Tag Archive for 'driveby-infektion'

Ich berichtete in der vergangenen Woche über die Domain mncpssa.org, welche vom Trojaner Emold / AutoRun kontaktiert wird, um den Spam-Mailer PushDo nachzuladen (Siehe Post Emold: Statement.zip). Nun bin ich auf eine interessante Entdeckung gestossen:

Die Domain mncpssa.org zeigt auf den Server mit der IP Adresse 202.191.62.252. Auf demselben Server werden noch drei andere Domains gehostet:

Was sofort auffällt ist, dass auf der Frontseite dieser Domains sowie auch auf den Unterseiten verdächtige IFrames platziert sind. Ich habe mir deshalb die beiden IFrames, welche auf der Websiete mncpssa.org platziert sind etwas genauer angeschaut:

IFrame I (utevox.site90.com)

Der erste IFrame ist in einem obfuskierten Javascript Code versteckt, welcher nach dem Decoden wie folgt aussieht:

Dieser erste (obfuskierte) IFrame liefert dem Besucher den Banken-Trojaner WSNPoem (aka Zbot):

Führt man die Datei aus, erstellt die Malware das wsnpoem Verzeichnis sowie die Datei ntos.exe. Mysteriös an dem ganze ist jedoch, dass WSNPoem plötzlich wieder die “alten” Datei- & Verzeichnisnamen verwendet und nicht diejenigen, welche er in der letzten Spam-Welle vom 9. September verwendet hat (Siehe wsnpoem: IPLOGS.zip). Nach der Infektion kontaktiert der Banken-Trojaner die Domain phpnet77.com und holt sich das aktuelle Config-File::

Danach meldet er sich regelmässig über einen PHP-Script beim Server:

Die Domain ist in keiner der uns bekannten wsnpoem Netblocks (89.187.32.0/19 und 91.203.92.0/22) gehostet sondern bei Yahoo:

IFrame II (life-tablets.cn)

Der zweite IFrame auf der Frontseite erscheint im Klartext:

Nun wird es kompliziert. Ruft man die URL auf, bekommt man ein HTTP 302 (Moved Temorarily) zurück und wird umgeleitet nach:

Hier wird nun ein langer Javescript-Code ausgeführt welcher versucht, insgesamt 17 Schwachstellen in verschiedenen Applikationen auszunutzen. Hier ein paar Beispiele:

Ist das ausnützen einer Schwachstelle erfolgreich, infiziert das Script den Besucher mit einer Malware:

Nun wird der Besucher erneut mittels einem HTTP 302 Moved Temorarily nach http://fstat.cn/in.cgi?id110 umgeleitet und danach gleich ein weiteres mal nach http://59.125.229.78/tube/in.php. Hier wird nun erneut Schadcode mittels eingebundenen IFrames ausgeführt:

Der erste Link (59.125.229.78) führt dasselbe Script wie bereits oben erwähnt nochmals aus, jedoch ist das Script an einer anderen Stelle gehostet und ein paar Parameter sind abgeändert. Dabei wird uns nach erfolgreichem Ausnützen einer Sicherheitslücke erneut eine weitere Ausführbare Datei Namens load.exe untergejubelt:

Die Malware kontaktiert nach der Infektion folgende URLs:

Die beiden letzten IFrames leiten den Besucher schlussendlich zu msn.com und google.com weiter.

Fazit

Wir haben eine einzige URL besucht und dabei gleich drei verschiedene Trojaner eingefangen:

Interessant ist dabei vor Allem Eines: Die Kriminellen hinter WSNPoem scheinen nun neu auch auf DriveBy-Infektionen zu setzten, um ihren Banken-Trojaner unter das Volk zu mischen – wobei es im Moment unklar ist, ob sich hinter dieser neuen WSNPoem Variante um dieselbe Gang handelt wie in den früheren Fällen, oder um eine von ihnen unabhängige Täterschaft. Dies ist problematisch, weil eine Verbreitung über DriveBy-Infektionen heimtückischer ist als über Spam-Mails. Dies zeigt, wie wichtig es ist, die Browser auf einem aktuellen Patchstand zu halten, ein Mimimum an Plugins einzusetzen (denn die sind der Hauptangriffsvektor von DriveBy-Infektionen, nicht mehr der Browser selber), und auch diese auf aktuellem Stand zu halten. Für Firewall-Betreiber empfiehlt es sich, den Zugang zu den folgenden URLs/IPs zu sperren, respektive Lofiles auf Zugriffe auf diese URLs zu scannen: