Tag Archive for 'Bestellugsvertrag'

wsnpoem: Kostenauflistung.rar

Seit heute Mittag verbreitet sich WSNPoem mit eine neue Spam-Welle:

Sehr geehrte Damen und Herren

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Wie immer haben die Mail-Autoren Probleme mit den Umlauten im E-Mail Text. Der Betreff der E-Mail variiert:

  • Abbuchungsvertrag
  • Lastschrift
  • Mietvertrag
  • Bestellugsvertrag
  • Abrechnungsvertrag
  • Konto eroeffnet
  • Leihvertrag
  • Abbuchungserlaubnis
  • Ihr neuer Arbeitsvertrag
  • Auch die Anrede im E-Mail Text ist nicht immer die Selbe:

  • Guten Tag!
  • Hallo
  • Sehr geehrte Damen und Herren
  • Das Attachement “Kostenauflistung.rar” enthält die ausführbare Datei “Kostenauflistung.exe”, welche den Trojaner wsnpoem beinhaltet. Derzeit erkennen nur 2 Antivirenhersteller die Malware:

    Filename: Kostenauflistung.exe (von Kostenauflistung.rar)
    File size: 58368 bytes
    MD5…: 7e472329517dde73c40e7e02949a4790
    SHA1..: 84fa881dcb52d9c2157b986b440372be52b19eec
    Erkennungsrate: 2/33 (6.07%)

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 18:58 Uhr

    Nach erfolgter infizierung nimmt der Trojaner, wie schon sein Vorgänger, Kontakt mit fixbserver.ru (91.203.92.27) auf und lädt dort ein Konfig-File sowie weiteren schädlichen Code nach:

    http://fixbserver.ru/bconfig/bconfigAhsAAs.bin
    Filename: bconfigAgsAAs.bin
    File size: 895 bytes
    MD5…: 0346cfb09141adeef8cb488bf2ca3eb2
    SHA1..: 872cab3c64519faeeb1a86bdc716302991d6227c
    Erkennungsrate: 1/33 (3.04%)
    http://fixbserver.ru/bconfig/bconfigAhsAAs.exe
    Filename: bconfigAhsAAs.exe
    File size: 50176 bytes
    MD5…: c961d9af5dfa3519c676287df88b7bee
    SHA1..: 25a3ca29ff448dce6ed1b983603344b970d730cb
    Erkennungsrate: 10/33 (30.31%)

    Etwas “neues” scheint die Datei “wli.exe” zu sein, welche der Trojaner ebenfalls nachladet:

    http://91.203.92.4/wli.exe
    File size: 25088 bytes
    MD5…: a2623f87a42a79a1ada6889a337c2827
    SHA1..: 28da8e9010d93e595e473d73fc74a76b99d834f9
    Erkennungsrate: 13/33 (39.39%)

    Der Trojaner meldet sich regelmässig bei “seinem Besitzer” und erzählt im einiges über den infizierten Computer (Land/IP Adresse/Betriebssystem):

    http://fixbserver.ru/bconfig/bredir22.php

    wsnpoem: “Der Vertrag”

    Neues von wsnpoem! Habe heute folgendes Mail in einer meiner Honigtöpfe gefunden:

    From: “Clyde Gillespie”
    To: *honeypot*
    Sent: Fri, 11 Apr 2008 12:11:32 +0200
    Subject: Der Vertrag

    Guten Tag!

    Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von
    Ihnen verlangt wurden.

    Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfallt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

    Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

    Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

    Wir warten auf Ihre Entscheidung.

    Im Anhang ist eine Datei Namens debt.2007.10.29.6467730.pdf angefügt. In der Datei befindet sich wsnpoem, welcher derzeit erst von einigen Antivirenherstellern heuristisch erkennt wird:

    Filename: debt.2007.10.29.6467730.pdf
    File size: 54453 bytes
    MD5…: 0bd048c0db7e3f781e5f88284f5c0baa
    SHA1..: 2db9d6d446c4cdc03dcfa6da7e84f141ff6562b4
    Erkennungs-Rate: 7/32 (21.88%)

    Benennt man die Endung von .pdf auf .rar um und öffnet das File mit z.B. WinRAR, findet man die eigentliche Malware in der Datei vertrag.exe vor:

    Filename: vertrag.exe
    File size: 64122 bytes
    MD5…: 88c6f4706e5d4a5467cfff38a2624b7b
    SHA1..: 2b6b0e81f3fba9ac4f5c207e59c526e8f4fe9337
    PEiD..: DCrypt Private 0.9b -> drmist
    Erkennungs-Rate: 7/32 (21.88%)

    Wieso die Datei als PDF abgespeichert ist und nicht als RAR, ist mir noch schleierhaft. Ich werde Euch auf dem Laufenden halten.

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 13:17 Uhr

    Ich habe meine Honigtöpfe soeben etwas genauer durchforstet und das exakt gleiche Mail gefunden mit der Datei vertrag.rar als Anhang anstelle von debt.2007.10.29.6467730.pdf. So wie es aussieht, werden die Mails also mit PDF und RAR Anhang verschickt. Der Grund dafür ist mir leider noch unklar, da es beim Ausführen des PDF Files zu keiner Infektion kommt.

    UPDATE 16:29 Uhr

    Auch MELANI hat reagiert und ihre Warnung vom 4.4.2008 aktualisiert:

    3. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 22.05.2008

    Seit heute Morgen scheint das selbe Mail wieder die Runde zu machen, jedoch mit einer neuen Variante des Trojaners und diesmal auch mit dem Betreff “Mietvertrag” oder “Darlehensvertrag”. Das File ist diesmal ein ZIP Archiv, welches die ausführbaren Datei “Vertrag.exe” beinhaltet:

    Filename: Vertrag.zip
    File size: 66894 bytes
    MD5…: ebd7bc66ef4de14819d0334e2ac56fae
    SHA1..: 28dd38f68dae474a1cb8809c94734ae94b4ac4dc
    Filename Vertrag.exe
    File size: 70774 bytes
    MD5…: 72b8e2cd965f54fe924cba585e64d216
    SHA1..: ab79ad34f85a87634eb73975d19c7d20d602bd68

    Die Erkennungsrate der Antivirenprodukte liegt derzeit bei 13/32 (40.62%).

    Es wird empfohlen, Mails mit dem Betreff “Der Vertrag” sowie dem Attachment “Vertrag.zip” nicht zu öffnen sondern umgehend zu löschen.

    UPDATE 14:50 Uhr 22.05.2008

    Auch MELANI hat auf die erneute Erscheinung solcher E-Mails reagiert:

    4. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    Nach der Infizierung durch wsnpoem nimmt der Trojaner Kontakt zu den folgenden Webserver auf und holt sich die aktuellsten Konfigurations-Dateien:

    http://valarsrent.ru

    http://newvalarsrent.ru

    UPDATE 24.05.0008

    Die Welle solcher Mails scheint nicht aufzuhören. Gestern Abend habe ich nochmal ein solches “Vertrags”-Mail bekommen, diesmal jedoch mit einem anderen Betreff (“Bestellugsvertrag”) sowie einem anderen Attachement:

    Filename: Vereinbarung.rar
    File size: 66649 bytes
    MD5…: 61a4c061c4f94e054dfb6babe4aeabcb
    SHA1..: 23a8a7f7ee77620f37b6625c09058815475b16a5
    Erkennungsrate: 18/32 (56.25%)
    Filename: Vertrag.exe
    File size: 64675 bytes
    MD5…: 10add4d02743f4b65d794acc8b0db390
    SHA1..: 74b6c9ed6053303eca0fb748a142881e3012feb8
    Erkennungsrate: 18/32 (56.25%)



    economics-recluse
    Scene
    Urgent!