Nach den Deutschen und Englischen WSNPoem (aka zbot) Wellen ist seit heute Nacht kurz nach 02:00 Uhr (GMT +0200) eine Französische Spam-Welle mit dem Betreff: “UPS colis postal” unterwegs:
Bon jour,
malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoyé le 1er juillet,
parce que l’adresse du Destinataire n’existe pas.
S’il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli
a notre office a l’adresse indiquee a la facture.
Consultant Pierre Briggs,
UPS
Der Betreff scheint immer der Selbe zu sein, wobei die Anrede im Mail Text jedoch variiert:
Chers clients
Bon jour
Das Mail trägt das Attachement UPS-E9712.zip, in welcher sich wie immer wsnpoem verbirgt:
File size: 58880 bytes
MD5…: acf8e6e79111ce9fd80a0de9aa15bc32
SHA1..: c852ddab6bd1c475fb46dd7e48fc11fde8b20cab
Erkennungsrate: 9/35 (25.72%)
Kaspersky: Trojan-Spy.Win32.Zbot.dnk
Der Trojaner erstellt wie immer das wsnpoem Verzeichnis und darin die beiden DLLs audio.dll und video.dll sowie die Datei ntos.exe im system32 Verzeichnis. Danach kontaktiert er die Domain ahleinaks.ru (91.203.92.91) sowie die IP-Adresse 66.199.242.115 und lädt weiteren Schadcode nach:
http://66.199.242.115/feed.exe
Danach meldet sich WSNPoem regelmässig bei seinen Autoren:
Was nun wie immer noch fehlt ist eine Rogue Software:
http://xpsecuritycenter.com/landing/9/? (206.161.126.40)
Das Script auf xpsecuritycenter.com gibt beim Aufrufen eine Location (HTTP 302 found) zurück:
Und was verbirgt sich in dem File Installer.exe? Die Rogue Software XPSecurity Center:
File size: 348100 bytes
MD5…: 49a2645cd2912f7dbbfdcae3c190f137
SHA1..: d4ee69c7d9debaf75846b9e30b443e97869d56d
Erkennungsrate: 30/35 (85.72%)
McAfee: FakeAlert-XPSecCenter
UPDATE 09:25 Uhr
MELANI hat die neue Spam-Welle soeben bestätigt und eine entsprechende Warnung herausgegeben:
8. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren
