Tag Archive for '216.195.61.87'

Neue version von Trojan.Win32.Pakes im Umlauf

Published on December 24, 2007 in Malware & Virus Analysing. 0 Comments Tags: , , , , , .

Heute habe ich folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Horace Parr”
To: marco@rbl.abuse.ch
Subject: Something hot

Helo, buddy!

Hey, Did you see this????? Angelina Jolie played in hardcore porn!!
Watch in attachment…

Good Bye.

Attachement: hard.zip

Im Attachement hard.zip ist folgende Datei zu finden:

File name: hard.scr
File size: 20992 bytes
MD5: 601392bea264054d2a5b02ef79a8d4ab
SHA1: 452360840181742de7d1e5f52958bee45adf1260

Das Attachment ist mit dem Virus Trojan-Dropper.Win32.Agent.dgf (F-Secure) infiziert. Eine frühere Version des Trojaners habe ich am 11. Dezember 2007 bereits einmal analysiert: Post vom 1. Dezember 2007 “Trojan.Win32.Pakes.btf (F-Secure) im Umlauf”

Beim ausführen der Datei hard.scr lädt der Virus zusätzliche Malware nach (Email-Worm.Win32.Agent.bc – F-Secure):

GET 67.18.114.98/*hashkey*
GET 208.66.195.71/*hashkey*

Des weiteren kontaktiert der Virus (wie auch der Vorgänger) die IP-Adresse 216.195.61.87 auf Port 2581

Trojan.Win32.Pakes.btf (F-Secure) im Umlauf

Published on December 11, 2007 in Malware & Virus Analysing. 1 Comment Tags: , , , , , .

Um 9:34 (GMT +1) erhielt ich ein Mail mit einem Virus, welcher laut VirusTotal zur Zeit (12.11.2007 10:30:47 (CET)) durch 5/32 (ClamAV, F-Secure, Ikarus, Kaspersky, Webwasher-Gateway) Antivirenhersteller erkennt wird. Das Mail sieht wie folgt aus:

Subject: Card from Adult Sex Finder
Attachement: card.zip
Good morning, friend!

Monica T. sent you animated card with her photos. You can check card in your attachment.


Best regards
Adult Friend Finder

Der Betreff kann zwischen “Card from Adult Sex Finder”, “Card from Adult Friend Finder”, “You have card” variieren.
Das Attachement card.zip hat folgendes File als Inhalt:

File Name: card.scr
File size: 19968 bytes
MD5: 2d4fb20cd95d6411d4274ec617a758de
SHA1: d27d2a91a707f1ab29d3307b9246b5f317fbbba8

Es ist empfehlenswert, Files mit der Dateiendung *.scr bereits am Mailgateway zu blockieren, da diese zu 99,99% mit Viren verseucht sind!

Weitere Infos folgen…

UPDATE 11.12.2007 12:41 (GMT +1)

McAfee hat den Virus soeben als neu Erkennung Spy-Agent.bv.dldr trojan bestätigt:

RE: Escalated – 4433412: Webimmune
A.V.E.R.T. Sample Analysis
Issue Number: 4433412
McAfee Avert(tm) Labs, Aylesbury, UK
Identified: Spy-Agent.bv.dldr trojan

UPDATE 11.12.2007 17:33 GMT +1

Ich habe das File auf meiner Labormaschiene einmal unter die Lumpe genommen.
Als erstes holt sich der Virus ein Konfigurations File von http://208.66.194.242/40e8001….., dann Kontaktiert er den Server bei 216.195.61.87. Danach folgt das Ausführen der durch das Konfigurations File erhaltenen Aufgaben: Weiter Verbreitung per Email.

Kontaktierte Hosts
208.66.194.242 auf Port 80 (McColo Corporation, USA)
216.195.61.87 auf Port 2581 (APS Telecom, USA)
economics-recluse
Scene
Urgent!