Tag Archive for 'Switzerland-Polina'

wsnpoem: “Switzherland-Polina”

Neues von wsnpoem; Nach der Spam-Welle mit dem Thema “Bankenkrise” (Siehe post vom 27.03.2008 “Eine Bankenkrise der Schweizer Banken ist unvermeindlich”), schlägt wsnpoem erneut zu. Dieses Mal jedoch mit einem weniger brisanten Thema:

From: ruffiansma08@healthwi.com
To: dau@rbl.abuse.ch
Subject: Switzherland-Polina

Hallo, Mich rufen Polina. Ich bin Studentin und bin in die Swiss zum Studium gekommen.
Jetzt bin ich auf der Suche nach einem Freund und Sexpartner. Alles was ich brauche, ist ein guter Mann. Sie sollen ernst, solide, gescheit sein.

Machen sie kenntlich, wenn Sie sich mit mir treffen wollen

Sie konnen also einfach mein Freund sein. Sie konnen sich meine Fotos auf meiner Startseite http://www.livejournalfuac.cn/pol_ch/
NUR ERNSTLICHE ANTRÄGE BITTE!

MIT KÃœSSEN, ALICE

Wie immer ist das Mail in schlechtem Deutsch verfasst und es fehlen die Umlaute (öäü). In dem Mail greifen die Autoren der Malware auf die gleiche Masche zurück wie bis an hin: Ein Link zu einer Webseite (in diesem Fall livejournalfuac.cn) welche dem Besucher weiss machen möchte, dass ein Plug-In benötigt wird um die Fotos oder Videos anschauen zu können:

wsnpoem.jpg

In Wahrheit verbirgt sich jedoch wsnpoem in der Datei. Wenn die Datei zum ersten mal herunter geladen wird, wird dem User folgendes File aufgetischt:

Filename: iPIX-install.exe
File size: 69140 bytes
MD5: 0c208229c50beacc234b8f509ccd79c0
SHA1: 1b63752db51a2e9b5f05283b4b6115e53688d08e
Source: www.livejournalfuac.cn/download/iPIX-install.exe

Veruscht man das exe file ein weiteres mal herutnerzuladen, bekommt man nur noch eine defekte Version des Trojaner aufgetischt:

Filename: iPIX-install.exe
File size: 69140 bytes
MD5: 7618bb4b84831d5cbaef8a2fa517f68c
SHA1: c75b1fa0543dc6d4802442f7e2d8f9fbf5aa56ea
Source: www.livejournalfuac.cn/download/iPIX-install.exe

Beim ersten download der Datei erfolgt eine infektion, bei jedem weiteren download des files wird nur noch die defekte version der Malware ausgeliefert bei welcher keine infektion erfolgt.

Die Webseite (livejournalfuac.cn ) wird wie immer auf der IP-Adresse 58.22.101.116 gehosted (CNCGroup FuJian province network in China).
Wie auch bei der Spam-Welle “Bankenkrise”, wurde dieses Mail scheinbar auch an Lettische User versendet. Relativ neu ist jedoch eine Version für die Niederlande und Finnland:

www.livejournalfuac.cn/pol_ch/ (Schweiz)
www.livejournalfuac.cn/pol_lv/ (Lettland)
www.livejournalfuac.cn/pol_nl/ (Niederlande)
www.livejournalfuac.cn/pol_fi/ (Finnland)

Alle drei URL zeigen im Gegensatz zum letzte mal auf das selbe Binary: www.livejournalfuac.cn/download/iPIX-install.exe

Gleiche Masche, gleiche Empfehlung:

  • Die Domain livejournalfuac.cn meiden
  • Auf keinen Fall das exe-file ausführen
  • UPDATE 4.3.08 12:27 Uhr

    MELANI hat heute Morgen eine entsprechende Warnung herausgegeben:

    “2. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren”




    economics-recluse
    Scene
    Urgent!