Über wsnpoem (aka Zbot) wird derzeit viel gesprochen, da er seit Anfang Jahr aggressiver und schneller mit neuen Spam-Wellen auftritt um ahnungslose User zu infizieren. Doch wer steckt dahinter? Aus bestimmten Ecken hört man, dass angeblich das Russian Business Network (RBN) hinter wsnpoem steckt. Bestätigt hat sich diese Vermutung bis anhin jedoch nicht. Leider kann ich die Frage, wer hinter wsnpoem steckt, genau so wenig beantworten wie allen andern. Ich habe jedoch einmal ein bisschen recherchiert und habe dabei einige interessante Entdeckungen gemacht.
Schauen wir uns als erstes doch einmal die Registrierdaten der beiden Domains an, bei welchen sich wsnpoem nach der Infizierung meldet:
type: CORPORATE
nserver: ns1.fixaserver.ru. 91.203.92.3
nserver: ns2.fixaserver.ru. 91.203.92.3
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN
type: CORPORATE
nserver: ns1.checkyourip.ru.
nserver: ns2.checkyourip.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN
Was sehen wir? Die Registrierdaten sind abgesehen von den zuständigen Nameserver gleich. Wir sehen ebenfalls, dass die beiden Domains am selben Tag registriert wurden. Dank einem Russischen Domain-Registrar ist es nun möglich heraus zu finden, welche Domains mit den selben Registrierdate registriert worden sind. Ich habe nicht schlecht geschaut, als ich sage und schreiben 44 Domains gefunden habe, welche mit der Telefon-Nummer +7 933 7898898 registriert worden waren. Eine weitere Telefon-Nummer welche für die Registrierung verwendet wurde, ist +7 933 7898890. Mit dieser Nummer wurden im letzten Jahr insgesamt 20 Domains registriert. Ich habe nun eine List zusammen gestellt, welche Domains noch aktiv sind und welche inaktiv (=keinen A Record haben):
| Aktive domains: | 18 |
| Inaktive domains: | 48 |
| Total: | 66 |
Aktive domains
Folgende Domains sind derzeit aktiv d.h. sie haben einen A-Record:
| Domain | Reg. date | SBL? | A Record |
| blatundalqik.ru | 15-Jul-2008 | SBL65512 | 91.203.92.27 |
| baltikaredison.ru | 23-Jul-2008 | SBL65512 | 91.203.92.4 |
| checkyourip.ru | 11-Jun-2008 | SBL65512 | 91.203.92.27 |
| cosmo7771.ru | 15-Apr-2008 | 202.151.177.85 | |
| fixaserver.ru | 11-Jun-2008 | SBL65512 | 91.203.92.3 |
| fixbserver.ru | 11-Jun-2008 | SBL65512 | 91.203.92.27 |
| fixproblems.ru | 11-Jun-2008 | SBL65512 | 91.203.92.27 |
| fixredirector.ru | 16-Jun-2008 | FastFlux | |
| fixbaserver.ru | 14-Jul-2008 | 66.199.242.114 | |
| guns-fi-logs.ru | 24-Jan-2008 | SBL65112 | 79.135.166.132 |
| malafikarubik.ru | 15-Jul-2008 | SBL65512 | 91.203.92.27 |
| m5bmwfire.ru | 24-Jan-2008 | 91.98.31.131 | |
| mbmwxxx.ru | 5-Jun-2008 | SBL65512 | 91.203.92.4 |
| newvalarsrent.ru | 29-Apr-2008 | SBL65512 | 91.203.92.4 |
| powerserver.ru | 24-Jan-2008 | 216.195.58.18 | |
| superbaltikaneda.ru | 23-Jul-2008 | SBL65512 | 91.203.92.4 |
| valarsbackuo.ru | 29-Apr-2008 | SBL65512 | 91.203.92.4 |
| valarsmemeverzone.ru | 29-Apr-2008 | SBL65512 | 91.203.92.4 |
| wfrules.ru | 11-Jun-2008 | SBL65512 | 91.203.92.4 |
Was bei den aktiven Domains sofort auffällt, ist, dass viele Domains auf die selbe (uns bereits bekannte) IP Adresse zeigen: 91.203.92.4. Scheinbar sind die IP Adressen auch bei Spamhaus bekannt, für die meisten IP Adresse gibt es nähmlich einen SBL Eintrag (Spamhaus Block List).
Schauen wir uns den SBL Eintrag SBL65512 doch einmal etwas genauer an. Der Eintrag wurde am 09-Jul-2008 um 22:49 Uhr GMT hinzugefügt mit dem Kommentar “Virus writers spreaders” (Virenschreiber Umschlagplatz). Der Eintrag listed das Subnet 91.203.92.0/22 worin sich auch die uns bekannten IP Adressen 91.203.92.3, 91.203.92.4 und 91.203.92.27 befinden. Das Subnet gehört einem Ukrainischen Provider Namens ISP UATelecom holding LLC.. Die uns bekannten IP Adressen sind in dem SBL Eintrag zwar nicht explizit erwähnt, da sie jedoch im genannten Subnet liegen sind sie trozdem geblacklistet.
Der zweite SBL Eintrag SBL65112 betrifft 79.135.166.132 (guns-fi-logs.ru). Hierbei wurde das Subnet 79.135.160.0/19 am 1-May-2008 um 21:36 Uhr GMT mit dem Kommentar “SBL62483 AbdAllah_Internet – Ukrainian cybercrime hosting” gelistet. Stop! AbdAllah Internet? Die kennen wir doch! Dem AbdAlah Internet Hizmetleri (AHI) wird eindeutig eine Zugehörigkeit zum Russian Business Network (RBN) zugesprochen (Siehe Shadowserver.org und joewein.net). Hierher stammen also die Vermutungen, dass möglicherweise das RBN hinter wsnpoem steckt.
Auch Interessant ist die Domain fixredirector.ru; diese wird nähmlich im Gegensatz zu allen anderen Domains auf einem Botnet gehosted (FastFlux):
fixredirector.ru. 1800 IN A 221.34.239.33
fixredirector.ru. 1800 IN A 221.166.202.111
fixredirector.ru. 1800 IN A 85.26.37.224
fixredirector.ru. 1800 IN A 125.139.235.157
fixredirector.ru. 1800 IN A 219.254.85.28
Als Betreiber der FastFlux Blacklsite drone.abuse.ch überwache und Blackliste ich IP Adressen (sprich Bots), welche in solchen Botnetze tätig sind. Das Botnet welche die Domain fixredirector.ru hosted ist mir nicht unbekannt: Lookup fixredirector.ru at drone.abuse.ch. Was sehen wir denn da? Das Botnetz hosted gerade aktive auch die beiden Money Mule Domains duty-free-international.biz und duty-free-international.org. Googeld man nach den beiden Domains, wird man sehr schnell fündig:
Des Weiteren werden derzeit noch einige phishing Domains in dem FastFlux Botnet gehosted: WSNPoem FastFlux Botnet Monitor
Interessant, jetzt schauen wir doch einmal zurück, welche Domains früher in dem selben Botnet gehosted wurden:
773tresman.com
bnsluns.com
cvbmncv.com
dftged.com
ejrkt.com
hwhvia.com
mnbvne.com
neryere.com
nmvbcq.com
rkj43ghi.com
uerrm.com
vcertd.com
cvbmncv.com
dftged.com
mnxcbv.com
ejrkt.com
rkj43ghi.com
vcertd.com
dftged.com
ejrkt.com
rkj43ghi.com
vcertd.com
asxoi.cn
groupdg.cn
sastop.com
uiydsr.com
Auf den ersten Blick sagen diese Domains nicht viel aus, googeld man jedoch nach den Domains, wird man sehr schnell bei den Kollegen von PhishTank fündig:
Beispiel neryere.com:
Status: Verified: Is a phish
Auch bei den anderen Domains sieht es nicht besser aus; alle Domains sind durch Phishing Aktivitäten aufgefallen.
Ebenfalls Interessant ist die Domain cosmo7771.ru welche auf die IP Adresse 202.151.177.85 zeigt. Auf diesem Server wird nämlich nicht nur eine Domain von wsnpoem gehosted sondern auch viele weitere Domains:
bankeofscotlands.com
froxik.com
banifs.org
jefyxx.net
relanlabs.com
sexyura.info
olan-complex.com
euro-invest-solutions.com
p-cons-group.com
persdev-center.com
job.vanlines.de
Die ersten beiden Domains sehen auf den ersten Blick legitim aus, auf den zweiten jedoch findet man je ein Schreibfehler in den Domains, wobei sofort der Verdacht auf phishing aufkommt. Googeld man nach den Domains olan-complex.com und euro-invest-solutions.com, wird man erneut fündig bei bobbear.co.uk:
“Olan Complex Co. is just another run-of-the mill fake Russian financial site that exists solely to ensnare the unwary, whether it is to ‘phish’ for bank details or mainly to recruit money mules. The clues are all there that give the criminal’s game away without a shadow of a doubt.”
und
“EURO Investment Solutions is part of a huge Russian money laundering criminal network [...].”
Aha… nochmals zwei Domains, welche verwendet werden um Money Mules anzuwerben. Bei den letzten drei Domains p-cons-group.com, persdev-center.com und job.vanlines.de sieht es nicht anders aus. Googeld man nach diesen Domains, findet man erneut Hinweise auf Geldwäscherei.
Inaktive Domains
Folgende Domains sind der Zeit Inaktiv d.h. sie haben keinen A-Record und teilweise auch keinen NS-Record mehr:
| Domain | Reg. date |
| allmoneyoftheworld.ru | 7-Apr-2008 |
| allworldinmyhands.ru | 7-Apr-2008 |
| bazuka-nl-fk.ru | 24-Jan-2008 |
| bazuka-nl-logs.ru | 24-Jan-2008 |
| bazuka-nl-reserv.ru | 24-Jan-2008 |
| bazuka-nl-reserv2.ru | 24-Jan-2008 |
| cosmo9998.ru | 15-Apr-2008 |
| firestorm-ch-fk.ru | 24-Jan-2008 |
| firestorm-ch-logs.ru | 24-Jan-2008 |
| firestorm-ch-reserv.ru | 24-Jan-2008 |
| firestorm-ch-reserv2.ru | 24-Jan-2008 |
| grob-ch-fk.ru | 13-Feb-2008 |
| grob-ch-logs.ru | 13-Feb-2008 |
| grob-ch-reserv.ru | 13-Feb-2008 |
| grob-ch-reserv2.ru | 13-Feb-2008 |
| guns-fi-fk.ru | 24-Jan-2008 |
| guns-fi-reserv.ru | 24-Jan-2008 |
| guns-fi-reserv2.ru | 24-Jan-2008 |
| helloallworld.ru | 7-Apr-2008 |
| m3bmw.ru | 15-Apr-2008 |
| m3bmwfire.ru | 7-Jun-2008 |
| m5bmw.ru | 15-Apr-2008 |
| moneyofworld.ru | 7-Apr-2008 |
| multik-nl-fk.ru | 13-Feb-2008 |
| multik-nl-logs.ru | 13-Feb-2008 |
| multik-nl-reserv.ru | 13-Feb-2008 |
| multik-nl-reserv2.ru | 13-Feb-2008 |
| theworldismine777.ru | 8-Apr-2008 |
| testingdomain.ru | 22-Dec-2007 |
| fastless.ru | 22-Dec-2007 |
| gameoverther.ru | 22-Dec-2007 |
| lobstert.ru | 22-Dec-2007 |
| lostfaq.ru | 22-Dec-2007 |
| lostfee.ru | 22-Dec-2007 |
| lostfreak.ru | 22-Dec-2007 |
| lostfrost.ru | 22-Dec-2007 |
| lostfrozen.ru | 22-Dec-2007 |
| lostgogo.ru | 22-Dec-2007 |
| lostmos.ru | 22-Dec-2007 |
| lostprost.ru | 22-Dec-2007 |
| losysfree.ru | 22-Dec-2007 |
| losysgo.ru | 22-Dec-2007 |
| loungeer.ru | 22-Dec-2007 |
| louse.ru | 22-Dec-2007 |
| mostfree.ru | 22-Dec-2007 |
| peargame.ru | 22-Dec-2007 |
| pharmgame.ru | 22-Dec-2007 |
| productthere.ru | 22-Dec-2007 |
Fazit
Folgende Erkenntnisse ziehe ich aus meinen Recherchen:
Nun Fragt sich jedoch, ob diese Aktivitäten von der selben kriminellen Gruppe ausgehen wie wsnpoem. Es könnte nämlich auch sein, dass z.B. das Botnet, welches die Domain fixredirector.ru hosted, gemietet ist. Bis anhin sind nämlich noch nie solche Aktivitäten von einem durch wsnpoem infizierten Rechner festgestellt worden. Es ist also wahrscheinlich, dass die wsnpoem Domains Bulletproof gehosted sind und das Botnet gemietet ist.
