Tag Archive for 'malware'

Scareware Locks Down Computer Due To Child Porn and Terrorism

Recently, my sandbox came across a scareware that locks down the victim’s computer due to “terrorism and child pornography”. The malware is being detected by some AV vendors as “Win32/LockScreen”.

The schema is pretty simple: The criminals try to infect computers with scareware (eg. through Drive-By exploits). As soon as the computer is infected, the malware locks down the machine so that the user won’t be able to log in any more. The malware then displays a message to the user that the law enforcement agency XY found child pornography on the victims computer and that the his computer was used to send out “spam mails with terrorist motives”:

Attention!!!

This operating system is locked due to the violation of the laws of the United Kingdom! Following violations were detected:
Your IP address was used to visit websites containing pornography, child pornography, zoopillia and child abuse. Your computer also contains video files with Pornographic content, elements of violence and child pornograhpy! Spam-messages with terrorist motives were also sent from your computer

This computer lock is aimed to stop your illegal activity.

The message which is being displayed to the victim looks like this (click to enlarge):

What is interesting with this scareware is the dependency of the geo location of the victim’s computer. Before the scareware displays the message shown above, it contacts a central botnet command and control server (C&C) located in Ukraine (188.190.99.174 – AS197145 Infium LTD) using HTTP:

X-188.190.099.174.00080: GET /loc/gate.php?getpic=getpic HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSlE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 188.190.99.174
Connection: Keep-Alive

188.190.099.174.00080-X: HTTP/1.1 200 OK
Date: Wed, XX Feb 2012 XX:XX:XX
Server: Apache/2.2.3 (CentOS)
X-Powered-By: PHP/5.1.6
Content-Length: 32
Connection: close
Content-Type: text/html; charset=UTF-8

http://188.190.99.174/pic/DE.bmp

In the first request the malware contacts the C&C using a parameter called “getpic”. The C&C will response with an URL containing the location of the image the malware should display to on the victim. The malware will follow the URL and download the BMP-file:

GET /pic/DE.bmp HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSlE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 188.190.99.174
Cache-Control: no-cache

Then the malware will determine the IP address of the victim’s computer by using the parameter “getip”:

X-188.190.099.174.00080: GET /loc/gate.php?getip=getip HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSlE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 188.190.99.174
Connection: Keep-Alive

Afterwards the malware displays a “lock screen” to the user using the response (=ip address) from the C&C and the image file downloaded before.

The interesting part is that you can identify the countries which are being hit by this attack by guessing the files on the botnet controller (country codes). So far, I’ve identified the following countries/URLs:

Location: http://188.190.99.174/pic/AT.bmp
Country: Austria (AT)
Agency: BUNDESPOLIZEI
Domain name: landes-kriminalt.net
Location: http://188.190.99.174/pic/DE.bmp
Country: Germany (DE)
Agency: BUNDESPOLIZEI
Domain name: landes-kriminalt.net
   
Location: http://188.190.99.174/pic/GB.bmp
Country: United Kingdom (GB)
Agency: METRPOPOLITIAN POLICE
Domain name: policemetropolitan.org
Location: http://188.190.99.174/pic/FR.bmp
Country: France (FR)
Agency: Gendarmerie nationale
Domain name: n-p-f.org
   
Location: http://188.190.99.174/pic/IT.bmp
Country: Itanly (IT)
Agency: Guardia di Finanza
Domain name: it-polizia.org
Location: http://188.190.99.174/pic/ES.bmp
Country: Spain (ES)
Agency: La policia ESPANOLA
Domain name: lapoliciaespanola.org

Most domain names mentioned above are misspelled, for example, the domain name landes-kriminalt.net is a misspelling of “Kriminalamt” which is equivalent to the Federal Police. All mentioned domain names are registered through registrar BIZCN (a registrar located in China):

Domain Name: LANDES-KRIMINALT.NET
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS3.CNMSN.COM
Name Server: NS4.CNMSN.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 02-may-2011
Creation Date: 02-may-2011
Expiration Date: 02-may-2012

Last update of whois database: Thu, 01 Mar 2012 10:26:21 UTC
[…]

Domain name: landes-kriminalt.net

Registrant Contact:
Lilo
Petr Rublev goldenbaks@gmail.com
+7926987453 fax: +7926987453
privincealnaya 23
Tomsk Tomsk 78945
cn

Administrative Contact:
Petr Rublev goldenbaks@gmail.com
+7926987453 fax: +7926987453
privincealnaya 23
Tomsk Tomsk 78945
cn

Technical Contact:
Petr Rublev goldenbaks@gmail.com
+7926987453 fax: +7926987453
privincealnaya 23
Tomsk Tomsk 78945
cn

Billing Contact:
Petr Rublev goldenbaks@gmail.com
+7926987453 fax: +7926987453
privincealnaya 23
Tomsk Tomsk 78945
cn

DNS:
ns3.cnmsn.com
ns4.cnmsn.com

Created: 2011-05-02
Expires: 2012-05-02

What nearly all domain names have in common is the fact that they have already been up since more than 8 months (Created: 2011-05-02). The same registrant has also registered other domain names:

landes-kriminalt.net
landes-kriminalt.org
bundeskriminalamtes.org
n-p-f.org
policemetropolitan.org
lapoliciaespanola.org
it-polizia.org
myxxxhot.org
nanosearchpro.net
porno-pir.org
privatetechnology.biz
sexysheep.org
tourboportal.com
tubechube.org

I’m asking myself how the criminals have managed not to get their domain names suspended for such a long time period. Please note that these domain names can be considered as malicious and should therefore be blocked at your network’s edge (web gateway / proxy / DNS) along with the botnet controller (188.190.99.174).

The described Scareware schema isn’t really new, Switzerland along with several other European countries were hit by a similar attack back in 2011:

EULA & Anleitung von wsnpoem

Im Internet kursiert seit ende April die EULA (end-user license agreement) sowie die Anleitung von wsnpoem. Die Software hinter wsnpoem nennt sich “ZeuS”. Die EULA wurde samt Anleitung in russisch von Symantec (link) gesichtet:

Leider ist das Help-File, welches die Anleitung sowie die EULA beinhalten, in russisch nicht für jedermann verständlich. Dank der Unterstützung eines Sprachkundigen ist es mir jedoch mit seiner Erlaubnis möglich, euch sinngemässe deutsche Auszüge aus dem Text vorzustellen. Das Help-File lässt vermuten, dass die Software von Dritt-Personen programmiert worden ist und zur Verwendung weiterverkauft oder vermietet wird.

Die Software wird von dessen Autoren wie folgt beschrieben:

[…] ZeuS – im Folgenden ‘Bot’ genannt – ist eine Spyware für 32bit MS Windows 2000/XP. Sie dient zur Kontrolle von Rechnern von Opfern und zum Kopieren von auf diesen Rechnern liegenden Informationen mittels Logfiles.

ZeuS besteht aus drei Teilen:

    1. Ein auf dem/den Server/n installiertes Controlpanel
    2. Ein Builder, d.h. eine Windows Applikation zwecks Bot-Konfiguration
    3. Und dem eigentlichen Bot, d.h. der auf dem Rechner des Opfers ausgeführte Windows-Anwendung.

Der Bot
Interessant sind die Funktionen des Bots, welche jedoch grösstenteils bereits bekannt sind:

[…]

    1. Programmiert in VC++ 8.0, und zwar nur unter Benutzung der WinAPI, insbesondere ohne RTTI und der gleichen. Dadurch wird ein kompaktes Programm erreicht (ca. 10-25KB, je nach Zusammenstellung).
    2. Es wird kein eigener Prozess gestartet. Dadurch kann der Bot in der Prozessliste nicht gefunden werden.
    3. Die Mehrzahl der Firewalls wird umgangen, einschliesslich der populären Outpost Firewall in den Versionen 3 und 4; Es besteht aber momentan ein kleines Problem betreffend Anti-Spyware-Programmen. Die ungehinderte Entgegennahme eingehender Verbindungen ist ausserdem nicht garantiert.
    4. Der Bot installiert sich beim Opfer unter Benutzung von Zeitstempeln anderer Systemdateien und mit zufälliger Dateigrösse; dadurch ist er schwer aufzuspüren.
    5. Der Bot funktioniert auch mit eingeschränkten Windows-Benutzerrechten; der Einsatz unter Gast-Benutzerkonten wird derzeit jedoch nicht unterstützt.
    6. Der eigentliche Programmcode des Bot ist chiffriert und damit für Antiviren-Algorithmen unsichtbar.
    7. Auf Wunsch werden jegliche Spuren der Anwesenheit des Bots unterdrückt; insbesondere auf das Auslagern von Firewalls und Antivirensoftware, auf die Unterdrückung deren Updates, auf das Blockieren von Ctrl-Alt-Del, und auf andere bei Spyware-Autoren beliebte Erkennungsmuster wird verzichtet.
    8. Blockierung der Windows-eigenen Firewall; diese Funktion ist nur zur problemlosen Entgegennahme eingehender Verbindungen erforderlich.
    9. Der Bot speichert/empfängt und sendet alle seine Einstellungen, Logs und Anweisungen in verschlüsselter Form und unter Nutzung des HTTP/HTTPS Protokolls; das bedeutet, dass nur Sie die Daten als Klartext sehen können; die Bot <-> Server Kommunikation wird ansonsten wie Müll aussehen.
    10. NAT-Detektion durch Prüfung der eigenen IP mit Hilfe einer von Ihnen definierten Webseite.
    11. Eine dedizierte Konfigurationsdatei schützt vor dem Verlust des Botnetzes, falls der Hauptserver ausfallen sollte. Darüber hinaus können zusätzliche Konfigurationsdateien als Reserve angegeben werden, auf die der Bot zugreift, falls die Hauptdatei ausfällt. Dieses Verfahren garantiert in 90% aller Fälle das Überleben Ihres Botnets.

[…]

Insgesamt sind hier 24 Punkte aufgeführt. Nicht erwähnt habe ich bereits bekannte Funktionen wie z.B. das Mitschneiden von HTTP POST und GET Anfrage, socks4 + HTTP Proxy Funktion, Abfangen von POP3 und FTP Logins/Passwörter sowie das Ändern des lokalen DNS.

Auch die von vielen Banken so hoch gelobte “Virtuelle Tastatur” kann von dem Trojaner mit geschnitten werden:

[…]

    12.8. IDEALE LÖSUNG FÜR VIRTUELLE TASTATUREN: Nachdem Selektion der konfigurierten URL wird ein Screenshot desjenigen Bereich des Bildschirms vorgenommen, innerhalb dessen die linke Maustaste gedrückt wurde.

[…]

Punkt 19. gefällt mir besonders:

[…]
    19. Seit dem Booten des Rechners besuchte Seiten werden aufgezeichnet. Dies ist bei vorhandener Sploit Installation nützlich: wenn Sie den Download über einen zweifelhaften Service erwerben, so erfahren Sie so, was parallel sonst noch geladen wird.

[…]

Komisch, denn mit Sploits wird NUR auf zweifelhaften Webseiten gehandelt. Die Autoren von ZeuS trauen also den Leuten aus dem selben Business nicht.

Das Steuerungspanel

Dieser Absatz umfasst insgesamt 11 Punkte. Es wird mit einer “Einfachen Installation” geworben. Des Weiteren werden hier die Voraussetzungen wie “PHP und MySQL” beschrieben:

[…]

    4. Statistik über die erfolgten Infizierungen.
    5. Statistik über die momentan Online geschalteten Bots.
    6. Aufteilung des Botnets in Sub-Botnets.
    7. Übersicht über die Online geschalteten Bots, auch mit Filtermöglichkeit
    8. Speichern von Logs in einer Datenbank. Dies hat folgende Vorteile:
    […]
    10. Kommandos können an die Bots abgesetzt werden, auch mit Filtermöglichkeit.

[…]

EULA / Vereinbarung

Amüsant ist der Abschnitt “Vereinbarung” (EULA):

[…]
Der Verkäufer:

    1. Bietet qualifizierten technischer Support via Internet.
    2. Haftet nicht für:
    Datenverlust
    Schliessung oder Abschaltung von Servern
    Datenkommunikations-Kosten
    3. Verpflichtet sich, in ZeuS gefundene Bugs zu beheben und kurzfristig Gratis-Patches zur Verfügung zu stellen.
    4. Verpflichtet sich, Vorschläge/Meinungen und Rückmeldungen über ZeuS entgegenzunehmen und in angemessener Weise darauf einzugehen.

Der Kunde:

    1. Ist nicht berechtigt, ZeuS für kommerzielle oder nicht-kommerzielleZwecke zu verbreiten, die den Interessen des Verkäufers zuwiderlaufen.
    2. Ist nicht berechtigt, den Binärcode des Bots oder des Builders zu disassemblieren und/oder zu analysieren.
    3. Ist nicht berechtigt, das Controlpanel zur Verwaltung anderer Botnets oder zu anderen Zwecken zu verwenden, die nicht mit ZeuS in Zusammenhang stehen.
    4. Ist nicht berechtigt, absichtlich Teile von ZeuS an Antiviren-Software-Anbieter oder andere, ähnliche Einrichtungen zu senden.
    5. Verpflichtet sich, den Verkäufer für Updates von ZeuS zu bezahlen, die nicht im Rahmen von Bug-Behebungen erfolgen. Dasselbe gilt ebenso für Ergänzung um zusätzliche Funktionalitäten.

Wird gegen diese Vereinbarung verstossen und dieser Verstoss entdeckt, so verlieren Sie jegliche technischen Unterstützung. Darüber hinaus wird der Bot in Ihrer Zusammenstellung unverzüglich
Antiviren-Software-Anbietern zugeschickt. […]

Die restlichen Seiten beinhalten eine Versions-History (derzeit 1.0.2.0) und eine Anleitung für die Anpassung und Installation des Bots sowie dessen Befehle. Auch der Aufbau des Konfigurationsfiles, der TAN-Grabber und das Umlenken der Banken-URLs wird ausführlich beschrieben.

Fazit

Der Server, welcher das Konfigurationsfile hortet, sowie die Software “ZeuS” wird inkl. Know-How gemietet oder eingekauft. Die Kriminellen, welche an die Bank-Daten der Opfer gelangen möchten, besitzen somit höchstwahrscheinlich ein nicht so grosses Know-How im Bereich der Informatik als bisher angenommen. Das Tool macht es möglich, aus einem Leihen einen “professionellen” Internet Kriminellen zu machen.




economics-recluse
Scene
Urgent!