Tag Archive for 'bmwx6foreva.ru'

wsnpoem: IPLOGS.zip

Seit heute Morgen kurz vor 05:00 Uhr ist WSNPoem (aka zbot) mit einer neuen Spam-Welle unterwegs:

Betreff: I am wait your reply
To Whom It May Concern:

I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!!!
If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!…
Today I received a hard copy of your data logs from my Internet service provider. The copy contains your IP address, logs of sending malicious programs and your e-mail address details…
I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault!!!!!!
You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address!!!!

Ask your Internet service provider to resolve this problem!!!!

Do this now!!!
Once again!!! If you dont stop sending the letters, I will address to the Police and file a lawsuit against you!!!

Im Attachement IPLOGS.zip befindet sich die Ausführbare Datei IPLOGS.exe, welche den Banken-Trojaner WSNPoem beinhaltet:

Filename: IPLOGS.exe
MD5: 14caab0b572d371b114b304d9f685593
SHA1: 030eef41346a94071b9b625d0526df9c8a1b452e
Erkennungsrate: 12/36 (33.33%)

Weitere Infos folgend….

UPDATE 16:45 Uhr

Der Banken-Trojaner hat wie bereits vermutet sein “Aufmachung” geändert. Er installiert sich nicht mehr wie gwohnt als Datei ntos.exe und dem wsnpoem Verzeichnis, sondern benützt völlig neue Namen:

wsnpoem -> sysproc64
ntos.exe -> oembios.exe
audio.dll -> sysproc86.sys
video.dll -> sysproc32.sys

Desweiteren kontaktiert er eine völlig neue Domain, welche in einem anderen (neuen) Subnet liegt, als die bisherigen Domains. Bei Spamhaus ist das Subnet bereits als cybercrime hosting vermerkt:

bmwx6foreva.ru -> 89.187.49.26

89.187.49.26 is listed in the SBL, in the following records:

* SBL66870
* SBL67259

Ref: SBL67259
89.187.32.0/19 is listed on the Spamhaus Block List (SBL)

22-Aug-2008 00:59 GMT | SR04
Spammer/cybercrime hosting (escalation)

Totally spam/cybercrime dirty or selling off IP space to Russian/Ukrainian crime/spam gangs.
Source: http://www.spamhaus.org/sbl/sbl.lasso?query=SBL67259

Ref: SBL66870
89.187.49.0/24 is listed on the Spamhaus Block List (SBL)

31-Aug-2008 07:49 GMT | SR15
spamsites

malware hosts, spamsites
possible hijacked block, wmdhost.net does not exist

Von der genannten Domain bmwx6foreva.ru holt er sich das aktuelel Config-File:

GET http://bmwx6foreva.ru/loads/engine3.bin

Danach folgt wie gewohnt eine Rogue Software (XPSecutritycenter) sowie der Spam-Mailer PushDo.

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

PS: Auch diesmal sorry für die verspätete Meldung, ich war wieder einmal an einem Security Event.




economics-recluse
Scene
Urgent!