Search Results for 'wsnpoem'

Page 2 of 17

WSNPoem: client_update.zip

Seit heute Nacht verbreitet sich der Bankentrojaner ZeuS (aka WSNPoem / Zbot) über eine neue Spam-Welle. Die Spam-Welle scheint diesmal wieder ziemlich Massiv zu sein. Das Mail mit ZeuS im Handgepäck möchte den Benutzer dazu verleiten, den angeblichen Mail Client im Anhang zu installieren:

Subject: Microsoft Outlook Setup Notification

You have (8) message from Outlook Express.

Please re-configure your Outlook Express again.

Download attached setup file and install.

Absender Email Adresse sowie der Betreff variieren:

  • Outlook Express Setup Notification
  • Microsoft Outlook Setup Notification
  • TheBat Setup Notification
  • Je nach Betreff der Spam-Email variiert auch der Text des Spam-Emails:

    You have (4) message from TheBat.

    Please re-configure your TheBat again.

    Download attached setup file and install.

    You have (8) message from Outlook Express.

    Please re-configure your Outlook Express again.

    Download attached setup file and install.

    You have (9) message from Outlook Express.

    Please re-configure your Microsoft Outlook again.

    Download attached setup file and install.

    Im Attachment client_update.zip befindet sich der Trojaner ZeuS (client_update.exe):

    Filename: client_update.exe
    File size: 38144 bytes
    MD5…: c81ba436d85bba944adb74b86c90fae8
    SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
    Erkennungsrate: 26/40 (65.00%)

    Fürt der Empfänger des Spam-Mails das Attachment aus, nistet sich der Trojaner im System32 Verzeichnis des Rechners ein:

    C:\WINDOWS\system32\sdra64.exe
    C:\WINDOWS\system32\lowsec
    C:\WINDOWS\system32\lowsec\user.ds
    C:\WINDOWS\system32\lowsec\local.ds

    Danach meldet sich der Trojaner regelmässig bei einem Command&Control Server in der Ukraine (djellow.com [91.206.201.6]) und sendet gestohlene Daten wie z.B. Login Informationen zu Online Banking Accounts an eine Dropzone:

    GET http://djellow.com/djwlc/djwl.bin <- ZeuS configuration file
    GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
    GET http://dvstep.ru/bin.exe <- Latest ZeuS binary
    POST http://djellow.com/djwl/rec.php <- Dropzone

    Siehe abuse.ch ZeuS Tracker (dvstep.ru / djellow.com).

    Für diejenigen User, für welche die Meldung zu spät kommt, empfiehlt sich meine Anleitung zur entfernung von ZeuS / WSNPoem:

  • Entfernen von WSNPoem
  • Was definitiv nicht schadet, ist das blockieren der oben genannten Domains an den zentralen Unternehmens-Gateways bzw Proxy Servern:

  • djellow.com (91.206.201.6 – ANSUA-AS UA)
  • dvstep.ru (174.36.221.128 – SOFTLAYER USA)
  • WSNPoem: UPSTRACKING_DS9961201.zip

    Seit heute Nacht verbreitet sich der Trojaner WSNPoem (aka ZeuS / Zbot) mit einer neuen Spam-Welle in der Schweiz. Grund zur Beruhigung: Die Spam-Welle scheint bis an hin ziemlich klein zu sein:

    From: “United Parcel Service of America”
    Subject: Postal Tracking #xxxxxxxxxxxxxx

    Hello!

    We were not able to deliver postal package you sent on the 14th of March in time
    because the recipients address is not correct.
    Please print out the invoice copy attached and collect the package at our office.

    Your United Parcel Service of America

    Attachment: UPSTRACKING_DS9961201.zip

    Absender Email Adresse sowie die Nummer im Betreff variieren. Im Attachment UPSTRACKING_DS9961201.zip befindet sich ein Trojan-Dropper:

    Filename: UPSTRACKING_DS9961201.exe
    File size: 50176 bytes
    MD5 : 4be0d4b1dbc2d7ba92b6c920388ae4bb
    SHA1 : 3e8cd1b64316e0127e8d84d508dd78a20373ae31
    Erkennungsrate: 18/40 (45.00%)

    Der Trojaner nistet sich im System32 Verzeichnis (z.B. C:\WINDOWS\system32\wbem\grpconv.exe) ein und nimmt Kontakt mit einem Command&Control Server auf:

    GET http://dollarpoint.ru/abc/controller.php

    Die Domain dollarpoint.ru wird auf einem Server in der Ukraine gehostet:

    dollarpoint.ru (91.212.158.100)

    inetnum: 91.212.158.0 – 91.212.158.255
    netname: Nice-NET
    descr: Nice LTD
    country: UA

    Danach lädt der infizierte Rechner einen Rogue Antivirus (FakeAV) nach:

    GET http://trucount3002.com/cgi-bin/promo.pl

    Filename: lsp.exe
    Filename: File size: 104960 bytes
    MD5 : 9c9c2f242295e9bfaffecaab373b1f20
    SHA1 : cacca42a9dd766c2d4f504bb8cffea379253a36d
    Erkennnugnsrate: 16/40 (40.00%)

    Nun lädt der Trojaner WSNPoem ein Config-File von bklinkov.ru nach:

    GET http://bklinkov.ru/hi/start.cfg

    Des Weiteren meldet sich der Trojaner regelmässig bei einem C&C Server und lädt gestohlene Daten hoch:

    POST 91.212.158.6/himain/upload.php

    Was bisher etwas schleierhaft ist, ist die Frage, ob WSNPoem bereits im Email Anhang (UPSTRACKING_DS9961201.exe) bzw. dem Trojan-Dropper drin ist oder ebenfalls erst nachgeladen wird.

    Fazit

    Folgende URLs werden vom Trojan Dropper, der nachinstallierten Rogue Software sowie dem WSNPoem Trojaner kontaktiert und sollten deshalb blockiert werden:

  • dollarpoint.ru
  • trucount3002.com
  • hostvegass.ru
  • 91.212.158.6
  • onlinescanxppp.com
  • bklinkov.ru
  • antivirus-xppro2009.com



  • economics-recluse
    Scene
    Urgent!