Tag Archive for 'Fees_2008-2009.zip'

UATelecom: WSNPoem, Emold und Cutwail

Auch heute ist Emold (aka AutoRun) wieder unterwegs. E-Mail sowie der Name des Attachement sind die Selben wie bei der Spam-Welle vom 25. August 2008 (Siehe Post “Trojan.Crypt: Fees_2008-2009.zip“). Im Attachement befindet sich heute jedoch eine aktuellere Variante des Trojaners Emold:

Filename: Fees_2008-2009.doc.exe
File size: 32768 bytes
MD5…: 7d743c8c9e6a12421dd34f616c086a81
SHA1..: cd618143164c88ca3ff73d3acc18afcb43bc9980
Erkennungsrate: 11/36 (30.56%)

Der Trojaner hat scheinbar die URLs gewechselt, bei welchen er sich jeweils das aktuelle Config-File holt:

dsxc.ru (211.95.79.241)
furely.ru (91.203.93.31)
gradul.ru (91.203.93.31)
hedym.ru (91.203.93.31)
joksh.ru (91.203.93.31)
kexlup.ru (211.95.79.241)
listaz.ru (89.187.48.249)
mjkm.ru (89.187.48.249)
nmli.ru (89.187.48.249)
okla.ru (89.187.48.249)

Interessant sind wie immer die Bemerkungen von Spamhaus:

IP address: 89.187.48.249
Ref: SBL65525, SBL67259

89.187.32.0/19 is listed on the Spamhaus Block List (SBL)
03-Oct-2008 19:10 GMT | SR04
bendery.md: spammer/cybercrime hosting (escalation)

Totally spam/cybercrime dirty or selling off IP space to Russian/Ukrainian crime/spam gangs.

Russian/Ukrainian cybercrime? Da werden Erinnerungen an WSNPoem wach.
Durchaus interessanter ist jedoch die IP Adresse 91.203.93.31, sie gehört nämlich der UATelecom, welche uns durch das Hosting von WSNPoem Domains sehr wohl bekannt ist (Siehe Post “Hinter den Kulissen von wsnpoem”). Die IP Adresse liegt ebenso im selben Subnet wie die durch WSNPoem bekannten IPs. Auch der dazugehörige Spamhaus Eintrag SBL67259 ist uns bereits von WSNPoem bekannt (Siehe Post “wsnpoem: IPLOGS.zip”):

IP address: 91.203.93.31
Ref: SBL65512

91.203.92.0/22 is listed on the Spamhaus Block List (SBL)
09-Aug-2008 23:25 GMT | SR04

Virus writers, malware spreaders, C&C servers

Es stellt sich also erneut der Verdacht, dass die UATelecom ein rentables Geschäft mit Bulletproof hosting betreibt.

Richtig interessant wird es jedoch erst jetzt:

Das von der Malware aufgerufene Script (z.B. http://furely.ru/load2/ld.php) gibt dem infizierten Rechner an, wo er noch weiteren Schadcode nachladen soll.

www.ecotopo.com.au (202.191.62.103)
www.econocorp.com (207.217.125.50)

lspr.exe

Beim ersten Aufruf des Scripts ld.php gibt der Server folgende Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/lspr.exe http://www.econocorp.com/images/lspr.exe

Dieses File wird nun durch Emold heruntergeladen und ausgeführt. Bei dem File handelt es sich um den Trojaner PushDo (aka Wigon), welcher zusammen mit dem Spam-Mailer Cutwail (aka Pandex) im Handgepäckt kommt:

Filename: lspr.exe
File size: 23040 bytes
MD5…: 0d1906f9157962d5d2235e803e392720
SHA1..: d101d9e62b1fdfc272cdd8336684ae433833c2ee
Erkennungsrate: 8/36 (22.23%)

Der nachgeladene Trojaner erstellt dabei die Datei rs32net.exe im System32 Verzeichnis:

C:\WINDOWS\system32\rs32net.exe

Nun versucht Cutwail sich bei seinen Autoren zu melden. Dabei klappert er eine Liste von IP Adressen ab:

208.66.194.323
216.195.55.50
209.66.122.238
91.203.92.7
208.66.195.15
208.66.195.71

Interessant ist, dass Cutwail die IP Adresse 91.203.92.7 ansteuert. Und wo liegt diese IP Adresse? Genau: Im Subnet 91.203.92.0/22 der UATelecom!

kashi.exe

Nun ruft Emold ein zweitesmal das Script ld.php auf und bekommt prompt erneut eine Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/kashi.exe http://www.econocorp.com/images/kashi.exe

Auch dieses File enthält Malware:

Filename: kashi.exe
File size: 44032 bytes
MD5…: 15113ee714454f223a169fde831e4d15
SHA1..: 50b089816368a7ca4e52c3c2346125b9575e6fe2
Erkennungsrate: 16/36 (44.45%)

Bei dem File handelt es sich um Rogue Software. Nach der Installation veranlasst diese einen Neustart von Windows.

rep.exe

Jetzt ruft Emold ein drittes mal das Script ld.php auf und bekommt noch ein drittes File zugeschoben:

653|1 d http://www.ecotopo.com.au/images/rep.exe http://www.econocorp.com/images/rep.exe

Auch diese Datei enthält wiederum eine Malware:

Filename: rep.exe
File size: 86016 bytes
MD5…: a217cdb07aa1bc2dad954dd2bd30f52c
SHA1..: c1613eebea3105bb9cc22787e89c7f58b45ff916
Erkennungsrate: 20/36 (55.56%)

Die Malware erstellt dutzende DLL- und EXE-Dateien im WINDOWS sowie im system32 Verzeichnis:

C:\WINDOWS\system32\ahspqvkd.exe
C:\WINDOWS\system32\joproxy.sll
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\userconfig3x.dll
uvm.

ecotopo.com.au

Wer dachte, dass sei alles, irrt sich.
Beim Recherchieren bin ich nämlich auf eine interessante Entdeckung gestossen. Der Webserver, welche die Domain ecotopo.com.au hostet, ist so konfiguriert, dass er Directory Listing zulässt. Somit kommen interessante Dateien zum Vorschein:

Die Datei links.txt enthält zum Beispiel 120 gehackte Webserver, auf welchen sich nun sogenannte “redirections” befindet:

z.B.

META HTTP-EQUIV=”Refresh” CONTENT=”0; URL=http://sexopornik.com/”

Die Redirections sind unterschiedlich. Ein Paar versuchen sogar, dem Besucher mittels Iframes Malware unterzujubeln (Drive-By infection). Interessant ist jedoch folgende URL:

http://75.126.217.157/~thevoice/ivohc/

Die URL enthält einen Iframe, welcher zur Domain life-tablets.cn zeigt. Diese Domain ist uns bereits von früher bekannt. Sie verteilt nämlich (wie könnte es anders sein) den Trojaner WSNPoem per drive-by infektion (Siehe Post “wsnpoem per DriveBy-Infektion”).

Ein weiteres File Namens mailbase.txt führt 30’042 E-Mail Adressen auf, darunter auch eine E-Mail Adresse der Schweizerischen Post, der Postfinance, des CERN sowie der SBB.

Ebenfalls im root directory sind zwei webbasierte Spam-Mailer abgelegt:

Im der Datei proxy.txt befindet sich eine Liste von offenen Proxy Servern:

85.176.187.227:22277
75.176.186.191:47596
68.88.195.103:28512
208.77.179.192:63748
24.214.183.83:13226
96.3.124.97:31209
204.210.185.43:35114
71.128.249.121:13614
70.171.19.5:53137
uvm.

Interessant ist das Config File config.txt eines Spam-Mailers:

# Aaca E-MAIL aa?ania
MAILBASE=mailbase.txt

# Nienie aey FROM
FROM=from.txt

# Nienie aey REPLY-TO
REPLYTO=replyto.txt

# Nienie aey SUBJECT
SUBJECT=subject.txt

# Nienie ienai
LETTER=letter.txt

# Nienie aooa?iaioia
ATTACH=attach3446676856.txt

# Nienie SOCKS i?iene
PROXY=proxy789456787895656.txt
[...]

Schaut man sich die involvierten Dateien an, kommt man schnell zum Schluss, dass der Spam-Mailer gebraucht wird/wurde um Spam-Mails zu versenden, welche die Marke “European Phamracy” bzw. “Canadian Pharmacy” umwerben (Siehe “Spamtrackers.eu: European Pharmacy”).

Im Ordner halifax_LogIn befindet sich ausserdem noch eine Phishing Seite für die Englische Bank Halifax.

Fazit

Wieder einmal mehr wird die Schlucht zwischen Emold und WSNPoem kleiner.
Des Weiteren zeigt es sich erneut, dass die UATelecom in eine Vielzahl illegaler Aktivitäten im Internet (cybercrime) verwickelt ist. Nicht nur WSNPoem scheint einige Server in dem Subnet zu kontaktieren sondern auch Emold und Cutwail. Aus diesem Grund sollten Unternehmen es in Betracht ziehen, sämtliche Kommunikation von und in den IP Range der UATelecom (AS44997: 91.203.92.0/22) an ihren Gateways zu unterbinden – sprich zu blockieren.

Weiterführende Links
abuse.ch: “Propaganda einmal anders”
abuse.ch: “wsnpoem per DriveBy-Infektion”
abuse.ch: “wsnpoem: IPLOGS.zip”
abuse.ch: “Hinter den Kulissen von wsnpoem”
abuse.ch: “Trojan.Crypt: Fees_2008-2009.zip”

Trojan.Crypt: Fees_2008-2009.zip

Seit heute Mittag kursiert eine neue Spam-Welle mit dem Ziel, einen Trojaner (Trojan.Crypt) auf dem Rechner des Opfers zu installieren:

Betreff: Statement of fees 2008/09
Please find attached a statement of fees as requested, this will be
posted today.

The accommodation is dealt with by another section and I have passed
your request on to them today.

Kind regards.

Tamra

Im Attachement Fees_2008-2009.zip findet sich wieder einmal mehr eine Ausführbare Datei mit dem Namen Fees_2008-2009.doc______.exe welche einen Trojaner beherbergt:

Filename: Fees_2008-2009.doc______.exe
File size: 32768 bytes
MD5…: e3e7480983d2c724868d2f0cab9cfa9f
SHA1..: 2e29c7226308fe5a6ec03608d4b29336984ede72

Bei dem Trojaner handelt es sich nicht um WSNPoem sondern mit höchster Wahrscheinlichkeit um Trojan.Crypt welcher bereits vor ein paar Wochen im Internet kursiert ist. Der Trojaner kontaktiert wieder die selben Domains wie bei der letzte Spam-Welle:

aaszxe.ru (offline)
aaszxi.ru (offline)
aaszxo.ru (offline)
aaszxp.ru (offline)
aaszxq.ru (offline)
aaszxr.ru (91.203.93.10)
aaszxt.ru (91.203.93.10)
aaszxu.ru (91.203.93.10)
aaszxw.ru (91.203.93.10)
aaszxy.ru (91.203.93.10)

Wie immer gilt: Vorsicht bei E-Mail Attachements!

UPDATE 27.8.08 12:55 Uhr

Soeben reingekommen:

Betreff: Statement of fees 2008/09
Please find attached a statement of fees as requested, this will be posted today.

The accommodation is dealt with by another section and I have passed your request on to them today.

Kind regards.

Maribel

Der Betreff sowie der E-Mail Text ist abgesehen von dem Namen in der Signatur jeweils der selbe. Im Attachement “Fees_2008-2009.zip” findet sich erneut die genannte Malware. Die Ausführbare Datei hat jedoch einen neuen Namen: Fees-2008_2009.doc.exe

Filename: Fees-2008_2009.doc.exe
File size: 30720 bytes
MD5…: b913d34871eb9134b21f53f54449fac0
SHA1..: 0a8ec5f9ef6865e2cc241fa5f53eb5d9b92bb088
Erkennungsrate: 2/35 (5.72%)

Die Malware installiert zudem sogenannte “Rouge Software” wie z.B. Antivirus XP oder Antivirus 2008. Um diese Software loszuwerden empfliehlt sich die installation von Malwarebytes’ Anti-Malware (Gratis).




economics-recluse
Scene
Urgent!