WSNPoem: Spam-Wellen fluten das Netz

Seit einigen Tagen scheint sich der Banken-Trojaner ZeuS (aka zbot / wsnpoem) massiv im Netz zu verbreiten: Alleine in der vergangenen Nacht habe ich gleich mehrere ZeuS Spam-Wellen beobachtet. Hier eine kleine Zusammenstellung der von mir beobachteten Spam-Wellen:

Spam-Welle: “ecard.zip”

Subject: You have received an eCard
Attachment: ecard.zip
Erstmals gesichtet: 2009-06-10
Letztmals gesichtet: 2009-06-13

Filename: ecard.exe
File size: 38144 bytes
MD5…: c81ba436d85bba944adb74b86c90fae8
SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
Erkennungsrate: 32/40 (80.00%)

Spam-Welle: “client_update.zip”

Subject: Outlook Express Setup Notification*
Attachment: client_update.zip
Erstmals gesichtet: 2009-06-11
Letztmals gesichtet: 2009-06-12

Filename: client_update.exe
File size: 38144 bytes
MD5…: c81ba436d85bba944adb74b86c90fae8
SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
Erkennungsrate: 32/40 (80.00%)

Spam-Welle: “sms_reader_trial.zip”

Subject: Get Your Free 30-Day Trial!
Attachment: sms_reader_trial.zip
Erstmals gesichtet: 2009-06-13
Letztmals gesichtet: 2009-06-13

Filename: sms_reader_trial.exe
File size: 38144 bytes
MD5…: a5654ecbf17a1f8cb966ce26539fbf08
SHA1..: 44821255854aacdb6153a3dd5959b7562a0bf0a0
Erkennungsrate: 27/39 (69.23%)

Spam-Welle: “MTCN_CONFIRMATION.zip”

Subject: Western Union Transfer MTCN: 1363677224
Attachment: MTCN_CONFIRMATION.zip
Erstmals gesichtet: 2009-06-13
Letztmals gesichtet: 2009-06-13

Filename: MTCN_CONFIRMATION.EXE
File size: 38144 bytes
MD5…: a5654ecbf17a1f8cb966ce26539fbf08
SHA1..: 44821255854aacdb6153a3dd5959b7562a0bf0a0
Erkennungsrate: 27/39 (69.23%)

*Betreff variiert, siehe WSNPoem: client_update.zip

Interessant sind die MD5 Hash Summen der Binaries, welche über die Spam-Welle versendet wurden:

ecard.exe – c81ba436d85bba944adb74b86c90fae8
client_update.exe – c81ba436d85bba944adb74b86c90fae8
sms_reader_trial.exe – a5654ecbf17a1f8cb966ce26539fbf08
MTCN_CONFIRMATION.EXE – a5654ecbf17a1f8cb966ce26539fbf08

Ebenfalls interessant: Alle Binaries scheinen die selben Command&Control Server (C&C) zu referenzieren:

GET http://djellow.com/djwlc/djwl.bin <- ZeuS configuration file
GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
GET http://dvstep.ru/bin.exe <- Latest ZeuS binary
POST http://djellow.com/djwl/rec.php <- Dropzone

Siehe abuse.ch ZeuS Tracker (dvstep.ru / djellow.com).

Auch der Ort, wo sich der Trojaner einnistet, ist bei allen Binaries identisch:

C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\lowsec
C:\WINDOWS\system32\lowsec\user.ds
C:\WINDOWS\system32\lowsec\local.ds

Fazit

Es handelt sich zwar um unterschiedliche Spam-Wellen, der Trojaner der jedoch damit verbreitet wird, ist bei allen Spam-Wellen der selbe. Zudem scheinen die Spam-Wellen nicht gezielt auf die Schweiz ausgerichtet zu sein, vielmehr sind diese derzeit ein “globales Problem”. Für Benutzer, welche sich bereits mit dem Trojaner infiziert haben, empfiehlt sich meine Anleitung zum entfernen von WSNPoem.

0 Responses to “WSNPoem: Spam-Wellen fluten das Netz”


  • No Comments

Leave a Reply




economics-recluse
Scene
Urgent!