Seit heute Nacht verbreitet sich der Bankentrojaner ZeuS (aka WSNPoem / Zbot) über eine neue Spam-Welle. Die Spam-Welle scheint diesmal wieder ziemlich Massiv zu sein. Das Mail mit ZeuS im Handgepäck möchte den Benutzer dazu verleiten, den angeblichen Mail Client im Anhang zu installieren:
You have (8) message from Outlook Express.
Please re-configure your Outlook Express again.
Download attached setup file and install.
Absender Email Adresse sowie der Betreff variieren:
Je nach Betreff der Spam-Email variiert auch der Text des Spam-Emails:
Please re-configure your TheBat again.
Download attached setup file and install.
Please re-configure your Outlook Express again.
Download attached setup file and install.
Please re-configure your Microsoft Outlook again.
Download attached setup file and install.
Im Attachment client_update.zip befindet sich der Trojaner ZeuS (client_update.exe):
File size: 38144 bytes
MD5…: c81ba436d85bba944adb74b86c90fae8
SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
Erkennungsrate: 26/40 (65.00%)
Fürt der Empfänger des Spam-Mails das Attachment aus, nistet sich der Trojaner im System32 Verzeichnis des Rechners ein:
C:\WINDOWS\system32\lowsec
C:\WINDOWS\system32\lowsec\user.ds
C:\WINDOWS\system32\lowsec\local.ds
Danach meldet sich der Trojaner regelmässig bei einem Command&Control Server in der Ukraine (djellow.com [91.206.201.6]) und sendet gestohlene Daten wie z.B. Login Informationen zu Online Banking Accounts an eine Dropzone:
GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
GET http://dvstep.ru/bin.exe <- Latest ZeuS binary
POST http://djellow.com/djwl/rec.php <- Dropzone
Siehe abuse.ch ZeuS Tracker (dvstep.ru / djellow.com).
Für diejenigen User, für welche die Meldung zu spät kommt, empfiehlt sich meine Anleitung zur entfernung von ZeuS / WSNPoem:
Was definitiv nicht schadet, ist das blockieren der oben genannten Domains an den zentralen Unternehmens-Gateways bzw Proxy Servern:
