wsnpoem: UPS_Lieferschein.zip

Seit heute Abend ca. 18:00 Uhr (GMT +0200) verbreitet sich WSNPoem mit einer neuen Spam-Welle:

Betreff: Ihr UPS Paket N8212771475

Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus, und holen Sie ihr Paket bei uns ab.

Mit freundlichen Grussen,
Ihre UPS

Die UPS Packet Nummer im Betreff variiert jeweils. Das Mail trägt den Anhang “UPS_Lieferschein.zip”, im welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet:

Filename: UPS_Lieferschein.exe
File size: 56832 bytes
MD5…: 5a1434342ac892e7fc3c004977de6fd3
SHA1..: 0748e88ebdf9d0ea8b854d6e1338e788fe9e1773
Erkennugnsrate: 2/33 (6.07%)

Nach erfolgter Infizierung nimmt der Trojaner wie schon bei der letzten Spam-Welle Kontakt mit fixbserver.ru (91.203.92.27) und lädt von dort weiteren Schadenscode sowie eine Konfigurations-Datei nach:

http://fixbserver.ru/bconfig/bconfigAhsAAs.bin (Config)
http://fixbserver.ru/bconfig/bconfigAhsAAs.exe (Backdoor)

http://fixbserver.ru/bconfig/bredir22.php

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 08.07.2008 08:33 Uhr

MELANI hat die neue Spam-Welle bestätigt und soeben eine entsprechende Warnung herausgegeben:

6. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 14.07.2008 12:04 Uhr

Seit heute Morgen früh sind erneut solche Spam-Mails mit dem selben Betreff und Mail Text im Umlauf. So wie es aussieht, ist das Mail jedoch mit zwei verschiedenen Attachements unterwegs: “UPS_Lieferschein_8102.zip” und “UPS_Lieferschein.zip” wobei das Archiv mit dem Namen “UPS_Lieferschein_8102.zip” scheinbar defekt ist. Auch neu ist, dass die Spam-Welle nun auch Deutsche User erreicht hat.

UPDATE 14.07.2008 15:33 Uhr

Bis anhin landete nur das File UPS_Lieferschein_8102.zip in meinen Honigtöpfen. Das File lässt sich jedoch nicht mit WinZIP öffnen:

Benennt man die Dateiendung jedoch von zip in rar um, kann das Archiv mit der neusten WinZip Version sowie WinRAR geöffnet werden. Darin befindet sich die uns bekannte Datei UPS_Lieferschein.exe:

Filename: UPS_Lieferschein.exe
File size: 8192 bytes
MD5…: 6b4ef50e3e21205685cea919ebf93476
SHA1..: 2da85de11a84682e8c56290891de5bc522714d9c
Erkennungsrate: 19/31 (61.3%)

Was sofort auffällt, ist die Dateigrösse; die Datei ist viel kleiner als wsnpoem normalerweise ist. Auch mysteriös ist, dass die Datei von den Virenscannern nicht als Zbot sondern als Trojan.Dldr.Tiny.brm oder als Trojan-Downloader.Win32.Obitel.a erkannt wird. Zu diesem Zeitpunkt kommt mir nun der Verdacht auf, dass es sich bei der neuen Spam-Welle nicht um wsnpoem handelt sonder um Nachahmetäter. Bestätigen kann ich dies noch nicht. Ich werde euch jedoch auf dem Laufenden halten.

UPDATE 14.07.2008 19:59 Uhr

Der heutige Tag war sehr hektisch. Schuld daran war die neue Spam-Welle. Ich kann nun folgendes bestätigen:

In dem Zip Archiv UPS_Lieferschein_8102.zip befindet sich ein Ordner Namens UPS_Lieferschein_8102, in welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet (Dateiinfos siehe oben). Bei der Infizierung erstellt der Trojaner die Datei userinit.exe im system32 Verzeichnis:

C:\WINDOWS\system32\userinit.exe

Da es sich bei der Datei userinit.exe um eine Systemdatei handelt, benennt er diese zuerst in userini.exe um, um sich danach als die scheinbar legitime Datei userinit.exe auszugeben. Das Symbol der Datei userinit.exe mutiert nach dem Wechseln in das selbe “Word-Symbol” wie bei der Datei UPS_Lieferschein.exe. Nach der Infizierung nimmt der Trojaner mit der Domain fixaserver.ru (91.203.92.27) Kontakt auf:

http://fixaserver.ru/ldr/gate.php?hash?=*hashkey*

Da die letzte “offizielle” wsnpoem Variante vom 8. Juli die selbe Domain kontaktiert hat, vermute ich, dass es sich bei diesem Trojaner um eine neue Variante von wsnpoem handelt. Nach kurzer Zeit wird eine weiter Domain kontaktiert, von wo der Trojaner weitere Schadsoftware nach lädt:

http://aetopoulos.de/2.exe

Bei der Domain handelt es sich höchstwahrscheinlich um eine gehackte Webseite.

Da es sich nun um eine völlig neue Variante von wsnpoem handelt ist es wichtig zu sagen, dass nun meine Anleitung “Entfernen von WSNPoem” nicht mehr funktioniert. Ich werde mich jedoch bemühen in den nächsten Tagen eine Anleitung zur Entfernung des neuen Trojaners online zu stellen.. Meine Anleitung “Entfernen von wsnpoem” habe ich der neuen Variante angepasst. Ihr seit nun mit der Anleitung in der Lage, die alte sowie die neue Version von wsnpoem von eurem Rechner zu entfernen.

UPDATE 15.07.2008 11:09 Uhr

Seit heute Morgen zeigt die Domain fixaserver.ru auf eine andere IP Adresse:

;; ANSWER SECTION:
fixaserver.ru. 3549 IN A 66.199.242.114

Des Weiteren wird an Stelle der Domain aetopoulos.de nun eine andere Domain verwendet um Schadcode nachzuladen:

URL: http://ratskeller-bremen.de/1.exe (81.169.145.86)
Filename: 1.exe
File size: 106511 bytes
MD5…: d13439fc020b47da5e7303d051eb84bd
SHA1..: d912bc4382321431530092e2c2993b8a48b834dd
Erkennungsrate: 6/33 (18.19%)

19 Responses to “wsnpoem: UPS_Lieferschein.zip”


  • Danke, beim ersten Googlen um 17:54 fand ich nichts über diese Malware.
    Und nun diese informative Seite. Danke!

  • vielen dank…bei mir war’s fast zu spät, oder doch? wann findet die infizierung statt? wenn man die .exe datei startet oder schon wenn man den zip-ordner öffnet? gruss und dank

  • Hi Many

    meiner Meinung nach “erst”, wenn du du *.exe öffnest…

  • habe mir das ding eingefangen…

    konnte die 2 dateien, wie oben unter “Entfernen von WSNPoem” beschrieben mit dem mcaffee rootkit detective umbenennen, den
    Ordner wsnpoem.REN finde ich jedoch trotz der entsprechenden “ordner view optionen” nicht. seither komme ich NICHT mehr ins internet. hat das was mit diesen 2 dateien zu tun?

    gruss c.

  • Ich habe den Trendmicro Rootkit scanner laufen lassen und er findet nix… Obwohl ich Dummy User auf das exe doppelklicken “musste”…

    Der McAfee läuft nicht auf Vista :-(

    Ist mein PC nun sauber oder nicht?

  • gibt es diese Meldung auch in Englisch ??

  • Ich kann gar keine Programme mehr starten. Nichtmal “cmd”. Den McAfee Rootkit auch nicht. Wenn ich ihn im abgesicherten Modus starte findet er mir gar nichts.
    Dazu kommt, dass mir das System manchmal nach einer Minute automatisch wieder herunterfährt…

  • Auch bei mir das Problem, dass ich seit der Infektion keine Programme mehr starten kann. Habe Rechner mit BartPE gestartet und konne das Verzeichnis \system32\wsnpoem löschen. Kann aber nach wie vor keine Programme starten ausser den Explorer.
    Hat jemand eine Lösung?

  • auch bei mir, nach dem neustart finde ich den ordner wsnpoem.REN nicht!

  • Ich habe zum Glück ein aktuelles Image gehabt und dieses zurückgespielt.
    Somit ist für mich das Problem behoben….
    Viel Glück den Andern…

  • @Pit

    ich glaube die Sicherheitseinstellungen bei Vista sind standardmässig strenger eingstellt, so dass unter Umständen der Trojaner nicht installiert wird. Checke doch ob die *.dll Dateien und das genannte Verzeichnis erstellt wurde, wenn nein, dann hast du mit grosser Wahrscheinlichkeit den Trojaner nicht auf dem System. Aber eine Garantie kann ich dir nicht geben…

    Grüsse
    Martin

  • Hat jemand schonmal gesehen das sich das Teil auf einem W2k3 installiert?
    Dort wurde die Datei “angeklickt” aber es hat sich nichts getan. Auch sind die
    besagten Dateien nicht zu finden.

  • Hoi,

    kann den aktuellen ups_lieferschein.exe mal jemand zwecks analyse bei rapidshare oder sonstwo hochladen. haben aktuell bei uns einen User, dem sein PC ist befallen….Installation relativ komplex, deshalb such ich nach nem removal ohne neuinstall…..

    gruessle a.

  • Hallo zusammen,

    also für dieser Trojaner oder was es auch immer ist, ist etwas für Experimentierfreudige und ein Backup hat.

    Was zuerst so aussieht wie “mit dem Doppelklicken ist garnichts passiert” kann nach dem nächsten Booten eine Böse überraschung beinhalten.

    Installiert wurde das Programm XP Antivirus 2008, dieses konnte ich noch einfach aus dem Autostart bzw. in der registry “run” löschen.

    Unterdessen gibt es auf den FTP-Servern von Antivirus-Herstellen z.B. Norman ein malware removal tool, welches die verschiedenen neuen Dateien erkennt.
    Jedoch das von Norman löscht jedoch nur die Dateien, jedoch nicht registry-einträge oder sonstiges welches verändert wurde.

    Was ich jetzt noch habe ist ein blödes Wallpaper “Ihr PC ist mit einem Virus infiziert, Antivirus runterladen”
    Was ich nicht mehr wegbringe ist der Bildschirschoner, der abwechselnd einen Bluescreen und danach den Windows Bootscreen mit dem Laufbalken zeigt.

    Komischerweise ist der Kartenreiter Bildschirmschoner verschwunden.
    Sowie ist auch keine älteren Restaurierungspunkte mehr aufrufbar, obwohl erst kürzlich das SP3 für XP installiert wurde.

    Grüsse

  • Jo und Current_USER in der registry wird noch eine policy gesetzt, jene den Kartenreiter ausblendet…..desweiteren zeiht der trojaner viel schadcode hinterher….so dass man eine neuinstall machen sollte. Problem ist, dass viele antviren Softwares die meisten nachgezogenen trojaner nicht erkennt…….desweiteren scheint es so, als ob die config des trojaner dropper sich staendig aendert…..meine vmware diente schon noch kurzer Zeit als mail throne in einem botnetz

    gruessle

  • there are snort signatures available by emergingthreats in emerging-malware.rules:
    sid 2003576 (ET MALWARE Security-updater.com Spyware Posting Data)
    sid 2008419 (ET MALWARE Advert-network.com Related Spyware Updating)
    sid 2008425 (ET MALWARE Advert-network.com Related Spyware Checking for Updates)

    ph

  • abuse.choh my, i just noticed that i completely mixed this up.
    the correct emergingthreats signature for this malware is:

    #ref: 6b4ef50e3e21205685cea919ebf93476
    alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”ET TROJAN Obitel trojan calling home”; flow:established,to_server; uricontent:”/gate.php?hash=”; nocase; content:”|0d 0a|User-Agent\: ie|0d 0a|”; reference:url,www.abuse.ch/?p=143; classtype:trojan-activity; sid:2008405; rev:1;)

    sorry for any confusion :)

  • Bei uns half nur folgender Lösungsweg:
    (Profil muss danach neu erstellt werden, da Gruppenrichtlinien trotz esentutl Reperatour nicht mehr gezogen wurden)

    1.)
    Im abgesicherten Modus in der Registry im Verzeichnis:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    nach auffälligen Eintragen suchen. Wie z.B:
    - rhc7ehj0e32j
    - lphc3ehj0e32j

    2.)
    Nach der Gemeinsamkeit des Strings (in diesem Fall j0e32j) Registry und Filesystem durchsuchen und alle Einträge löschen.
    ACHTUNG: Bei offiziellen Wallpaper Registry-Schlüsseln nur den Wert löschen!

    3.)
    Desktop-Verknüpfung XP Antivirus 2008 gelöscht.

    4.)
    Nach Neustart als lokaler Admin das versaute Benutzer Profil in *_alt umbennen und neues Profil für Benutzer einrichten. (zwingend nötig)

    5.) gpupdate /force

  • sysinternals.comHoi gogaaa,

    lad dir mal das tool tcpview von http://www.sysinternals.com runter und sag mir, ob der infizierte pc noch per smtp oder sonstwas wohin connected, wenn sonst keine Anwendung laeuft…

    gruessle

Leave a Reply




economics-recluse
Scene
Urgent!