Tag Archive for 'completeadplayer.com'

Gefälschte E-Mails mit 20minuten als Absender im Umlauf

Seit heute Mittag verbreitet sich ein Trojaner via Spam-Mail, welcher vorgibt von der Gratiszeitung 20min zu stammen:

Von: alarm@20min.ch
Betreff: ZURICH ALARM:2007 wurden erst 203 Einsteigerinnen aus den osteuropaischen Staaten registriert.

ZÃœRICH

50 Prozent mehr Ost-Prostituierte
Die Zahl der Prostituierten aus Osteuropa wächst rasant: Von dort stammt fast die Hälfte der Frauen, die 2008 von der Stapo Zürich neu registriert worden sind.

Bis ins Einzelne>>

Mit den herzlichen Grüßen, Roseann Mansfield.

Hinter dem Text “Bis ins Einzelne>>” verbirgt sich ein Hyperlink zu folgender URL:

http://zurich.newsvonjetzt.ceptservlet.community-atmp4w4enz.installincomputers.com/20minuten.htm?/tools/artikel=uzd86bhg4

gozi_20min

Besucht der Empfänger der E-Mail die Webseite, versucht die Webseite dem Benutzer die Datei VideoPlayer_10.exe unter zu jubeln, welche höchstwahrscheinlich den Trojaner Gozi enthält:

Filename: VideoPlayer_10.exe
File size: 37376 bytes
MD5…: e7cf9c20f640cf72848281eb90595152
SHA1..: bbc300d451560996325632b9df7dce0a1da6333c
Erkennungsrate: 3/39 (7.69%)

Weitere Infos folgen in kürze…

UPDATE 12:57 Uhr

Das Spam-Mail verweist, wie oben bereits erwähnt, auf eine Webaddresse, welche vortäuscht der Webauftritt von 20min zu sein. Die eiegentliche Domains ist jedoch nicht die der Gratiszeitung (www.20min.ch) sondern installincomputers.com. Diese wird auf eine Botnet gehostet (FastFlux):

gozi_domain_20min

Quelle: http://dnsbl.abuse.ch/domaincheck.php?domain=installincomputers.com

Der Betreff der E-Mail scheint zu variieren:

  • ZURICH ALARM:Daraus lasst sich jedoch nicht schlies
  • ZURICH ALARM:Von den 605 Frauen, die 2008 in Zurich in die Prostitution eingestiegen sind
  • ZURICH ALARM:Cortesi: «Oft sind sie Opfer von Menschenhandel und mussen Verdienst an Zuhalter abgeben
  • ZURICH ALARM:Wahrend die Zahl derer, die auf der Strasse
  • ZURICH ALARM:50 Prozent mehr Ost-Prostituierte
  • Auch die Domain, auf welche die Spam-Mails im E-Mail Text verweisen, variiert:

  • newoneplayersl.com
  • installincomputers.com
  • setuprupdates.com
  • completeadplayer.com
  • energydownloadr.com
  • Was ebenfalls variiert ist der (gefälschte) Absender der E-Mail:

  • alarm@20min.ch
  • support@20min.ch
  • info@20min.ch
  • Führt der Empfänger der Spam-Mail das auf der Webseite angebotene EXE-File aus, installiert sich der Trojaner Gozi auf dem Rechner. Dieser hört im Hintergrund sämtliche HTTP-, HTTPS- und FTP-Kommunikation auf dem Rechner ab und sendet die gesammelten Login-Daten an einen Command&Control Server (C&C). Siehe Post Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins.

    Fazit

    Den Empfängern solcher gefälschten E-Mails wird dringen davon abgeraten, auf den Link im E-Mail Text zu klicken sowie auf keinen Fall das angebotene EXE-File auszuführen. Für Unternehmen ist es sicherlich von Vorteil, wenn die oben genannten Domains an den Zentralen Gateways / Proxy-Servern blockiert werden.

    UPDATE 14:39 Uhr

    Die Melde- und Analysestelle Informationssicherung MELANI, hat soeben eine entsprechende Information veröffentlicht:

    Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren




    economics-recluse
    Scene
    Urgent!