Tag Archive for 'bklinkov.ru'

WSNPoem: UPSTRACKING_DS9961201.zip

Seit heute Nacht verbreitet sich der Trojaner WSNPoem (aka ZeuS / Zbot) mit einer neuen Spam-Welle in der Schweiz. Grund zur Beruhigung: Die Spam-Welle scheint bis an hin ziemlich klein zu sein:

From: “United Parcel Service of America”
Subject: Postal Tracking #xxxxxxxxxxxxxx

Hello!

We were not able to deliver postal package you sent on the 14th of March in time
because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office.

Your United Parcel Service of America

Attachment: UPSTRACKING_DS9961201.zip

Absender Email Adresse sowie die Nummer im Betreff variieren. Im Attachment UPSTRACKING_DS9961201.zip befindet sich ein Trojan-Dropper:

Filename: UPSTRACKING_DS9961201.exe
File size: 50176 bytes
MD5 : 4be0d4b1dbc2d7ba92b6c920388ae4bb
SHA1 : 3e8cd1b64316e0127e8d84d508dd78a20373ae31
Erkennungsrate: 18/40 (45.00%)

Der Trojaner nistet sich im System32 Verzeichnis (z.B. C:\WINDOWS\system32\wbem\grpconv.exe) ein und nimmt Kontakt mit einem Command&Control Server auf:

GET http://dollarpoint.ru/abc/controller.php

Die Domain dollarpoint.ru wird auf einem Server in der Ukraine gehostet:

dollarpoint.ru (91.212.158.100)

inetnum: 91.212.158.0 – 91.212.158.255
netname: Nice-NET
descr: Nice LTD
country: UA

Danach lädt der infizierte Rechner einen Rogue Antivirus (FakeAV) nach:

GET http://trucount3002.com/cgi-bin/promo.pl

Filename: lsp.exe
Filename: File size: 104960 bytes
MD5 : 9c9c2f242295e9bfaffecaab373b1f20
SHA1 : cacca42a9dd766c2d4f504bb8cffea379253a36d
Erkennnugnsrate: 16/40 (40.00%)

Nun lädt der Trojaner WSNPoem ein Config-File von bklinkov.ru nach:

GET http://bklinkov.ru/hi/start.cfg

Des Weiteren meldet sich der Trojaner regelmässig bei einem C&C Server und lädt gestohlene Daten hoch:

POST 91.212.158.6/himain/upload.php

Was bisher etwas schleierhaft ist, ist die Frage, ob WSNPoem bereits im Email Anhang (UPSTRACKING_DS9961201.exe) bzw. dem Trojan-Dropper drin ist oder ebenfalls erst nachgeladen wird.

Fazit

Folgende URLs werden vom Trojan Dropper, der nachinstallierten Rogue Software sowie dem WSNPoem Trojaner kontaktiert und sollten deshalb blockiert werden:

  • dollarpoint.ru
  • trucount3002.com
  • hostvegass.ru
  • 91.212.158.6
  • onlinescanxppp.com
  • bklinkov.ru
  • antivirus-xppro2009.com



  • economics-recluse
    Scene
    Urgent!