wsnpoem: Rechnung_S833.zip

Es ist wieder soweit:

Betreff: Ihre Rechnung N 36928769 im Anhang

Sehr geehre Damen und Herren,
Ihr Auftrag Nr. SP5468611 wurde erfullt.
Ein Betrag von 6466.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als Paypalabbuchung angezeigt.
Sie finden die Details zu der Rechnung im Anhang

PayPal (Europe)
S.721; r.l. & Cie, S.C.A.
44-17 Boulevard Royal
L-0847 Luxembourg

Gruss,
Vertretungsberechtigter: Kennith Barr
Handelsregisternummer: R.C.S. Luxembourg B 632 021

Die Spam-Welle scheint auch diesmal wieder sehr aggressiv zu sein. Innerhalb einer Stunde sind in meinen Honeypots über 60 solcher E-Mails eingegangen. Das Deutsch in den E-Mails ist wie immer schlecht und mit Umlauten kommen die Autoren scheinbar immer noch nicht zu recht. Der Absender, die Nummer im Betreff sowie der Betrag und die Auftrags Nr. im Mail-Text variieren jeweils. Als Anhang hat das Mail eine ZIP-Datei Namens Rechnung_S833.zip, in welcher sich die ausführbare Datei Rechnung_____________________________NRDKJH8833423444229.exe befindet:

Filename: Rechnung____NRDKJH8833423444229.exe
File size: 29696 bytes
MD5…: 8ceb0f61089d86c086dcc08d6a783015
SHA1..: af422cc0b6bcac2d997a39c0d4c46814db65d658
Erkennungsrate: 4/35 (11.43%)

Weitere Infos folgen innert Kürze.

UPDATE 24.07.08 16:53 Uhr

MELANI hat soeben eine entsprechende Warnung herausgegeben:
7. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Gemäss MELANI scheint der Betreff ebenfalls zu variieren:

Lastschrift xxxxxxx
N xxxxxxx Rechnung
BITTE BEACHTEN – IHRE RECHNUNG N xxxxxxx
Rechnung xxxxxxx
Ihre Rechnung xxxxxxx
xxxxxxx Rechnung

Wobei xxxxxxx für beliebige Zahlen steht.
Die Malware installiert sich nicht mehr wie gewohnt als ntos.exe Datei und im wsnpoem Verzeichnis, sondern erstellt drei neue Dateien:

C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\explorer.dll

Danach meldet sich wsnpoem (aka zbot) bei koromanskipart1.ru (193.27.246.220):

http://koromanskipart1.ru/shl/ma22je28.php

Auf dieser Domain scheint auch der Botnet Master zu sitzen: Steuert man nämlich http://koromanskipart1.ru/shl/ an, kommt man auf die Admin Login-Seite von trojan 3alupko.

Die Taktik des Trojaners ist scheinbar die Selbe wie bei der letzte Spam-Welle: Der infizierte Rechner meldet sich regelmässig bei koromanskipart1.ru und schaut ob es neuen Schadcode zum Nachladen gibt. Wenn ja, sendet der Webserver die Antwort HTTP 302 Found mit einer Location zurück. Bis jetzt sind mir zwei Locations bekannt:

http://xpsecuritycenter.com/install/Installer.exe

http://66.199.242.115/install.exe

Filename: Installer.exe
Source: xpsecuritycenter.com (206.161.126.40)
File size: 348100 bytes
MD5…: 49a2645cd2912f7dbbfdcae3c190f137
SHA1..: d4ee69c7d9debaf75846b9e30b443e97869d56d5
Erkennungsrate: 30/35 (85.72%)
Filename: install.exe
Source: 66.199.242.115
File size: 40960 bytes
MD5…: 12d390e0a38385faaaccc28f11dc536b
SHA1..: 72a769d6779de775a90aee5d09fb0dac551dd76f
Erkennungsrate: 12/35 (34.29%)

Bei dem nachgeladenen File Installer.exe handelt es sich wie beim letzten Mal um so genannte Rogue Software. Diesmal installiert er ein Antivirus Namens “XP SecurityCenter”. Nach dem Ausführen von Installier.exe lädt er massenweise Binaries nach:

www.xpsecuritycenter.com/XPSecurityCenter/Binaries1.zip
www.xpsecuritycenter.com/XPSecurityCenter/Binaries2.zip
www.xpsecuritycenter.com/XPSecurityCenter/Binaries3.zip

Im ersten ZIP befindet sich die Datei xpsecuritycenter.exe:

Filename: xpsecuritycenter.exe
File size: 525028 bytes
MD5…: 0fe50b8e1d0c91179ad08292a1dac146
SHA1..: 9c53d09aff438f7b9c60e4243c303e7963bff91e
Erkennungsrate: 24/35 (68.57%)

Im zweiten ZIP File befinden sich diverse DLL-Dateien. Im dritten ZIP File ist ein veraltetes DAT-File von ClamAV (10 Feb 2008 20-57 +0000) zu finden. Hat er die Binaries einmal installiert, meldet er sich regelmässig bei softcashier.com (216.195.56.82) und virus-quick-scan.com (216.195.56.88):

http://softcashier.com/members/update_inst.php

Infizierten Usern wird der Gang zu einem Fachmann empfohlen um den Trojaner vom System zu entfernen.

UPDATE 25.07.08 10:58 Uhr

Während gestern das Mail an Deutsche Nutzer heraus gegangen ist (CH, DE, AT), scheint das Mail heute auch auf englisch seine Kreise zu drehen:

From: Cutomer Service
Subject: Your parcel is at the customs office

Hello,

We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.

Kind regards,
Debora Betts
Your Customs Service

Das E-Mail trägt den Anhang Bill_Tax.zip worin sich die ausführbare Datei Bill_Tax___________________________N89798742344.exe befindet:

Filename: Bill_Tax______N89798742344.exe
File size: 56320 bytes
MD5…: dd2bddde963c8f6d5a9f0c0de6d4457b
SHA1..: b06b683b981d3a6b6cd0fa6181093fb32905ff1f
Erkennungsrate: 14/35 (40%)

Was mich momentan nicht verwirrt, ist, dass die Englische Version das wsnpoem Verzeichnis sowie die ntos.exe erstellt:

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\video.dll

Danach holt sich wsnpoem das Konfigurations-File sowie weiteren Schadcode von baltikaredison.ru (91.203.92.4):

http://baltikaredison.ru/alaska/alaska.bin

http://superbaltikaneda.ru/alaskareserv/alaska.bin

http://baltikaredison.ru/alaska/alaska.exe

Danach meldet er sich regelmässig bei der selben Domain:

http://baltikaredison.ru/alaska/alaska.php

UPDATE 25.07.08 13:02 Uhr

Auch die Englische Variante scheint Rogue Software nach zu laden:

GET http://alparslanovayurt.com/index1/ldr.exe (85.159.66.19)

Filename: ldr.exe
File size: 25088 bytes
MD5…: 2f8c7ef766493d2b5f8a2ecddb6d217f
SHA1..: 9abf6645afb2fbe6f82559287c0d01032ea4997d
Erkennungsrate: 11/35 (31.43%)

und danach

GET http://nimolp.net/imgs/ld.php (92.62.101.8)
GET http://presents.avxp-08.com/scan (195.93.218.197)

Wer haben wir denn da? Unser alter Freund Antivirus XP 2008. Und was fehlt jetzt noch? Genau; Der Spam-Mailer PushDo:

GET http://66.199.242.115/loader3.exe
File size: 30720 bytes
MD5…: ce5d185bd8cfa0ce2d7afb4db47e080c
SHA1..: 7506482ef8ee5bde88a92210880aa613a1e45341
Erkennungsrate: 8/35 (22.86%)

3 Responses to “wsnpoem: Rechnung_S833.zip”


  • Achtung!!!
    Mit dem Ding ist nicht zu spassen.
    Nach dem ersten booten (nach der Infizierung) geht das Ding auch auf den USB-Stick und schreibet dort zwei Dateien, Autostart.inf und exe. Die exe hat die gleiche Grösse wie die Userinit.exe im Autostart und die Svchost.exe im Root vom Userprofil-Verzeichnis. Nebenbei hat er das Verzeichnis C:\Windows\System32\appmgmt erstellt mit zwei weiteren Unterverzeichnissen. Dies obwohl der “Normale” Benutzer dort keine schreibrechte hat!!!
    Dies habe ich festgestellt bei einer Infizierung unter “Benutzer-Rechte” also keinerlei Adminrechte.

  • Anmerkung:
    Die beiden Dateien Autostart.inf und Autostart.exe haben das Attribut Hidden und System. Sind also nicht “einfach” ersichtlich.

  • Sorry, Fehlinformation was das Verzeichnis appmgmt angeht. Das Verzeichnis wurde durch eine Sicherheitssoftware erzeugt, die unmittelbar vor der Infektion deinstalliert wurde.

    Präzisierung, Der USB-Stick muss beim Booten bereits eingesteckt sein.

    Sorry!!!

Leave a Reply




economics-recluse
Scene
Urgent!