Tag Archive for 'djellow.com'

WSNPoem: report_8977.exe

Seit heute Nachmittag ist erneut eine Spam-Welle unterwegs, welche den Banken-Trojaner ZeuS (aka zbot / wsnpoem) verbreitet:

Subject: Information of your Transactions

Good evening
Dear Credit Card Holder:

The last transaction report on your credit card shows a number of transactions that have questionable background. That gives us reasons to believe that your credit card details have been stolen, and your card has been abused for making unauthorized payments.

Enclosed is the listing of transactions made with your credit card between 13.06.2009 and 15.06.2009. Please look through the enclosed document carefully and pay special attention to the last three of the listed transactions they are the ones that we suspect to be fraudulent.

Please find time to review the enclosed account statement and confirm the transactions you have authorized in person. This would help us both to have this issue resolved as quickly as possible.

The Word-formatted copy of your transaction list:

http://scananida.com.pl/report_8977.exe

Email Text sowie der Betreff scheint immer der selbe zu sein. Der Absender der Email ist gefälscht und variiert. Interessant ist, dass der Trojaner diesmal nicht in einer ZIP-Datei daher kommt: vielmehr verweist ein Link am Ende des Emails auf eine gehackte Webseite, wo das ZeuS binary liegt:

http://scananida.com.pl/report_8977.exe

;; QUESTION SECTION:
;scananida.com.pl. IN A

;; ANSWER SECTION:
scananida.com.pl. 39283 IN A 91.121.8.196

route: 91.121.0.0/18
descr: OVH ISP
descr: Paris, France
origin: AS16276
mnt-by: OVH-MNT

Äusserst erschreckend ist die Tatsache, dass das Binary derzeit gerade einmal von zwei Antivirus Herstellern als Malware erkannt wird:

Filename: report_8977.exe
File size: 81920 bytes
MD5 : d4e6069285270e41ef470d897cf26e36
SHA1 : 854bf8ff8933cd30797eb1d2e134a4895f574af6
Erkennungsrate: 2/41 (4.88%)

Fürt der Empfänger der Email das EXE-File aus, nistet sich ZeuS im System ein und lauscht nach Login Daten für Mail-, Bank-, und Social Network-Accounts. Auffallend ist, dass auch dieses mal die gestohlenen Daten wieder an den uns bereits bekannten Command&Control Server djellow.com (siehe WSNPoem: client_update.zip / WSNPoem: Spam-Wellen fluten das Netz) gesendet werden:

GET http://djellow.com/djwlc/djwl.bin <- ZeuS configuration file
GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
POST http://djellow.com/djwl/rec.php <- Dropzone

Auch der Ort, wo sich der Trojaner im System ein nistet, ist wieder der selbe:

C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\lowsec
C:\WINDOWS\system32\lowsec\user.ds
C:\WINDOWS\system32\lowsec\local.ds

Fazit

  • Emails mit dem Betreff Information of your Transactions temporär an den Email Gateways abweisen
  • Den Zugriff auf djellow.com (91.206.201.6) sperren
  • Da seit einigen Tagen gleich mehrere solcher ZeuS Spam-Wellen unterwegs sind, empfielt sich eine erhöte Wachsamkeit beim öffnen von Emails mit umbekanntem oder verdächtigen Absender
  • UPDATE 20:31 Uhr

    Scheinbar scheint noch eine zweite ZeuS Spam-Welle die Runde zu machen:

    Subject: Worldpay CARD transaction Confirmation

    Your transaction has been processed by WorldPay, on behalf of Amazon Inc.

    http://w-crook.com.ar/report_8977.exe

    This is not a tax receipt.
    We processed your payment.
    Amazon Inc has received your order,
    and will inform you about delivery.
    Sincerely,
    Amazon Team

    This confirmation only indicates that your transaction has been processed
    successfully.
    It does not indicate that your order has been accepted.
    It is the responsibility of Amazon Inc to confirm that
    your order has been accepted, and to deliver any goods or services you have
    ordered.

    Text und Betreff sind immer die gleichen. Die im Spam-Mail angepriesene URL ist eine andere, als die URL aus dem “Information of your Transactions” Spam-Mail, das dort angebotene Binary ist jedoch das selbe:

    http://w-crook.com.ar/report_8977.exe

    Filename: report_8977.exe
    File size: 81920 bytes
    MD5 : d4e6069285270e41ef470d897cf26e36
    SHA1 : 854bf8ff8933cd30797eb1d2e134a4895f574af6
    Erkennungsrate: 2/41 (4.88%)

    WSNPoem: Spam-Wellen fluten das Netz

    Seit einigen Tagen scheint sich der Banken-Trojaner ZeuS (aka zbot / wsnpoem) massiv im Netz zu verbreiten: Alleine in der vergangenen Nacht habe ich gleich mehrere ZeuS Spam-Wellen beobachtet. Hier eine kleine Zusammenstellung der von mir beobachteten Spam-Wellen:

    Spam-Welle: “ecard.zip”

    Subject: You have received an eCard
    Attachment: ecard.zip
    Erstmals gesichtet: 2009-06-10
    Letztmals gesichtet: 2009-06-13

    Filename: ecard.exe
    File size: 38144 bytes
    MD5…: c81ba436d85bba944adb74b86c90fae8
    SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
    Erkennungsrate: 32/40 (80.00%)

    Spam-Welle: “client_update.zip”

    Subject: Outlook Express Setup Notification*
    Attachment: client_update.zip
    Erstmals gesichtet: 2009-06-11
    Letztmals gesichtet: 2009-06-12

    Filename: client_update.exe
    File size: 38144 bytes
    MD5…: c81ba436d85bba944adb74b86c90fae8
    SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
    Erkennungsrate: 32/40 (80.00%)

    Spam-Welle: “sms_reader_trial.zip”

    Subject: Get Your Free 30-Day Trial!
    Attachment: sms_reader_trial.zip
    Erstmals gesichtet: 2009-06-13
    Letztmals gesichtet: 2009-06-13

    Filename: sms_reader_trial.exe
    File size: 38144 bytes
    MD5…: a5654ecbf17a1f8cb966ce26539fbf08
    SHA1..: 44821255854aacdb6153a3dd5959b7562a0bf0a0
    Erkennungsrate: 27/39 (69.23%)

    Spam-Welle: “MTCN_CONFIRMATION.zip”

    Subject: Western Union Transfer MTCN: 1363677224
    Attachment: MTCN_CONFIRMATION.zip
    Erstmals gesichtet: 2009-06-13
    Letztmals gesichtet: 2009-06-13

    Filename: MTCN_CONFIRMATION.EXE
    File size: 38144 bytes
    MD5…: a5654ecbf17a1f8cb966ce26539fbf08
    SHA1..: 44821255854aacdb6153a3dd5959b7562a0bf0a0
    Erkennungsrate: 27/39 (69.23%)

    *Betreff variiert, siehe WSNPoem: client_update.zip

    Interessant sind die MD5 Hash Summen der Binaries, welche über die Spam-Welle versendet wurden:

    ecard.exe – c81ba436d85bba944adb74b86c90fae8
    client_update.exe – c81ba436d85bba944adb74b86c90fae8
    sms_reader_trial.exe – a5654ecbf17a1f8cb966ce26539fbf08
    MTCN_CONFIRMATION.EXE – a5654ecbf17a1f8cb966ce26539fbf08

    Ebenfalls interessant: Alle Binaries scheinen die selben Command&Control Server (C&C) zu referenzieren:

    GET http://djellow.com/djwlc/djwl.bin <- ZeuS configuration file
    GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
    GET http://dvstep.ru/bin.exe <- Latest ZeuS binary
    POST http://djellow.com/djwl/rec.php <- Dropzone

    Siehe abuse.ch ZeuS Tracker (dvstep.ru / djellow.com).

    Auch der Ort, wo sich der Trojaner einnistet, ist bei allen Binaries identisch:

    C:\WINDOWS\system32\sdra64.exe
    C:\WINDOWS\system32\lowsec
    C:\WINDOWS\system32\lowsec\user.ds
    C:\WINDOWS\system32\lowsec\local.ds

    Fazit

    Es handelt sich zwar um unterschiedliche Spam-Wellen, der Trojaner der jedoch damit verbreitet wird, ist bei allen Spam-Wellen der selbe. Zudem scheinen die Spam-Wellen nicht gezielt auf die Schweiz ausgerichtet zu sein, vielmehr sind diese derzeit ein “globales Problem”. Für Benutzer, welche sich bereits mit dem Trojaner infiziert haben, empfiehlt sich meine Anleitung zum entfernen von WSNPoem.




    economics-recluse
    Scene
    Urgent!