Basiert auf einem Post des Internet Storm Centers auf http://isc.sans.org/diary.html?storyid=3728 habe ich selbst die Datei “file.exe” einmal herunter geladen und ausgeführt.
Hier meine Analyse:
Expoit URLs
http://profile.myspace.com.fuseaction.id.user.viewprofile.1987383.cn/
http://profile.myspace.com.fuseaction.id.user.viewprofile.370913.cn/
http://profile.myspace.com.fuseaction.id.user.viewprofile.187098.cn/
http://profile.myspace.com.fuseaction.id.user.viewprofile.188273.cn/
Ausgeführte Datei (durch Exploit)
http://currentsession.net/session/file.php (file.exe)
Kontaktierte URLs nach Ausführung
http://ipinin.com/exes/webdl3x/weby.exe – trojan.Win32.Pakes.bsn (F-Secure)
http://ipinin.com/exes/webdl3x/oly.exe – MultiDropper-JD (McAfee)
http://currentsession.net/session/fout.php?status=completed (Konfigurations File)
http://settings.gfxgraphics.net/settings/oly/official/settings.ini (Konfigurations File)
http://www.ipointyou.com/remote/remote.php?ip=null&version=1.0&build=beta
http://www.myexes.hk
Fast Flux Monitoring Nodes
72.232.163.26
72.232.173.210
IP Range owner (72.232.0.0 – 72.233.127.255): Layered Technologies
Host, welche Mitglied eines Fast-Flux Botnets sind, werden in meiner Fast-Flux Blacklist drone.abuse.ch geblacklisted.
