Seit mehreren Tagen treibt nun schon eine Malware die Runde per Email, dessen Text und Betreff uns von WSNPoem bekannt vorkommt. Um so mehr verwirrend, dass es sich gar nicht um WSNPoem handelt. Hier ein paar Beispiele der erwähnten Emails:
11. August 2008
Hello,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.
Attachement: Contract.zip
Filename: Contract.exe
File size: 33787 bytes
MD5…: aa0099a35ac756950e81fa1646b0634a
Detection: Trojan.Crypt.ik
14. August 2008
Sehr geehre Damen und Herren,
Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
Wir warten auf Ihre Entscheidung.
Attachement: Vertrag.zip
Filename: Vertrag.exe
File size: 33787 bytes
MD5…: f8c14f7bd30a39c16abdb81839f3a1a2
Detection: Trojan.Crypt.iz
15. August 2008
Betreff: Abbuchungserlaubnis
Liebe Kunden,
Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
Wir warten auf Ihre Entscheidung.
Attachement: Vertrag_N_3.zip
Filename: Vertrag.exe
File size: 31064 bytes
MD5…: a406859197c18a46fdaa06cef3e21cd7
Detection: Trojan.Crypt.EE
Was bei allen Attachements gleich ist, ist das Symbol: Ein Office Word 2003 Symbol. Der Trojaner erstellt weder das wsnpoem Verzeichnis (C:\WINDOWS\system32\wsnpoem) noch die dazugehörige ntos.exe. Auch die von wsnpoem kontaktierten Domains rührt die Malware nicht an, vielmehr kontaktiert er Domains, welche ich bis anhin noch nie gesehen habe. Dabei sucht er sich scheinbar eine beliebige Domains aus der folgenden Liste aus, mit welcher er Kontakt aufnimmt:
aaszxi.ru (offline)
aaszxo.ru (offline)
aaszxp.ru (offline)
aaszxq.ru (offline)
aaszxr.ru (91.203.93.10)
aaszxt.ru (91.203.93.10)
aaszxu.ru (91.203.93.10)
aaszxw.ru (91.203.93.10)
aaszxy.ru (91.203.93.10)
Ein paar Domains sind bereits offline. Alle anderen zeigen auf die IP-Adresse 91.203.93.10. Die IP-Adresse ist uns zwar noch nicht bekannt, jedoch liegt sie im Netblock 91.203.92.0/22. Na hat’s klick gemacht? Ein Grossteil der uns bekannten wsnpoem liegen in dem selben Netblock (Siehe “Hinter den Kulissen von wsnpoem”)! Der Netblock ist bei Spamhaus unter SBL65512 mit dem Kommentar “Virus writers, malware spreaders, C&C servers” gelistet.
Nach der Infektion wird eine Script auf einer der obigen Domains kontaktiert. z.B::
Die Technik ist die Selbe wie bei wsnpoem: Der Server sendet ab und zu auf die Anfrage des infizierten Computers ein HTTP 302 Found mit einer Location zurück. Dabei verweist er (wie wsnpoem auch) auf andere URLs, wo sich der infizierter Rechner eine Rogue Software (Antivirus XP 2008) sowie einen SpamMailer (PushDo) nach lädt. Komisch nur, dass die letzte paar Varianten von wsnpoem die selbe Technik verwendet sowie den selben Schadcode nachlädt wie die aktuelle Malware.
Fazit
Nun gibt es drei Theorien zu der Malware:
Oder aber wir kommen der ganzen Geschichte auf die Schliche: Der Provider der erwähnten IP-Adresse (sprich des Netblocks) ist die UATELECOM mit Sitz in der Ukraine. Wir wissen, dass sich der Provider mehr und mehr in den Kreisen des RBNs bewegt. Es könnte also durch aus sein, dass das RBN seine Dienste über die UATELECOM weiterverkauft. Um etwas präziser zu werden: Wir wissen, dass es sich bei der eingesetzten Software zur Kontrolle des Botnets um ZeuS handelt. Möglich wäre es also, dass das RBN diese Software weiterverkauft und die Kunden dieser Software in dem genannten Subnet der UATELECOM hostet. Somit lässt sich auch erklären, warum die E-Mail Texte der beiden Trojaner die Selben sind (=das RBN bietet E-Mail Templates an).
Welche Theorie auch die Richtige sein mag, etwas bleibt immer gleich: Vorsicht bei E-Mail Attachements!
UPDATE 19.08.08 10:32 Uhr
Seit heute Morgen ca. 09:30 Uhr kursiert die Malware mit einer neuen Spam-Welle:
Betreff: Rent contract
Dear Sirs,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.
Der Betreff der E-Mail variiert zwischen Rent contract und Loan Contract:
Im Attachement Contract_2.zip befindet sich die selbe Malware wie auch in den Mails welche letzte Woche schon die Runde gedreht haben:
File size: 29184 bytes
MD5…: 95a7a29c4fb5af33b305090a19a11305
SHA1..: d3c537495e2620076961d015058f66a42e04fab0
Erkennungsrate: 11/36 (30.56%)
Der Trojaner kontaktiert die bereits oben erwähnten Domains, jedoch verweist er auf ein anderes Script:
Das aufgerufene Script arbeitet ebenfalls mit der bereits erwähnten “HTTP Locations” (HTTP 302 Found).
UPDATE 11:32 Uhr
Sophos hat soeben einen Blog Post zu der neuen Spam-Welle veröffentlicht:
SophosLabs blog: “No Clause for Concern”
0 Responses to “Trojan.Crypt: Vertrag_N_3.exe”