Tag Archive for 'Fedex_89710021NR.zip'

wsnpoem: Fedex Tracking

Seit heute Nachmittag kurz nach 16:00 Uhr verbreitet sich der Banken-Trojaner WSNPoem über eine neue Spam-Welle. Diesmal ist der angebliche Absender nicht UPS sondern FEDEX:

Betreff: Fedex Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your FEDEX

Die angebliche “Fedex Tracking Number” im Betreff variiert. Im Attachement WD6128922.zip befindet sich die ausführbare Datei WD6128922.exe, in welcher sich wsnpoem versteckt:

Filename: WD6128922.exe
File size: 73216 bytes
MD5…: df73c2b3562ef157c10ba1a16b4c8885
SHA1..: 9ffee9196fa8f305ce255925d4f4f60d380b8fdf
Erkennungsrate: 9/35 (25.72%)

Der Trojaner erstellt wie gewohnt das wsnpoem Verzeichnis im C:\WINDOWS\system32 Verzeichnis sowie die beiden DLLs audio.dll und video.dll und die Datei ntos.exe unter C:\WINDOWS.

Danach wird die Domain blatundalqik.ru (91.203.92.27) kontaktiert und eine Konfigurationsdatei herunter geladen:

GET http://blatundalqik.ru/revolution/rev.bin

Danach wird der Spam-Mailer PushDo von 66.199.242.115 bzw. 208.66.195.71 heruntergeladen:

GET http://66.199.242.115/loader.exe

In gewissen Abständen meldet sich wsnpoem wie gewohnt bei seinen Autoren:

POST http://blatundalqik.ru/revolution/rev.php

Was auch nicht fehlen darf ist eine sogenannte Rogue Software mit dem Namen Antivirus2008:

GET http://66.199.242.115/baka_upd.exe
Filename: baka_upd.exe
File size: 1575991 bytes
MD5…: 72f32eea76c7a35c419f5bdf5b3f2012
SHA1..: 844035d11eb6859f1867d6301926cc649b437f41

GET http://66.199.242.115/scan.exe
Filename: scan.exe
File size: 188416 bytes
MD5…: dfdfd6a72dd2a295c51726dfc3265470
SHA1..: a9a05f1d6b9ff232ca5e79c188baf46eac948f55

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 22:13 Uhr

Der mit installierte Spam-Mailer PushDo scheint nach der Infektion gleich damit anzufangen, den Banken-Trojaner weiter zu verbreiten. Interessant ist jedoch, dass es sich bei den versandten E-Mails nicht um das selbe E-Mail handelt, welches ich oben beschrieben habe:

Betreff: Tracking N_ *

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipients address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Betreff und Signatur weichen von dem von mir beschriebenen E-Mail ab. Des Weiteren hat auch das Attachement einen anderen Namen: Fedex_89710021NR.zip. Auch der MD5-Hash des in dem Zip-Archiv enthaltenen Files scheint ein anderer zu sein:

Filename: Fedex_89710021NR.exe
File size: 55808 bytes
MD5: 992ee92b3730708738d3d9a905fd0dc6
SHA1: b4fc4ba2c7af95a01261972785dd7a363ee39a18
Erkennungsrate: 5/36 (41.67%)

UPTADE 22.08.08

Sophos hat soeben einen entsprechenden Blog-Post zu dem Thema geschrieben: SophoLab Blog: “Failed to deliver your package in 48hrs!!! Here have some malware instead”




economics-recluse
Scene
Urgent!