Tag Archive for 'Antivirus XP 2008'

Gefälschtes Flash Player Update: Watch Free Movie

In letzter Zeit werden meine Honeypots regelrecht zugespamt mit E-Mails, welche mir irgendwelche Videos versprechen:

Betreff: John Mccain Sex Video Yanked From Youtube.Com
Britney Spears In Near Fatal Car Crash http://etalon-prru.43.com1.ru/stream.html

Betreff und Text der E-Mails variieren. Hier ein paar weitere (aktuellere) Samples:

Betreff: First woman to be signed in NFL
Guy Ritchie says marriage to Madonna is “fine”

http://ecotrike-bg.com/fresh.html

Betreff: Teen curfew instituted in California
Snake swallows pet cat http://osniehus.de/fresh.html
Betreff: Oprah raises money for Obama fundraiser
MRI show promise for detection of early Alzheimer’s http://mysna.net/fresh.html
Betreff: Monkey shoots trainer with tranquilizer
You are given a warning letter from the IT department http://btplocation.com/fresh.html
Betreff: Obama swears to get even
Father kidnaps daughter during social visit

http://08c.de/fresh.html

Was sofort auffällt, ist, dass die umworbenen URLs jeweils auf die Datei fresh.html zeigen (wobei die älteren Samples auf stream.html zeigen) sowie der Titel der URL immer gleich lautet: “Watch Free Movie – Update Every Hour!“. Des Weiteren sind die umworbenen Webseiten mit höchster Wahrscheinlichkeit gehackt. Die Seiten sehen jeweils identisch aus und versuchen den Benutzer davon zu überzeugen, dass dieser eine falsche FlashPlayer Installation hat und man eine neuere Version bräuchte, um das Video anschauen zu können:

Die FlashPlayer Installation kommt jedoch nicht von Adobe sondern von der gehackten Webseite:

Filename: get_flash_update.exe
File size: 78848 bytes
MD5…: c81b29a3662b6083e3590939b6793bb8
SHA1..: d513275c276840cb528ce11dd228eae46a74b4b4

Führt man die Datei get_flash_update.exe aus, installiert sich nicht etwa der Adobe FlashPlayer sondern eine so genannte “Rogue Software” mit dem Namen Antivirus XP 2008. Die Software ist uns ja bereits von wsnpoem bekannt (Siehe userinit.exe – Ein Ãœberblick. Die Infektion fällt sofort auf, da das Hintergrundbild der Betriebssystems abgeändert und ein Icon auf dem Desktop erstellt wird:

Ist die Rogue Software einmal installiert, startet Antivirus XP 2008 sofort mit einem Systemscan um nach Viren auf dem Rechner zu suchen. Der Systemscan dauert ein paar Minuten und der “Infected:” Zähler zählt bis über 1’500 angeblich infizierte Dateien herauf und fragt den Benutzer, ob er die infizierten Dateien entfernen soll. Schliesst man Antivirus XP 2008, nistet dieser sich als Trayicon ein und zeigt dem User eine “Anivirus XP 2008 demo mode notice”. Mit einem klick auf “Click here to switch to Full Mode”, gelangt man zum Online Shop auf www.avxp2008.com/buy.

Arbeitet man eine Weile nicht am Computer, taucht plötzlich ein Bluescreen auf. Dabei handelt es sich jedoch um einen gefälschten Bluescreen, welcher mittels Bildschirmschoner angezeigt wird. McAfee erkennt den Bildschirmschoner (SCR Datei mit beliebigem Namen) als Joke-Bluescreen.c. Das Fiese an der Geschichte ist, dass nach der Infektion die Registerkarten “Desktop” und “Bildschirmschoner” im Menü “Eigenschaften von Anzeige” nicht mehr angezeigt werden:

Somit kann der Bildschirmschoner und das Hintergrundbild nicht mehr abgeändert werden. Was der User jedoch nicht sieht, ist, was Antivirus XP 2008 im Hintergrund so alles herunterlädt und ausführt:

Die Software erstellt und startet nach dem Ausführen zwei Prozesse:

C:\WINDOWS\system32\CbEvtSvc.exe
C:\WINDOWS\system32\belibigezahlenundzeichen.exe

Bei der Datei CbEvtSvc.exe handelt es sich um ein Backdoor (Trojaner), welcher zwei beliebige TCP Ports über 1000 öffnet (z.B: 1066 und 1067). Des Weiteren erstellt er eine weitere Datei im system32 Verzeichnis, wessen Dateiname variiert (Zeichenfolge aus Zahlen und Buchstaben). Wir nennen diese Datei nun einfach mal lphctfcj0eld9.exe. Die Datei ist VMware resistent. Das heisst sie lässt sich nicht in einer virtuellen Umgebung ausführen. Mit dieser Anti-VMware Technik soll es den Antivirenherstellern erschwert werden, die Malware zu analysieren. Dieser Prozess ist auch dafür verantwortlich, dass die vorher bereits erwähnten Registerkarten nicht mehr angezeigt werden. Danach nimmt der Prozess Kontakt mit zu folgenden Domains auf:

youpornztube.com (85.255.117.163)
avxp2008.com (85.255.114.170)
winifixer.com (85.255.118.171
antispyspider.us (72.9.98.234)

Die vorher geöffneten Ports von CbEvtSvc.exe werden nun für die TCP Kommunikation mit 85.255.118.171 und 85.255.114.170 genutzt (Port 80). Wer denkt, das wäre alles, irrt sich. Die Rogue Software lädt weiteren Schadcode nach:

http://78.109.19.50/install.exe
Filename: install.exe
File size: 110080 bytes
MD5…: 8b86c69e3566c68c92412601dd24698e
SHA1..: c85e6a2c786b18eddcd4bab211aa526bf28ea00f
Erkennungsrate: 8/35 (22.86%)
http://78.109.19.50/28scan1.exe
Filename: scan28.exe
File size: 110080 bytes
MD5…: 60ee7698594e5392fb5886bcbdc375a2
SHA1..: b390154bdf2d2d37577adc2695e135fdd34f51f0
Erkennungsrate: 11/35 (31.43%)

Danach werden zwei POST request an 208.72.168.191 gesendet, wobei er sich regelmässig bei data.php meldet:

POST http://208.72.168.191/login.php
POST http://208.72.168.191/data.php

Fazit: Nach dem sich die Software einmal installiert hat, kriegt man diese fast nicht mehr vom System weg. Deshalb gilt:

  • Hände weg von angeblichen “Active X Codecs”, “Video Codecs”, Java- oder Flash-Player Updates.
  • Java oder Flash Player Updates sollten immer von der Hersteller-Webseite (java.com bzw. adobe.com) heruntergeladen & installiertwerden.
  • Falls eine Webseite Sie auffordert einen Video- oder “Active X”-Codec zu installieren, überprüfen Sie ob die Webseite vertrauenswürdig ist (Ein gutes Tool dafür ist der McAfee SiteAdvisor welches Gratis zu haben ist).
  • Falls Sie nicht sicher sind, ob es sich beim heruntergeladenen Update oder Codec um eine Malware handelt, laden Sie die Datei auf virustotal.com rauf und überprüfen Sie das Ergebniss.
  • Klicken Sie auf keine Links in E-Mails, dessen Absender Sie nicht kennen oder Ihnen der E-Mail Text verdächtig vorkommt.
  • Suchen Sie bei Virenbefall sofort einen Fachmann auf.
  • UPDATE 22:56 Uhr

    Die neusten Spam-Mails dieser Sorte verweisen auf eine HTML Datei mit dem Namen checkit.html:

    Betreff: Subprime crisis claims thousands of homes
    LaBeouf booked for DUI and resisting arrest http://08c.de/checkit.html



    economics-recluse
    Scene
    Urgent!