Tag Archive for 'Rechnung.doc'

Verstärktes Malwareaufkommen in der Schweiz

Schweizer User finden heute gleich mehrere Viren-Mails in ihrem E-Mail Postfach. Seit kurz nach Mitternacht habe ich ein verstärktes Malwareaufkommen in der Schweiz beobachtet. Hier ein kleiner Überblick:

Betreff: Statement of fees 2008/09
Please find attached a statement of fees as requested, this will be
posted today.

The accommodation is dealt with by another section and I have passed
your request on to them today.

Kind regards.

Dawn

Im Attachement Fees-2008_2009.zip befindet sich die Datei Fees-2008_2009.doc.exe, im welchem sich der Trojaner Emold / AutoRun:

Filename: Fees-2008_2009.doc.exe
File size: 31744 bytes
MD5…: a5201e4ca4ad72ca9767c4dbaf05e16a
SHA1..: e26287bd8db62f29357ab5e7d011274089d0dbbc
Erkennungsrate: 13/36 (36.12%)

Der Selbe Trojaner scheint sich auch noch über eine andere Spam-Welle zu verbreiten:

Betreff: Record in debit of account
Good day,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.

If necessary, we can send it by fax.
Looking forward to your decision.

Im Attachement Contract_I2_9.2008.zip befindet sich die Ausführbare Datei Contract_I2_9.2008.doc.exe, in welcher sich erneut Emold / AutoRun versteckt:

File size: 31744 bytes
MD5…: 8bbdda8469f96af51dde5033909c225b
SHA1..: 46ebccc44001af80bbe69dd28ba4b31fbe63df87
Erkennungsrate: 15/36 (41.67%)

Am Verhalten des Trojaners (Emold) hat sich jedoch nichts geändert (Siehe Post vom 28.8.08).

Weitaus mehr Sorgen macht mir eine Word Datei, welche derzeit in der Schweiz versendet wird und aktiv eine Schwachstelle in Microsofts Office Word ausnützt um Malware auf dem Rechner zu installieren:

Betreff: 1 Rate
Sehr geehrte Damen und Herren!
Die Anzahlung 907185196420 ist erfolgt
Es wurden 4194.00 EURO von Ihrem Konto abgebucht.
Die Auflistung der Kosten finden Sie im Anhang

Zyklop Inkasso Deutschland GmbH
Königsberger Str. 10
D-47809 Krefeld

Geschäftsführer: Lothar Hilse, Gerhard Liebchen
Handelsregister: Amtsgericht Krefeld HRB 35 89
Aufsichtsbehörde: Landgerichtspräsident Krefeld
USt-IdNr.: DE 120 154 439

Im Attachement Rechnung.zip befindet sich (wie bereits erwähnt) ein Word-Dokument mit dem Namen Rechnung.doc:

Filename: Rechnung.doc
File size: 289280 bytes
MD5…: 6572d04247ccd088ab7ff45e5eabf89f
SHA1..: 3ef4506a8cf0d69e858ceef43ac22d19affe4249
Erkennungsrate: 15/36 (41.67%)

Laut F-Secure handelt es sich bei der Malware um Trojan-Dropper.MSOffice.Fordo.b.

Ob die genannten Mails nur in der Schweiz versendet werden oder auch in anderen Ländern, ist derzeit nicht bekannt.

Weitere Infos folgen.

UPDATE 17:51 Uhr

Ich konnte mir das Office Dokumment nun ein bisschen genauer anschauen. Die Datei nützt keine Sicherheitslücke aus sondern führt beim öffnen der Datei lediglich ein VBA Script aus. Das VBA Script erstellt die Ausführbare Datei whlp32.exe im USERPROFILES Ordner und deaktiviert die Makrosicherheit im Word und Excel:

Danach wird ein POST request an on1000000.cn (222.73.38.5) gesendet und weiterer Schadcode nachgeladen:

POST http://on1000000.cn/Get7IT.php

Dabei werden mehrere Dateien im system32 Verzeichnis erstellt, dessen Namen jedoch per Zufall generiert wird. z.B:

C:\WINDOWS\system32\orkjejtevv.exe
File: orkjejtevv.exe
Size: 45297
MD5: ????
Path: C:\WINDOWS\system32\orkjejtevv.exe

C:\WINDOWS\system32\bbgngtzx.dll
File: bbgngtzx.dll
Size: 2560
MD5: A704B4A16EDEB2B0A5DF2FC23636995A
Path: C:\WINDOWS\system32\bbgngtzx.dll

C:\WINDOWS\system32\ssqtkynjpecqm
File: ssqtkynjpecqm
Size: 47409
MD5: 8C9CDB129794FBC05349E1EF8390EED6
Path: C:\WINDOWS\system32\ssqtkynjpecqm

Nun wird eine weitere Domain kontaktiert und ebenfalls ein POST request gesendet (ferrychi445677.com: 200.63.45.34):

POST http://errychi445677.com/Get7ITU.php HTTP/1.0

Vorsicht also bei verdächtigen Word Dokumenten!

UPDATE 15.09.08

Das SANS Internet Storm Center hat ebenfalls ein Post zu Fordo geschrieben:

SANS ISC: Blast from the future?




economics-recluse
Scene
Urgent!