Tag Archive for 'Schweiz'

“Nachricht über eine radioaktive Kontamination in der Schweiz” zum zweiten

Schon über drei Monate ist es her, als ich ein Post über einen Virus gemacht habe, welcher sich unter dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” verbreitet hat.

Scheinbar war die Erfolgsquote so hoch, dass die Virenautoren heute kurz nach dem Mittag einen zweiten Anlauf gestartet haben:

From: “Gordon Dove”
To: robert@rbl.abuse.ch
Subject: Nachrichtüber eine radioaktive Kontaminwation in der Schweiz

Auf Internetforums erschienen Nachrichten über eine gewaltige Explosion auf dem Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 12. März etwa um 15 Uhr stattgefunden hatte.

Im Einzelnen machte eine Bürgerin dieser Stadt einen telefonischen Anruf und teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde, damit man keinen Menschen anrufen könnte.

Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe,
und dabei eine sehr mächtige, und dass eine Strahlungswolke erstrecke sich jetzt.

In privaten Gesprächen wird diese Information von Amtstägern inoffiziell bestätigt.

Ausserdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosions folgen und Körper der Beschädigten dargestellt sind.

LiveJournal Blog: http://www.financial-expret.cn/aes/

Der Mail-Text hat sich bis auf das Datum wo der Vorfall passiert sein soll nicht geändert. Der Text möchte den User auf ein “LiveJournal Blog” unter der URL www.financial-expret.cn/aes verweisen. Die Webseite ist die selbe wie vor drei Monaten, jedoch wird Sie auf einem anderen Server (202.44.53.30 – World Internetwork Co. Ltd Thailand.) unter einer anderen URL betrieben.
Besucht man die Webseite, wird der User aufgefordert ein Plug-In zu installieren um die Fotos der Ortsbewohner auf der Webseite anschauen zu können:

ps_radioaktivitaet_genf_13-mar1.jpg

Die Datei “iPIX-install.exe” enthält einen derzeit noch unbekannten Virus und wird nur durch 8 von 31 Antiviren-Produkte heuristisch erkannt (z.B. suspicious:W32/Malware!Gemini – F-Secure).

Filename: iPIX-install.exe
URL: http://www.financial-expret.cn/aes/iPIX-install.exe
File size: 53803 bytes
MD5: ed709375fd36dca13cfc078d6fa845c3
SHA1: 84c2f3bd9ae17b8a646dad5bf6745e4ccb0a79ef

Im Unterschied zum letzten mal, verwendet die Domain financial-expret.cn keine Fast-Flux Technik.

Es wird empfohlen, folgende Domain / IP-Adresse zu blockieren:

202.44.53.30
static-53-30.worldinternetworkcorporation.com
financial-expret.cn

UPDATE 16:55 GMT +1

Nach dem ausführen der EXE-Datei stellt die Malware eine Verbindung zur Domain freelifenet.cn (203.211.131.242 – AXGN-SG, Singapur) über Port 80 (HTTP) her und holt sich dort eine Konfigurations-Datei mit dem Namen “file.bin” und lädt weitere Schadens-Software nach:

http://freelifenet.cn/trash/ch/file.bin (Konfig)
http://freelifenet.cn/trash/ch/file.exe (Malware)

Es gilt also auch den Zugriff zu dieser Domain resp. IP-Adresse zu blockieren:

freelifenet.cn
203.211.131.242

UPDATE 19:57 GMT +1

Der Server (202.44.53.30) auf welchem die Webseite financial-expret.cn gehosted wird, scheint bereits eine bekannte Quelle von “Kriminellen Energien” zu sein:

Die IP-Adresse ist bereits seit dem 1. März 2008 in der Spamhaus Blocklist (SBL) mit folgendem Kommentar geblacklisted:

Money-mule recruitment site, looking for human “mules” to help criminals launder their spam, phishing and carding monies.
All hosting on these addresses appears to be controlled by Russian cybercriminals.

Auf deutsch: Die IP-Adresse wird scheinbar durch Russische Kriminelle kontrolliert und für Spam, Phishing und das rekrutieren von Money Mule verwendet. Das ist jedoch noch lange nicht alles; Die für die Domain financial-expret.cn und freelifenet.cn eingetragenen Nameserver werden auf dem selben Server gehosted wie die Webseite financial-expret.cn selber:

;; QUESTION SECTION:
;financial-expret.cn. IN A

;; ANSWER SECTION:
financial-expret.cn. 14400 IN A 202.44.53.30

;; AUTHORITY SECTION:
financial-expret.cn. 12151 IN NS ns1.domaindns.biz.
financial-expret.cn. 12151 IN NS ns2.domaindns.biz.

;; ADDITIONAL SECTION:
ns1.domaindns.biz. 9822 IN A 202.44.53.30
ns2.domaindns.biz. 9822 IN A 202.44.53.30

Im Klartext fungiert der Server also als Webserver und Nameserver zugleich. Laut uribl.com dient der Nameserver derzeit für drei weitere Domains welche Replica Mobile Phones umwerben und ebenfalls auf dem selben Server gehosted werden.
Versucht man per SSL auf die Domain financial-expret.cn zuzugreifen (https://financial-expret.cn) erscheint folgende Meldung:

Welcome to formregistration2008.cn
To change this page, upload a new index.html to your private_html folder

Aha! Noch eine weitere verdächtige Domain!

Fazit

Laut Spamhaus steckten Russische Kriminelle dahinter, welche als Allrounder tätig sind:
– Verbreitung von Malware
– Rekrutierung von Leuten für Ihre Pihshing attacken (Money Mule)
– Versenden von Spam-Mails

Die Kriminellen Energien laufen (fast) alle auf dem ein und dem selben Server zusammen:

formregistration2008.cn (Money Mule) -> 202.44.53.30
financial-expret.cn (Malware Domain) -> 202.44.53.30
freelifenet.cn (Malware Domain) -> 203.211.131.242
vertucopies.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
rightcopyphones.com (Spam [Replica Mobile Phone]) -> 202.44.53.30
litho2you.info (Spam [Replica Mobile Phone]) -> 202.44.53.30

Nameserver für diese domains:
ns1.domaindns.biz-> 202.44.53.30
ns2.domaindns.biz-> 202.44.53.30

UPDATE 14.03.2008

Die Welle derartiger Mails hält an, wobei scheinbar nun eine zweite URL für die Verbreitung des Virus verwendet wird:

www.mybesthomepage.cn/aes/iPIX-install.exe

Die Domain hat die selben Nameserver wie financial-expret.cn (ns1.domaindns.biz & ns2.domaindns.biz) und wird ebenfalls auf dem Server hinter der IP-Adresse 202.44.53.30 betrieben.

UPDATE 17.03.2008

Die Melde- und Analysestelle Informationssicherung (MELANI) hat heute (endlich) eine entsprechende Warnung herausgegeben:

Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer




economics-recluse
Scene
Urgent!