wsnpoem: UPS_E9712.zip

Nach den Deutschen und Englischen WSNPoem (aka zbot) Wellen ist seit heute Nacht kurz nach 02:00 Uhr (GMT +0200) eine Französische Spam-Welle mit dem Betreff: “UPS colis postal” unterwegs:

Betreff: UPS colis postal
Bon jour,
malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoyé le 1er juillet,
parce que l’adresse du Destinataire n’existe pas.
S’il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli
a notre office a l’adresse indiquee a la facture.
Consultant Pierre Briggs,
UPS

Der Betreff scheint immer der Selbe zu sein, wobei die Anrede im Mail Text jedoch variiert:

Je vous salue
Chers clients
Bon jour

Das Mail trägt das Attachement UPS-E9712.zip, in welcher sich wie immer wsnpoem verbirgt:

Filename: UPS_E9712.exe
File size: 58880 bytes
MD5…: acf8e6e79111ce9fd80a0de9aa15bc32
SHA1..: c852ddab6bd1c475fb46dd7e48fc11fde8b20cab
Erkennungsrate: 9/35 (25.72%)
Kaspersky: Trojan-Spy.Win32.Zbot.dnk

Der Trojaner erstellt wie immer das wsnpoem Verzeichnis und darin die beiden DLLs audio.dll und video.dll sowie die Datei ntos.exe im system32 Verzeichnis. Danach kontaktiert er die Domain ahleinaks.ru (91.203.92.91) sowie die IP-Adresse 66.199.242.115 und lädt weiteren Schadcode nach:

http://ahleinaks.ru/millioner/millioner.bin

http://66.199.242.115/feed.exe

Danach meldet sich WSNPoem regelmässig bei seinen Autoren:

http://ahleinaks.ru/millioner/milliomer.php

Was nun wie immer noch fehlt ist eine Rogue Software:

http://virus-quick-scan.com/? (216.195.56.88)
http://xpsecuritycenter.com/landing/9/? (206.161.126.40)

Das Script auf xpsecuritycenter.com gibt beim Aufrufen eine Location (HTTP 302 found) zurück:

Location: /install/Installer.exe

Und was verbirgt sich in dem File Installer.exe? Die Rogue Software XPSecurity Center:

Filename: Installer.exe
File size: 348100 bytes
MD5…: 49a2645cd2912f7dbbfdcae3c190f137
SHA1..: d4ee69c7d9debaf75846b9e30b443e97869d56d
Erkennungsrate: 30/35 (85.72%)
McAfee: FakeAlert-XPSecCenter

UPDATE 09:25 Uhr

MELANI hat die neue Spam-Welle soeben bestätigt und eine entsprechende Warnung herausgegeben:

8. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

3 Responses to “wsnpoem: UPS_E9712.zip”


  • Zur Info: Habe das Ding soeben quasi von der französischen Post (“La Poste”, “support@laposte.fr”) erhalten.

  • Hm… 2ter Versuch eine Antwort zu schreiben:

    Du schreibst im Bericht zu den UPS-Mails von “Rouge Software”

    Da hasst du leider das falsche Wort erwischt: Rouge = französisch für rot.
    Das Wort, welches du suchtest wäre Rogue = englisch für Schurke ;)

  • *edit* hast schreibt man natürlich mit einem s^^

Leave a Reply




economics-recluse
Scene
Urgent!