Tag Archive for 'emold'

Page 2 of 2

Emold: Statement.zip

Seit heute Nachmittag kurz nach 13:00 Uhr verbreitet sich Emold (aka AutoRun) über eine neue Spam-Welle:

Betreff: Your credit card account statement
Dear Valued Customer:
ID: robert

As requested, we are sending you this account statement with information on the transactions carried out with your credit card between 1/1/2008 and 8/1/2008.

Please find the account statement with the detailed list of the transactions attached to this message. You can view the document or print it out by simply saving the attached file to disk and opening it for viewing.

Please let us know if we can be of any further assistance.

At your service,
Irvin Knight
Manager of Visa / MasterCard
Credit Card Services

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

If you believe this message was sent to you by mistake, please forward the identification number stated on the enclosed document to our customer service department.

Im E-Mail Text variiert nur der Name des Absenders, der Rest ist immer der selbe. Im Attachement Statement.zip befindet sich die Ausführbare Datei Statement.doc_____.exe:

Filename: Statement.doc____.exe
File size: 30208 bytes
MD5…: 250eb64716c7c62464c01a94366c637d
SHA1..: ffb11cd021da7c1f50131887bee1947f68e954a0
Erkennungsrate: 18/36 (50%)

Der Trojaner Kontaktiert die Domain druzg.ru (125.65.113.112):

GET http://druzg.ru/ld.php

Danach lädt er den Spam-Mailer PushDo von mncpssa.org (202.191.62.252) nach:

GET http://mncpssa.org/js/lo12er.exe

Filename: lo12er.exe
File size: 22528 bytes
MD5…: 204336ee0680808e19aa7c351f4d2629
SHA1..: 968741a1e9afd1c3e8f8456ce3941fe6fc79ce0a
Erkennungsrate: 5/36 (13.89%)

Der Spam-Mailer scheint nach der Infektion gleich mehrere IP-Adressen zu kontaktieren, um an sein Konfigurationsfile zu kommen:

  • 208.66.195.15
  • 208.66.195.71
  • 208.66.194.232
  • 91.203.92.7
  • Verstärktes Malwareaufkommen in der Schweiz

    Schweizer User finden heute gleich mehrere Viren-Mails in ihrem E-Mail Postfach. Seit kurz nach Mitternacht habe ich ein verstärktes Malwareaufkommen in der Schweiz beobachtet. Hier ein kleiner Überblick:

    Betreff: Statement of fees 2008/09
    Please find attached a statement of fees as requested, this will be
    posted today.

    The accommodation is dealt with by another section and I have passed
    your request on to them today.

    Kind regards.

    Dawn

    Im Attachement Fees-2008_2009.zip befindet sich die Datei Fees-2008_2009.doc.exe, im welchem sich der Trojaner Emold / AutoRun:

    Filename: Fees-2008_2009.doc.exe
    File size: 31744 bytes
    MD5…: a5201e4ca4ad72ca9767c4dbaf05e16a
    SHA1..: e26287bd8db62f29357ab5e7d011274089d0dbbc
    Erkennungsrate: 13/36 (36.12%)

    Der Selbe Trojaner scheint sich auch noch über eine andere Spam-Welle zu verbreiten:

    Betreff: Record in debit of account
    Good day,
    We have prepared a contract and added the paragraphs that you wanted to see in it.
    Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
    We are enclosing the file with the prepared contract.

    If necessary, we can send it by fax.
    Looking forward to your decision.

    Im Attachement Contract_I2_9.2008.zip befindet sich die Ausführbare Datei Contract_I2_9.2008.doc.exe, in welcher sich erneut Emold / AutoRun versteckt:

    File size: 31744 bytes
    MD5…: 8bbdda8469f96af51dde5033909c225b
    SHA1..: 46ebccc44001af80bbe69dd28ba4b31fbe63df87
    Erkennungsrate: 15/36 (41.67%)

    Am Verhalten des Trojaners (Emold) hat sich jedoch nichts geändert (Siehe Post vom 28.8.08).

    Weitaus mehr Sorgen macht mir eine Word Datei, welche derzeit in der Schweiz versendet wird und aktiv eine Schwachstelle in Microsofts Office Word ausnützt um Malware auf dem Rechner zu installieren:

    Betreff: 1 Rate
    Sehr geehrte Damen und Herren!
    Die Anzahlung 907185196420 ist erfolgt
    Es wurden 4194.00 EURO von Ihrem Konto abgebucht.
    Die Auflistung der Kosten finden Sie im Anhang

    Zyklop Inkasso Deutschland GmbH
    Königsberger Str. 10
    D-47809 Krefeld

    Geschäftsführer: Lothar Hilse, Gerhard Liebchen
    Handelsregister: Amtsgericht Krefeld HRB 35 89
    Aufsichtsbehörde: Landgerichtspräsident Krefeld
    USt-IdNr.: DE 120 154 439

    Im Attachement Rechnung.zip befindet sich (wie bereits erwähnt) ein Word-Dokument mit dem Namen Rechnung.doc:

    Filename: Rechnung.doc
    File size: 289280 bytes
    MD5…: 6572d04247ccd088ab7ff45e5eabf89f
    SHA1..: 3ef4506a8cf0d69e858ceef43ac22d19affe4249
    Erkennungsrate: 15/36 (41.67%)

    Laut F-Secure handelt es sich bei der Malware um Trojan-Dropper.MSOffice.Fordo.b.

    Ob die genannten Mails nur in der Schweiz versendet werden oder auch in anderen Ländern, ist derzeit nicht bekannt.

    Weitere Infos folgen.

    UPDATE 17:51 Uhr

    Ich konnte mir das Office Dokumment nun ein bisschen genauer anschauen. Die Datei nützt keine Sicherheitslücke aus sondern führt beim öffnen der Datei lediglich ein VBA Script aus. Das VBA Script erstellt die Ausführbare Datei whlp32.exe im USERPROFILES Ordner und deaktiviert die Makrosicherheit im Word und Excel:

    Danach wird ein POST request an on1000000.cn (222.73.38.5) gesendet und weiterer Schadcode nachgeladen:

    POST http://on1000000.cn/Get7IT.php

    Dabei werden mehrere Dateien im system32 Verzeichnis erstellt, dessen Namen jedoch per Zufall generiert wird. z.B:

    C:\WINDOWS\system32\orkjejtevv.exe
    File: orkjejtevv.exe
    Size: 45297
    MD5: ????
    Path: C:\WINDOWS\system32\orkjejtevv.exe

    C:\WINDOWS\system32\bbgngtzx.dll
    File: bbgngtzx.dll
    Size: 2560
    MD5: A704B4A16EDEB2B0A5DF2FC23636995A
    Path: C:\WINDOWS\system32\bbgngtzx.dll

    C:\WINDOWS\system32\ssqtkynjpecqm
    File: ssqtkynjpecqm
    Size: 47409
    MD5: 8C9CDB129794FBC05349E1EF8390EED6
    Path: C:\WINDOWS\system32\ssqtkynjpecqm

    Nun wird eine weitere Domain kontaktiert und ebenfalls ein POST request gesendet (ferrychi445677.com: 200.63.45.34):

    POST http://errychi445677.com/Get7ITU.php HTTP/1.0

    Vorsicht also bei verdächtigen Word Dokumenten!

    UPDATE 15.09.08

    Das SANS Internet Storm Center hat ebenfalls ein Post zu Fordo geschrieben:

    SANS ISC: Blast from the future?




    economics-recluse
    Scene
    Urgent!