Tag Archive for 'sdra64.exe'

WSNPoem: client_update.zip

Seit heute Nacht verbreitet sich der Bankentrojaner ZeuS (aka WSNPoem / Zbot) über eine neue Spam-Welle. Die Spam-Welle scheint diesmal wieder ziemlich Massiv zu sein. Das Mail mit ZeuS im Handgepäck möchte den Benutzer dazu verleiten, den angeblichen Mail Client im Anhang zu installieren:

Subject: Microsoft Outlook Setup Notification

You have (8) message from Outlook Express.

Please re-configure your Outlook Express again.

Download attached setup file and install.

Absender Email Adresse sowie der Betreff variieren:

  • Outlook Express Setup Notification
  • Microsoft Outlook Setup Notification
  • TheBat Setup Notification
  • Je nach Betreff der Spam-Email variiert auch der Text des Spam-Emails:

    You have (4) message from TheBat.

    Please re-configure your TheBat again.

    Download attached setup file and install.

    You have (8) message from Outlook Express.

    Please re-configure your Outlook Express again.

    Download attached setup file and install.

    You have (9) message from Outlook Express.

    Please re-configure your Microsoft Outlook again.

    Download attached setup file and install.

    Im Attachment client_update.zip befindet sich der Trojaner ZeuS (client_update.exe):

    Filename: client_update.exe
    File size: 38144 bytes
    MD5…: c81ba436d85bba944adb74b86c90fae8
    SHA1..: 383575cc1571c3ab2fc0f246969284a9e05a6738
    Erkennungsrate: 26/40 (65.00%)

    Fürt der Empfänger des Spam-Mails das Attachment aus, nistet sich der Trojaner im System32 Verzeichnis des Rechners ein:

    C:\WINDOWS\system32\sdra64.exe
    C:\WINDOWS\system32\lowsec
    C:\WINDOWS\system32\lowsec\user.ds
    C:\WINDOWS\system32\lowsec\local.ds

    Danach meldet sich der Trojaner regelmässig bei einem Command&Control Server in der Ukraine (djellow.com [91.206.201.6]) und sendet gestohlene Daten wie z.B. Login Informationen zu Online Banking Accounts an eine Dropzone:

    GET http://djellow.com/djwlc/djwl.bin <- ZeuS configuration file
    GET http://djellow.com/djwlc/bin.exe <- Latest ZeuS binary
    GET http://dvstep.ru/bin.exe <- Latest ZeuS binary
    POST http://djellow.com/djwl/rec.php <- Dropzone

    Siehe abuse.ch ZeuS Tracker (dvstep.ru / djellow.com).

    Für diejenigen User, für welche die Meldung zu spät kommt, empfiehlt sich meine Anleitung zur entfernung von ZeuS / WSNPoem:

  • Entfernen von WSNPoem
  • Was definitiv nicht schadet, ist das blockieren der oben genannten Domains an den zentralen Unternehmens-Gateways bzw Proxy Servern:

  • djellow.com (91.206.201.6 – ANSUA-AS UA)
  • dvstep.ru (174.36.221.128 – SOFTLAYER USA)



  • economics-recluse
    Scene
    Urgent!