Tag Archive for 'fake'

“Nachricht über eine radioaktive Kontamination in der Schweiz”

Heute Morgen um 10 Uhr schaute ich nicht schlecht, als ich folgendes Email in meinem Postfach fand:

Von: Elmore58@decis.com
An: alex@mx1.numb.ch
Betreff: Nachricht über eine radioaktive Kontamination in der Schweiz..

Auf Internetforums erschienen Nachrichten über eine gewaltige Explosion auf dem Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 31. Dezember etwa um 15 Uhr stattgefunden hatte.

Im Einzelnen machte eine Bürgerin dieser Stadt einen telefonischen Anruf und teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde, damit man keinen Menschen anrufen könnte.

Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe, und dabei eine sehr mächtige, und dass eine Strahlungswolke erstrecke sich jetzt.

In privaten Gesprächen wird diese Information von Amtsträgern inoffiziell bestätigt.

Ausserdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosionsfolgen und Körper der Beschädigten dargestellt sind.

Blog: http://geocities.com/EdgarRivers

Besucht man die Webseite http://geocities.com/EdgarRivers, wird man nach http://losysgo.ru/aes_de/ weitergeleitet und gebeten, einen “Video Codec” herunter zu laden um das Video anzeigen zu können. Bei Vermeintlichen VideoCodec handelt es sich jedoch um ein grösstenteils noch unbekannten Virus welcher die Runde macht:

Printscreen  von losysgo.ru
Source: http://losysfree.ru/iPIX-install_de.exe
Filename: iPIX-install_de.exe (Trojan-PSW.Win32.Zbot.cy F-Secure)
File size: 42496 bytes
MD5: b220164b0f78ffa50eff03abe3a66575
SHA1: 474eabf1addfa1d1f35e58d48cfc0fbc08dacb61

Der Virus wird derzeit nur durch 10 Antivirus Herstellern erkennt (Trojan-PSW.Win32.Zbot.cy. F-Secure).

Fazit: Bei dieser Meldung handelt es sich um einen Fake welcher darauf abzielt, möglichst viele Rechner zu infizieren! Das exe File darf auf keinem Fall ausgeführt werden!

UPDATE 17:43 GMT +1
Ich habe das File “iPIX-install_de.exe” auf meiner Testmaschiene ausgeführt, hier meine Ergebnisse:

Nach Ausführung des Files öffnet der Trojaner eine Verbindung zu louse.ru (80.99.9.79) auf Port 80 (HTTP), wo er ein Konfigurationsfile nach lädt:

http://louse.ru/ch/file.bin

Danach sendet er ein “POST”-request zu dieser Webseite:

http://louse.ru/ch/redir.php?1=win_xp_0003ab0b&[HASHCODE]

Danach mutiert der PC zu einem Spambot und wird Mitglied des Fast-Flux Botnets, welches hinter den folgenden Domains steht:

losysfree.ru
losysgo.ru
louse.ru

Alle drei Domains werden mittels Fast-Flux Technik betrieben:

;; ANSWER SECTION:
louse.ru. 1723 IN A 84.59.22.138
louse.ru. 1723 IN A 86.121.116.28
louse.ru. 1723 IN A 86.126.57.107
louse.ru. 1723 IN A 80.99.9.79
louse.ru. 1723 IN A 81.68.154.246

Seit 17:00 Uhr werden sämtliche Hosts welche sich an dem Fast-Flux Botnet beteiligen auf meiner DNSBL drone.abuse.ch geblacklisted. Ob eine IP-Adresse Mitglied dieses Botnets ist, könnte Ihr unter dnsbl.abuse.ch/check.php überprüfen.

UPDATE 13.03.2008 14:04 Uhr

Scheinbar haben die Virenautoren einen zweiten Anlauf gestartet.
Mehr Infos unter http://www.abuse.ch/?p=82

admin[at]abuse[dot]ch




economics-recluse
Scene
Urgent!