Tag Archive for 'Abbuchungsvertrag'

wsnpoem: Kostenauflistung.rar

Seit heute Mittag verbreitet sich WSNPoem mit eine neue Spam-Welle:

Sehr geehrte Damen und Herren

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Wie immer haben die Mail-Autoren Probleme mit den Umlauten im E-Mail Text. Der Betreff der E-Mail variiert:

  • Abbuchungsvertrag
  • Lastschrift
  • Mietvertrag
  • Bestellugsvertrag
  • Abrechnungsvertrag
  • Konto eroeffnet
  • Leihvertrag
  • Abbuchungserlaubnis
  • Ihr neuer Arbeitsvertrag
  • Auch die Anrede im E-Mail Text ist nicht immer die Selbe:

  • Guten Tag!
  • Hallo
  • Sehr geehrte Damen und Herren
  • Das Attachement “Kostenauflistung.rar” enthält die ausführbare Datei “Kostenauflistung.exe”, welche den Trojaner wsnpoem beinhaltet. Derzeit erkennen nur 2 Antivirenhersteller die Malware:

    Filename: Kostenauflistung.exe (von Kostenauflistung.rar)
    File size: 58368 bytes
    MD5…: 7e472329517dde73c40e7e02949a4790
    SHA1..: 84fa881dcb52d9c2157b986b440372be52b19eec
    Erkennungsrate: 2/33 (6.07%)

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 18:58 Uhr

    Nach erfolgter infizierung nimmt der Trojaner, wie schon sein Vorgänger, Kontakt mit fixbserver.ru (91.203.92.27) auf und lädt dort ein Konfig-File sowie weiteren schädlichen Code nach:

    http://fixbserver.ru/bconfig/bconfigAhsAAs.bin
    Filename: bconfigAgsAAs.bin
    File size: 895 bytes
    MD5…: 0346cfb09141adeef8cb488bf2ca3eb2
    SHA1..: 872cab3c64519faeeb1a86bdc716302991d6227c
    Erkennungsrate: 1/33 (3.04%)
    http://fixbserver.ru/bconfig/bconfigAhsAAs.exe
    Filename: bconfigAhsAAs.exe
    File size: 50176 bytes
    MD5…: c961d9af5dfa3519c676287df88b7bee
    SHA1..: 25a3ca29ff448dce6ed1b983603344b970d730cb
    Erkennungsrate: 10/33 (30.31%)

    Etwas “neues” scheint die Datei “wli.exe” zu sein, welche der Trojaner ebenfalls nachladet:

    http://91.203.92.4/wli.exe
    File size: 25088 bytes
    MD5…: a2623f87a42a79a1ada6889a337c2827
    SHA1..: 28da8e9010d93e595e473d73fc74a76b99d834f9
    Erkennungsrate: 13/33 (39.39%)

    Der Trojaner meldet sich regelmässig bei “seinem Besitzer” und erzählt im einiges über den infizierten Computer (Land/IP Adresse/Betriebssystem):

    http://fixbserver.ru/bconfig/bredir22.php

    wsnpoem: Rechnung.rar

    Ich habe heute dutzende solcher Mails in meinen Honigtöpfen gefunden:

    Betreff: Leihvertrag

    Sehr geehrter Kunde, sehr geehrte Kundin!
    Ihr Abbuchungsauftrag Nr. 060659920298 wurde erfullt.
    Ein Betrag von 8530.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
    Sie finden die Details zu der Rechnung im Anhang

    PayPal (Europe) S.224; r.l. & Cie, S.C.A.
    22-24 Boulevard Royal
    L-2449 Luxembourg

    Vertretungsberechtigter: Brent Bellm
    Handelsregisternummer: R.C.S. Luxembourg B 118 349

    Der Betreff des E-Mails variiert zwischen:

  • Leihvertrag
  • Darlehensvertrag
  • Bestellungsvertrag
  • Mietvertrag
  • Konto eroeffnung
  • Abbuchungsvertrag
  • Tilgungsvertrag
  • Ihr neuer Arbeitsvertrag
  • Abbuchungserlaubnis
  • Die Mails tragen alle ein Attachement Namens “Rechnung.rar”, in welchem die ausführbare Datei “Rechnung.exe” steckt:

    Filename: Rechnung.exe
    File size: 66220 bytes
    MD5…: fd2d4bc6798fd373e041c1d28571b57e
    SHA1..: f253bc2e352a4163b8397d700cf60b89fbf6316b
    Erkennungsrate: 14/31 (45.17%)

    Bei dem Attachement handelt es sich eindeutig um unseren geliebten Freund WSNPoem. Nach einer erfolgreichen Infektion legt er das verstecktes Verzeichnis “C:\WINDOWS\system32\wsnpoem” an und erstellt dort die zwei dll-Dateien “audio.dll” und “video.dll”. Danach holt sich der Trojaner das aktuelle Config-File von 91.203.92.4.

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 2.06.08

    MELANI hat soeben eine entsprechende Warnung herausgegeben:

    5. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 6.06.08

    Seit heute Nachmittag sind erneut solche E-Mails im Umlauf: gleicher Betreff, gleicher Text und gleiches Attachement. Die Malware wird nun jedoch von fast allen Antiviren Herstellern erkannt:

    Erkennungsrate: 29/32 (90.63%)

    UPDATE 15.06.08

    Seit heute Nachmittag sind wieder E-Mails mit dem selben Text & Betreff im Umlauf. Das Mail besitzt auch wieder das Attachement “Rechnung.rar” in welchem sich jedoch nun eine neue Variante des Trojaners mit anderem Dateinamen befindet:

    Filename: sconfig_crypt.exe (von Rechnung.rar/4106)
    File size: 68160 bytes
    MD5…: b7d6f50bd91be5863e31388a60840e25
    SHA1..: 34214faee8bb436b7d84be9ae953560399455e2c
    Erkennungsrate: 9/32 (28.13%)

    Nach erfolgter Infizierung lädt der Trojaner ein Konfigurations-File von “fixaserver.ru” (91.203.92.3) und “fixbserver.ru” (91.203.92.27) nach:

    http://fixaserver.ru/sconfig/sconfig.bin

    http://fixbserver.ru/bconfig/bconfig.bin

    Ausserdem lädt er weitere Schadenssoftware nach:

    http://fixbserver.ru/bconfig/bconfig.exe

    Filename: bconfig.exe [Trojan-Spy.Win32.Zbot.cmn]
    File size: 50176 bytes
    MD5…: 7a1f7ba08342830536317c7691a7d651
    SHA1..: 973f497310c0d1a0564dc0a4e5c4905c6e74be57
    Erkennungsrate: 6/33 (18.19%)

    UPDATE 23.06.08

    Erneut sind Mails mit dem selben Betreff & Text unterwegs, jedoch wie gewohnt mit einer neuen Version des Trojaners an Bord. Das RAR-File enthält nun auch wieder die ausführbare Datei Rechnung.exe:

    Filename: Rechnung.exe (von Rechnung.rar)
    File size: 68165 bytes
    MD5…: e3c994e87504f28f60ea663023fd5acb
    SHA1..: a47e0514e08607241f714b82f1c0453f0485d6a8
    Erkennungsrate: 13/33 (39.4%)



    economics-recluse
    Scene
    Urgent!