wsnpoem: “Der Vertrag”

Neues von wsnpoem! Habe heute folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Clyde Gillespie”
To: *honeypot*
Sent: Fri, 11 Apr 2008 12:11:32 +0200
Subject: Der Vertrag

Guten Tag!

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von
Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfallt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Im Anhang ist eine Datei Namens debt.2007.10.29.6467730.pdf angefügt. In der Datei befindet sich wsnpoem, welcher derzeit erst von einigen Antivirenherstellern heuristisch erkennt wird:

Filename: debt.2007.10.29.6467730.pdf
File size: 54453 bytes
MD5…: 0bd048c0db7e3f781e5f88284f5c0baa
SHA1..: 2db9d6d446c4cdc03dcfa6da7e84f141ff6562b4
Erkennungs-Rate: 7/32 (21.88%)

Benennt man die Endung von .pdf auf .rar um und öffnet das File mit z.B. WinRAR, findet man die eigentliche Malware in der Datei vertrag.exe vor:

Filename: vertrag.exe
File size: 64122 bytes
MD5…: 88c6f4706e5d4a5467cfff38a2624b7b
SHA1..: 2b6b0e81f3fba9ac4f5c207e59c526e8f4fe9337
PEiD..: DCrypt Private 0.9b -> drmist
Erkennungs-Rate: 7/32 (21.88%)

Wieso die Datei als PDF abgespeichert ist und nicht als RAR, ist mir noch schleierhaft. Ich werde Euch auf dem Laufenden halten.

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 13:17 Uhr

Ich habe meine Honigtöpfe soeben etwas genauer durchforstet und das exakt gleiche Mail gefunden mit der Datei vertrag.rar als Anhang anstelle von debt.2007.10.29.6467730.pdf. So wie es aussieht, werden die Mails also mit PDF und RAR Anhang verschickt. Der Grund dafür ist mir leider noch unklar, da es beim Ausführen des PDF Files zu keiner Infektion kommt.

UPDATE 16:29 Uhr

Auch MELANI hat reagiert und ihre Warnung vom 4.4.2008 aktualisiert:

3. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 22.05.2008

Seit heute Morgen scheint das selbe Mail wieder die Runde zu machen, jedoch mit einer neuen Variante des Trojaners und diesmal auch mit dem Betreff “Mietvertrag” oder “Darlehensvertrag”. Das File ist diesmal ein ZIP Archiv, welches die ausführbaren Datei “Vertrag.exe” beinhaltet:

Filename: Vertrag.zip
File size: 66894 bytes
MD5…: ebd7bc66ef4de14819d0334e2ac56fae
SHA1..: 28dd38f68dae474a1cb8809c94734ae94b4ac4dc
Filename Vertrag.exe
File size: 70774 bytes
MD5…: 72b8e2cd965f54fe924cba585e64d216
SHA1..: ab79ad34f85a87634eb73975d19c7d20d602bd68

Die Erkennungsrate der Antivirenprodukte liegt derzeit bei 13/32 (40.62%).

Es wird empfohlen, Mails mit dem Betreff “Der Vertrag” sowie dem Attachment “Vertrag.zip” nicht zu öffnen sondern umgehend zu löschen.

UPDATE 14:50 Uhr 22.05.2008

Auch MELANI hat auf die erneute Erscheinung solcher E-Mails reagiert:

4. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Nach der Infizierung durch wsnpoem nimmt der Trojaner Kontakt zu den folgenden Webserver auf und holt sich die aktuellsten Konfigurations-Dateien:

http://valarsrent.ru

http://newvalarsrent.ru

UPDATE 24.05.0008

Die Welle solcher Mails scheint nicht aufzuhören. Gestern Abend habe ich nochmal ein solches “Vertrags”-Mail bekommen, diesmal jedoch mit einem anderen Betreff (“Bestellugsvertrag”) sowie einem anderen Attachement:

Filename: Vereinbarung.rar
File size: 66649 bytes
MD5…: 61a4c061c4f94e054dfb6babe4aeabcb
SHA1..: 23a8a7f7ee77620f37b6625c09058815475b16a5
Erkennungsrate: 18/32 (56.25%)
Filename: Vertrag.exe
File size: 64675 bytes
MD5…: 10add4d02743f4b65d794acc8b0db390
SHA1..: 74b6c9ed6053303eca0fb748a142881e3012feb8
Erkennungsrate: 18/32 (56.25%)

0 Responses to “wsnpoem: “Der Vertrag””


  • No Comments

Leave a Reply




economics-recluse
Scene
Urgent!