Tag Archive for 'iPIX-install.exe'

Eine Bankenkrise der Schweizer Banken ist unvermeindlich

Heute habe ich ein Mail von einem Leser erhalten. Er wies mich auf folgendes Mail hin, welches er heute Morgen bekommen hat:

Betreff: Eine Bankenkrise der Schweizer Banken ist unvermeindlich

Im Internet ist die Aufnahme eines Interviews erschienen, in dem der Amerikanische Finanzsachverständige Mike Bromers, der Vertreter der Investmentabteilung der „Bank of America“ behauptet, im Sommer stehe es solchen Banken wie Ubs, Credit-Suisse ein Geschäftszusammenbruch vor. Er empfiehlt allen Investitionsträgern Ihr Geld aus diesen Banken zurückzuziehen .

Dieser Expert habe eine große Anzahl von kompromittierenden Materialien gegen diese Bänkler, die im Jahre 2007 eine illegale Tätigkeit auf dem Fondsmarkt ausgeübt haben, und Einnahmen von den illegalen Geschäften auf Ihre falschen Kontos überwiesen haben.

Die Regierung von der Schweiz verbietet die Vorführung dieses Interviews auf den Fernsehkanälen, weil es die staatliche finanzstabilität untergraben könne.

Das Interview dauert ungefähr eine Stunde und ist in englischem Original
gestaltet.

http://58.22.101.116/ch/

Wir bitten Sie nach Einsicht Ihre Meinung dazu in unserem Blog zu
hinterlassen.

Das Mail erinnert stark an die emails mit dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” (Siehe Post vom 17. März 2008 und 8. Januar 2008) welche dieses Jahr die Schweiz “heimgesucht” haben. Der Betreff und Inhalt der Mails haben sich jedoch grundlegend geändert. Wahrscheinlich kommen diese Mysteriösen emails von dem selben Virenautor welcher auch für die letzte Welle ähnlicher Mails verantwortlich war.

Laut dem Mail schwirrt derzeit ein Interview mit dem Amerikanische Finanzsachverständige Mike Bromers im Internet herum. Er erzählt angeblich von Vertreter der Bank of America wonach diese der Meinung sind, dass in diesem Sommer den Schweizer Banken Ubs und Credit-Suisse ein Geschäftszusammenbruch bevorstehe. Aus diesem Grund empfiehlt Mike Bromers allen Investoren ihr Geld aus diesen Banken zurückzuziehen.

Dem Leser wird dann schmackhaft gemacht, eine Webseite zu besuchen auf welchem das angebliche Interview mit dem Finanzsachverständigen vorhanden sein soll:

http://58.22.101.116/ch/

Die IP-Adresse ist auf eine Firma Namens CNCGroup FuJian province network in China registriert. Besucht man die Webseite, wird man dazu aufgefordert ein scheinbar fehlendes Plug-In (iPIX-install.exe) zu installieren.

Um das Interview anschauen zu können, muss angeblich ein Plug-In Namens iPIX-install.exe heruntergeladen und installiert werden. Das angebliche Plug-In iPIX-install.exeist uns ja bereits aus den vorhergehenden Malware-Wellen bekannt. Die Datei enthält einen Trojaner, welcher zur Zeit durch 0 von 36 Virenscannern erkannt wird (Stand 2008.03.27 13:06:57 (CET)):

Filename: iPIX-install.exe
File size: 69140 bytes
MD5: 7618bb4b84831d5cbaef8a2fa517f68c
SHA1: c75b1fa0543dc6d4802442f7e2d8f9fbf5aa56ea
Source: http://58.22.101.116/ch/iPIX-install.exe

Das Aussehen der Webseite hat sich (im Gegensatz zu den vorhergehenden) ein wenig verändert und sieht jetzt (meiner Meinung nach) vertrauenswürdiger aus.

Den Usern wird empfohlen, die Webseite zu meiden und auf keinen Fall das “fehlende” Plug-In zu installieren.

UPDATE 16:55 Uhr

Die Melde- und Analysestelle Informationssicherung (MELANI) hat schneller reagiert als letztes mal und ihre Warnung vom 17.03.2008 soeben aktualisiert:

Link: Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Wer über neue Gefahren im Internet auf dem laufenden gehalten werden möchte, sollte sich beim MELANI Newsletter anmelden: www.melani.admin.ch

UPDATE 17:19 Uhr

Scheinbar ist die Schweiz nicht das einzige Land, welches mit den Kriminellen zu Kämpfen hat.
Leider kann ich kein kyrillisch, aber aus dem Text ist folgendes lesbar:

“Mike Bommers”, “Bank of America”, “2007″

Ebenfalls erkennbar ist folgender Link:

http://58.22.101.116/lv/

Der kommt uns doch bekannt vor? Nicht ganz – nach der IP-Adresse steht das Landeskürzel von Lettland (lv) und nicht dieses der Schweiz (ch) wie in unserem Fall. Auf der Webseite wird der Besucher ebenfalls aufgefordert, ein Plugin zu installieren welches den Trojaner enthält. Das Plugin ist dabei das selbe, welches auf der Schweizer Version der Seite angeboten wird.

Wird das angebliche Plug-In installiert, nimmt der Trojaner Kontakt mir folgendes Servern auf.

freelifenet.cn (203.211.131.242)
bestworldcom.cn (201.218.198.22)

Dort lädt die Malware weiteren Schadenscode nach:

http://freelifenet.cn/trash2/nl/file.bin
http://freelifenet.cn/trash2/nl/promo.php?1=*Computer Informationen*

http://bestworldcom.cn/r.php

Ich frage mich bereits, mit welcher Masche die Virenautoren das nächste mal auftauchen. Es bleibt also spannend.

“Nachricht über eine radioaktive Kontamination in der Schweiz” zum zweiten

Schon über drei Monate ist es her, als ich ein Post über einen Virus gemacht habe, welcher sich unter dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” verbreitet hat.

Scheinbar war die Erfolgsquote so hoch, dass die Virenautoren heute kurz nach dem Mittag einen zweiten Anlauf gestartet haben:

From: “Gordon Dove”
To: robert@rbl.abuse.ch
Subject: Nachrichtüber eine radioaktive Kontaminwation in der Schweiz

Auf Internetforums erschienen Nachrichten über eine gewaltige Explosion auf dem Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 12. März etwa um 15 Uhr stattgefunden hatte.

Im Einzelnen machte eine Bürgerin dieser Stadt einen telefonischen Anruf und teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde, damit man keinen Menschen anrufen könnte.

Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe,
und dabei eine sehr mächtige, und dass eine Strahlungswolke erstrecke sich jetzt.

In privaten Gesprächen wird diese Information von Amtstägern inoffiziell bestätigt.

Ausserdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosions folgen und Körper der Beschädigten dargestellt sind.

LiveJournal Blog: http://www.financial-expret.cn/aes/

Der Mail-Text hat sich bis auf das Datum wo der Vorfall passiert sein soll nicht geändert. Der Text möchte den User auf ein “LiveJournal Blog” unter der URL www.financial-expret.cn/aes verweisen. Die Webseite ist die selbe wie vor drei Monaten, jedoch wird Sie auf einem anderen Server (202.44.53.30 – World Internetwork Co. Ltd Thailand.) unter einer anderen URL betrieben.
Besucht man die Webseite, wird der User aufgefordert ein Plug-In zu installieren um die Fotos der Ortsbewohner auf der Webseite anschauen zu können:

ps_radioaktivitaet_genf_13-mar1.jpg

Die Datei “iPIX-install.exe” enthält einen derzeit noch unbekannten Virus und wird nur durch 8 von 31 Antiviren-Produkte heuristisch erkannt (z.B. suspicious:W32/Malware!Gemini – F-Secure).

Filename: iPIX-install.exe
URL: http://www.financial-expret.cn/aes/iPIX-install.exe
File size: 53803 bytes
MD5: ed709375fd36dca13cfc078d6fa845c3
SHA1: 84c2f3bd9ae17b8a646dad5bf6745e4ccb0a79ef

Im Unterschied zum letzten mal, verwendet die Domain financial-expret.cn keine Fast-Flux Technik.

Es wird empfohlen, folgende Domain / IP-Adresse zu blockieren:

202.44.53.30
static-53-30.worldinternetworkcorporation.com
financial-expret.cn

UPDATE 16:55 GMT +1

Nach dem ausführen der EXE-Datei stellt die Malware eine Verbindung zur Domain freelifenet.cn (203.211.131.242 – AXGN-SG, Singapur) über Port 80 (HTTP) her und holt sich dort eine Konfigurations-Datei mit dem Namen “file.bin” und lädt weitere Schadens-Software nach:

http://freelifenet.cn/trash/ch/file.bin (Konfig)
http://freelifenet.cn/trash/ch/file.exe (Malware)

Es gilt also auch den Zugriff zu dieser Domain resp. IP-Adresse zu blockieren:

freelifenet.cn
203.211.131.242

UPDATE 19:57 GMT +1

Der Server (202.44.53.30) auf welchem die Webseite financial-expret.cn gehosted wird, scheint bereits eine bekannte Quelle von “Kriminellen Energien” zu sein:

Die IP-Adresse ist bereits seit dem 1. März 2008 in der Spamhaus Blocklist (SBL) mit folgendem Kommentar geblacklisted:

Money-mule recruitment site, looking for human “mules” to help criminals launder their spam, phishing and carding monies.
All hosting on these addresses appears to be controlled by Russian cybercriminals.

Auf deutsch: Die IP-Adresse wird scheinbar durch Russische Kriminelle kontrolliert und für Spam, Phishing und das rekrutieren von Money Mule verwendet. Das ist jedoch noch lange nicht alles; Die für die Domain financial-expret.cn und freelifenet.cn eingetragenen Nameserver werden auf dem selben Server gehosted wie die Webseite financial-expret.cn selber:

;; QUESTION SECTION:
;financial-expret.cn. IN A

;; ANSWER SECTION:
financial-expret.cn. 14400 IN A 202.44.53.30

;; AUTHORITY SECTION:
financial-expret.cn. 12151 IN NS ns1.domaindns.biz.
financial-expret.cn. 12151 IN NS ns2.domaindns.biz.

;; ADDITIONAL SECTION:
ns1.domaindns.biz. 9822 IN A 202.44.53.30
ns2.domaindns.biz. 9822 IN A 202.44.53.30

Im Klartext fungiert der Server also als Webserver und Nameserver zugleich. Laut uribl.com dient der Nameserver derzeit für drei weitere Domains welche Replica Mobile Phones umwerben und ebenfalls auf dem selben Server gehosted werden.
Versucht man per SSL auf die Domain financial-expret.cn zuzugreifen (https://financial-expret.cn) erscheint folgende Meldung:

Welcome to formregistration2008.cn
To change this page, upload a new index.html to your private_html folder

Aha! Noch eine weitere verdächtige Domain!

Fazit

Laut Spamhaus steckten Russische Kriminelle dahinter, welche als Allrounder tätig sind:
- Verbreitung von Malware
- Rekrutierung von Leuten für Ihre Pihshing attacken (Money Mule)
- Versenden von Spam-Mails

Die Kriminellen Energien laufen (fast) alle auf dem ein und dem selben Server zusammen:

formregistration2008.cn (Money Mule) -> 202.44.53.30
financial-expret.cn (Malware Domain) -> 202.44.53.30
freelifenet.cn (Malware Domain) -> 203.211.131.242
vertucopies.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
rightcopyphones.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
litho2you.info (Spam [Replica Mobile Phone]) -> 202.44.53.30

Nameserver für diese domains:
ns1.domaindns.biz-> 202.44.53.30
ns2.domaindns.biz-> 202.44.53.30

UPDATE 14.03.2008

Die Welle derartiger Mails hält an, wobei scheinbar nun eine zweite URL für die Verbreitung des Virus verwendet wird:

www.mybesthomepage.cn/aes/iPIX-install.exe

Die Domain hat die selben Nameserver wie financial-expret.cn (ns1.domaindns.biz & ns2.domaindns.biz) und wird ebenfalls auf dem Server hinter der IP-Adresse 202.44.53.30 betrieben.

UPDATE 17.03.2008

Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute (endlich) eine entsprechende Warnung herausgegeben:

Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer




economics-recluse
Scene
Urgent!