnino Baden noch hat es irgendetwas mit dem Schweizer Casino zu tun. Die wahren Absender sind nämlich infizierte Rechner (SpamBots) aus China:

Received: from rly04.hottestmile.com [60.18.5.220] by mx03.listsystemsf.net with SMTP; Fri, 14 Nov 2008 04:07:15 -0800
From: “Matthias B., Grand Casino Baden” wwvcapppy@dajazzman.nl
To: “Leonie”
Subject: Sie haben 2413.- EURO gewonnen

DNSBL lookup @dnsbl.njabl.org.:

Here is the result of your query:

60.18.5.220 is listed as an open proxy in dnsbl.njabl.org.
60.18.5.220 is listed in blackholes.njabl.org: China blocked by china.blackholes.us
60.18.5.220 has no PTR

It was added to the list: Wed Aug 23 06:09:55 2006 EST

Source: www.njabl.org/cgi-bin/lookup.cgi?query=60.18.5.220

Die Links in den E-Mail Texten verweisen jeweils auf verschiedene URLs, welche der Gambling Casino Familie angehören (Siehe Spamtracker.eu: “Gamiling Casinos”). Auf diesen dubiosen Webseiten wird eine Gratis Software angeboten, welche von verschiedenen Antivirenherstellern als Adware erkannt wird:

Fielname: SpinPalace.exe
File size: 462016 bytes
MD5…: 502daa4df62d690b116aeb7de1319749
SHA1..: 59a3b9ab2b4ceac67d9f797b062c32c7419ed9c3
Erkennungsrate: 6/36 (16.67%)

Fazit

Es wird dringend davon abgeraten, auf einen der Links im E-Mail Text zu klicken, da Sie sonst Ihre E-Mail Adresse bei den Spammern als “Valid” bestätigen. Des Weiteren gilt: Hände weg von der angeblichen “Kostenlosen Software”, welche auf den von den Spam-Mails angepriesenen Webseiten angeboten wird. Die Software enthält Adware / Spyware!

Weiterführende Links:

  • SpamTrackers.eu: Online Gambling Casinos
  • McAfee SiteAdvisor: Websicherheitsbewerung spinpalace.com
  • McAfee SiteAdvisor: setup_spinpalace.exe
  • WSNPoem: UPSInvoice_90001.exe

    Obschon vor Kurzem drei Kriminelle verhaftet wurden, die für WSNPoem Angriffe auf Banken verantwortlich sind (Siehe Artikel “WSNPoem: Täter verhaftet?”), bedienen sich andere Gangs weiterhin dieses Trojaners. Dabei sind zahlreiche unterschiedliche Varianten im Spiel, die alle von ein und derselben Software namens ZeuS abstammen (Siehe “EULA & Anleitung von wsnpoem”), sich in den Details jedoch unterscheiden. Im Fadenkreuz dieser Gruppierungen stehen im Moment vor allem Ziele im Ausland, vor allem Banken, aber auch soziale Netze wie Facebook oder E-Mail-Dienste. In Europa scheinen Spanien und Italien besonders interessant zu sein, es haben sich aber auch Gruppierungen gebildet, die sich auf Australien und erstaunlicherweise sogar Russland konzentrieren. Im aktuellen Fall habe ich eine Spam-Welle in Deutschland gesichtet, dort verbreitet sich WSNPoem heute über eine neue Spam-Welle:

    From: “United Postal Service” support@ups.com
    Betreff: Your Tracking # *number*

    Sorry, we were not able to deliver postal package you sent on November the 1st in time
    because the recipient’s address is not correct.
    Please print out the invoice copy attached and collect the package at our office.
    If you do not receive package in ten days you will have to pay 36$ per day.

    Your UPS

    Im Attachement UPSInvoice_90001.zip befindet sich die ausführbare Datei UPSInvoice_90001.exe:

    Filename: UPSInvoice_90001.exe
    File size: 69120 bytes
    MD5…: f196e47b6b77a5c49ac8b70b591e5c1d
    SHA1..: b17edc29d80436c49e491e7ddc0be495c8b75f28
    Erkennungsrate: 4/36 (11.12%)

    Interessant an dem Bankentrojaner ist vor allem, dass er sich einmal mehr unter einem anderem Namen im System einnistet:

    C:\WINDOWS\system32\twain_32
    C:\WINDOWS\system32\twext.exe
    C:\WINDOWS\system32\twain_32\local.ds.cla
    C:\WINDOWS\system32\twain_32\user.ds

    Hier noch kurz eine Übersicht, über die bisherigen verschiedenen Varianten von WSNPoem:

    Beschreibung Variante 1 Variante 2 Variante 3
    Directory wsnpoem sysproc64 twain_32
    File ntos.exe oembios.exe twext.exe
    File audio.dll sysproc86.sys local.ds.cla
    File video.dll sysproc32.sys user.ds

    Nun holt sich der Trojaner wie gewohnt seine aktuelle Konfiguration von einem WSNPoem Server (C&C), welche sich meistens im Netzwerk der UATelecom befinden (91.203.92.0/22).

    Hier eine kleine Liste der Domains, welche die verschiedenen WSNPoem Varianten der letzten Monate kontaktiert hat sowie welche aktiv sind und welche inaktiv:

    Domain Reg. date A Record Aktiv/Inaktiv
    bmwx6foreva.ru 2008-09-06 91.203.93.29 Aktiv
    ddtfff.ru 2008-10-17 91.203.93.29 Aktiv
    cosmo9998.ru 2008-04-15 - Inaktiv
    cosmo6766.ru ? - Inaktiv
    productthere.ru 2007-12-22 - Inaktiv
    filmstvouty.info 2008-05-13 - Inaktiv
    reservpptppp20.ru 2008-11-05 91.203.93.29 Aktiv
    d3m0n.jino-net.ru ? 217.107.217.27 Aktiv
    popokimoki.com 2008-10-16 62.176.17.85 Aktiv
    pavelmoous.ru 2008-10-17 91.203.93.29 Aktiv
    panelstop.cn 2008-10-21 209.160.20.34 Aktiv
    naszza-klasa.cn 2008-07-16 - Inaktiv

    Nach erfolgreicher Infektion installiert der Trojaner wie gewohnt jeweils noch eine Rouge Software (AntivirusPro 2009):

    GET http://sosfichier.com/img/install.exe

    Filename: install.exe
    MD5: c45c040fba31f33c4a29a154e227b16d
    SHA1: 418d4aa13eeff7de70950f30a6b2c7bed6286a0e
    Erkennungsrate: 16/36 (44.44%)

    Fazit

    Für Firmen ist es sicher empfehlenswert, die oben genannten URLs an ihren Gateways zu blockieren. Wer sich bereits mit dem Bankentrojaner WSNPoem sowie der Rogue Software infiziert hat, sollte einen Blick in meine Anleitung “Entfernen von WSNPoem” werfen.




    economics-recluse
    Scene
    Urgent!