Malware missbraucht funpic.de

Published on February 14, 2008 in Malware & Virus Analysing. 1 Comment Tags: , , , , , , .

Heute habe ich folgendes Email in meinem Postfach erhalten:

trojandownloaderwin32smalliil.jpg

Das Email umwirbt ein angebliches Tool mit dem Namen ReGet Deluxe Final Activation Crack generatro. Der Schreibfehler generatRo (anstelle von generatoR) wurde wahrscheinlich mit Absicht gemacht, um die gängigen Spam-Filter zu umgehen.

Das Email ist in HTML geschrieben. Hinter dem Text Download it now! verbirgt sich ein vermeidlicher Link zu google.com. Sieht man sich den Link jedoch genauer an bemerkt man, dass die eigentliche URL auf funpic.de verweist. funpic.de ist ein Gratis Webhoster, welcher mit Yahoo GeoCities (geocities.yahoo.com) vergleichbar ist. Klickt man also auf den Link, leitet google.com das Opfer weiter zu folgender URL:

http://bibo1981.bi.funpic.de/baustelle/movie/rdown.php

Beim aufruft dieser URL wird das Opfer aufgefordert, eine EXE-Datei mit dem Namen mpg.exe herunter zu laden. Die Datei wird zur Zeit (2008.02.14 11:38:59 [CET]) durch 19 von 32 getesteten Virenscannern erkannt. Kaspersky identifiziert den Virus als Trojan-Downloader.Win32.Small.iil.

Filename: mpg.exe
File size: 1405 bytes
MD5: aabce2758862f177b8c3a426b1aeb22a
SHA1: 93d19432344b6fab56fa18d04a65daff0b2022ec
PEiD: FSG v2.0 -> bart/xt
packers: FSG
packers: FSG

Versucht man auf das Verzeichnis zu zugreifen in welche die infizierte Datei liegt, entdeckt man folgendes:

dir-baustelle-movie.jpg

Wie man auf dem oberen PrintScreen sieht, listet das Verzeichnis sämtlichen Inhalt auf. Dabei kommt noch eine zweite EXE-Datei mit dem Namen activ852.exe zum Vorschein. Die Datei wird zur Zeit von den meisten Virenscannern erkennt (27/31, 2008.02.14 11:01:33 [CET]). Kaspersky erkennt die Datei als Trojan.Win32.Agent.epo:

Filename: active852.exe
MD5: 78729d8f489358a3a8003142ebc1e811
SHA1: 90bed63e81dcd520946c979a7b72f45972671774
SHA256: 20ca862e4dc0059ae17ff473080d0ad5b575977afa634d63ec656027dba2bfa4
SHA512: 8fafb3e7bc848e00b2d0d4ef9b4acef4c15b7cbbca2bf5bdd46f425d0bdee738 3784bbb30c7e8376cd0f68e252e14fa97239ce5a3281c58785f8ecdde53a2f2b

Bis jetzt habe ich die Malware nur auf http://bibo1981.bi.funpic.de gesichtet. Falls weitere subdomains gesichtet werden welche für die Verbreitung von Malware genutzt werden, sollten diese domains an den Abuse Desk von funpic.de gemeldet werden abuse [at] funpic.de.

1 Response to “Malware missbraucht funpic.de”

Feed for this Entry Trackback Address

Leave a Reply
economics-recluse
Scene
Urgent!