Tag Archive for 'trojaner'

Page 2 of 2

EULA & Anleitung von wsnpoem

Im Internet kursiert seit ende April die EULA (end-user license agreement) sowie die Anleitung von wsnpoem. Die Software hinter wsnpoem nennt sich “ZeuS”. Die EULA wurde samt Anleitung in russisch von Symantec (link) gesichtet:

Leider ist das Help-File, welches die Anleitung sowie die EULA beinhalten, in russisch nicht für jedermann verständlich. Dank der Unterstützung eines Sprachkundigen ist es mir jedoch mit seiner Erlaubnis möglich, euch sinngemässe deutsche Auszüge aus dem Text vorzustellen. Das Help-File lässt vermuten, dass die Software von Dritt-Personen programmiert worden ist und zur Verwendung weiterverkauft oder vermietet wird.

Die Software wird von dessen Autoren wie folgt beschrieben:

[...] ZeuS – im Folgenden ‘Bot’ genannt – ist eine Spyware für 32bit MS Windows 2000/XP. Sie dient zur Kontrolle von Rechnern von Opfern und zum Kopieren von auf diesen Rechnern liegenden Informationen mittels Logfiles.

ZeuS besteht aus drei Teilen:

    1. Ein auf dem/den Server/n installiertes Controlpanel
    2. Ein Builder, d.h. eine Windows Applikation zwecks Bot-Konfiguration
    3. Und dem eigentlichen Bot, d.h. der auf dem Rechner des Opfers ausgeführte Windows-Anwendung.

Der Bot
Interessant sind die Funktionen des Bots, welche jedoch grösstenteils bereits bekannt sind:

[...]

    1. Programmiert in VC++ 8.0, und zwar nur unter Benutzung der WinAPI, insbesondere ohne RTTI und der gleichen. Dadurch wird ein kompaktes Programm erreicht (ca. 10-25KB, je nach Zusammenstellung).
    2. Es wird kein eigener Prozess gestartet. Dadurch kann der Bot in der Prozessliste nicht gefunden werden.
    3. Die Mehrzahl der Firewalls wird umgangen, einschliesslich der populären Outpost Firewall in den Versionen 3 und 4; Es besteht aber momentan ein kleines Problem betreffend Anti-Spyware-Programmen. Die ungehinderte Entgegennahme eingehender Verbindungen ist ausserdem nicht garantiert.
    4. Der Bot installiert sich beim Opfer unter Benutzung von Zeitstempeln anderer Systemdateien und mit zufälliger Dateigrösse; dadurch ist er schwer aufzuspüren.
    5. Der Bot funktioniert auch mit eingeschränkten Windows-Benutzerrechten; der Einsatz unter Gast-Benutzerkonten wird derzeit jedoch nicht unterstützt.
    6. Der eigentliche Programmcode des Bot ist chiffriert und damit für Antiviren-Algorithmen unsichtbar.
    7. Auf Wunsch werden jegliche Spuren der Anwesenheit des Bots unterdrückt; insbesondere auf das Auslagern von Firewalls und Antivirensoftware, auf die Unterdrückung deren Updates, auf das Blockieren von Ctrl-Alt-Del, und auf andere bei Spyware-Autoren beliebte Erkennungsmuster wird verzichtet.
    8. Blockierung der Windows-eigenen Firewall; diese Funktion ist nur zur problemlosen Entgegennahme eingehender Verbindungen erforderlich.
    9. Der Bot speichert/empfängt und sendet alle seine Einstellungen, Logs und Anweisungen in verschlüsselter Form und unter Nutzung des HTTP/HTTPS Protokolls; das bedeutet, dass nur Sie die Daten als Klartext sehen können; die Bot <-> Server Kommunikation wird ansonsten wie Müll aussehen.
    10. NAT-Detektion durch Prüfung der eigenen IP mit Hilfe einer von Ihnen definierten Webseite.
    11. Eine dedizierte Konfigurationsdatei schützt vor dem Verlust des Botnetzes, falls der Hauptserver ausfallen sollte. Darüber hinaus können zusätzliche Konfigurationsdateien als Reserve angegeben werden, auf die der Bot zugreift, falls die Hauptdatei ausfällt. Dieses Verfahren garantiert in 90% aller Fälle das Überleben Ihres Botnets.

[...]

Insgesamt sind hier 24 Punkte aufgeführt. Nicht erwähnt habe ich bereits bekannte Funktionen wie z.B. das Mitschneiden von HTTP POST und GET Anfrage, socks4 + HTTP Proxy Funktion, Abfangen von POP3 und FTP Logins/Passwörter sowie das Ändern des lokalen DNS.

Auch die von vielen Banken so hoch gelobte “Virtuelle Tastatur” kann von dem Trojaner mit geschnitten werden:

[...]

    12.8. IDEALE LÖSUNG FÜR VIRTUELLE TASTATUREN: Nachdem Selektion der konfigurierten URL wird ein Screenshot desjenigen Bereich des Bildschirms vorgenommen, innerhalb dessen die linke Maustaste gedrückt wurde.

[...]

Punkt 19. gefällt mir besonders:

[...]
    19. Seit dem Booten des Rechners besuchte Seiten werden aufgezeichnet. Dies ist bei vorhandener Sploit Installation nützlich: wenn Sie den Download über einen zweifelhaften Service erwerben, so erfahren Sie so, was parallel sonst noch geladen wird.

[...]

Komisch, denn mit Sploits wird NUR auf zweifelhaften Webseiten gehandelt. Die Autoren von ZeuS trauen also den Leuten aus dem selben Business nicht.

Das Steuerungspanel

Dieser Absatz umfasst insgesamt 11 Punkte. Es wird mit einer “Einfachen Installation” geworben. Des Weiteren werden hier die Voraussetzungen wie “PHP und MySQL” beschrieben:

[...]

    4. Statistik über die erfolgten Infizierungen.
    5. Statistik über die momentan Online geschalteten Bots.
    6. Aufteilung des Botnets in Sub-Botnets.
    7. Übersicht über die Online geschalteten Bots, auch mit Filtermöglichkeit
    8. Speichern von Logs in einer Datenbank. Dies hat folgende Vorteile:
    [...]
    10. Kommandos können an die Bots abgesetzt werden, auch mit Filtermöglichkeit.

[...]

EULA / Vereinbarung

Amüsant ist der Abschnitt “Vereinbarung” (EULA):

[...]
Der Verkäufer:

    1. Bietet qualifizierten technischer Support via Internet.
    2. Haftet nicht für:
    Datenverlust
    Schliessung oder Abschaltung von Servern
    Datenkommunikations-Kosten
    3. Verpflichtet sich, in ZeuS gefundene Bugs zu beheben und kurzfristig Gratis-Patches zur Verfügung zu stellen.
    4. Verpflichtet sich, Vorschläge/Meinungen und Rückmeldungen über ZeuS entgegenzunehmen und in angemessener Weise darauf einzugehen.

Der Kunde:

    1. Ist nicht berechtigt, ZeuS für kommerzielle oder nicht-kommerzielleZwecke zu verbreiten, die den Interessen des Verkäufers zuwiderlaufen.
    2. Ist nicht berechtigt, den Binärcode des Bots oder des Builders zu disassemblieren und/oder zu analysieren.
    3. Ist nicht berechtigt, das Controlpanel zur Verwaltung anderer Botnets oder zu anderen Zwecken zu verwenden, die nicht mit ZeuS in Zusammenhang stehen.
    4. Ist nicht berechtigt, absichtlich Teile von ZeuS an Antiviren-Software-Anbieter oder andere, ähnliche Einrichtungen zu senden.
    5. Verpflichtet sich, den Verkäufer für Updates von ZeuS zu bezahlen, die nicht im Rahmen von Bug-Behebungen erfolgen. Dasselbe gilt ebenso für Ergänzung um zusätzliche Funktionalitäten.

Wird gegen diese Vereinbarung verstossen und dieser Verstoss entdeckt, so verlieren Sie jegliche technischen Unterstützung. Darüber hinaus wird der Bot in Ihrer Zusammenstellung unverzüglich
Antiviren-Software-Anbietern zugeschickt. [...]

Die restlichen Seiten beinhalten eine Versions-History (derzeit 1.0.2.0) und eine Anleitung für die Anpassung und Installation des Bots sowie dessen Befehle. Auch der Aufbau des Konfigurationsfiles, der TAN-Grabber und das Umlenken der Banken-URLs wird ausführlich beschrieben.

Fazit

Der Server, welcher das Konfigurationsfile hortet, sowie die Software “ZeuS” wird inkl. Know-How gemietet oder eingekauft. Die Kriminellen, welche an die Bank-Daten der Opfer gelangen möchten, besitzen somit höchstwahrscheinlich ein nicht so grosses Know-How im Bereich der Informatik als bisher angenommen. Das Tool macht es möglich, aus einem Leihen einen “professionellen” Internet Kriminellen zu machen.

wsnpoem: “Der Vertrag”

Neues von wsnpoem! Habe heute folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Clyde Gillespie”
To: *honeypot*
Sent: Fri, 11 Apr 2008 12:11:32 +0200
Subject: Der Vertrag

Guten Tag!

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von
Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfallt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Im Anhang ist eine Datei Namens debt.2007.10.29.6467730.pdf angefügt. In der Datei befindet sich wsnpoem, welcher derzeit erst von einigen Antivirenherstellern heuristisch erkennt wird:

Filename: debt.2007.10.29.6467730.pdf
File size: 54453 bytes
MD5…: 0bd048c0db7e3f781e5f88284f5c0baa
SHA1..: 2db9d6d446c4cdc03dcfa6da7e84f141ff6562b4
Erkennungs-Rate: 7/32 (21.88%)

Benennt man die Endung von .pdf auf .rar um und öffnet das File mit z.B. WinRAR, findet man die eigentliche Malware in der Datei vertrag.exe vor:

Filename: vertrag.exe
File size: 64122 bytes
MD5…: 88c6f4706e5d4a5467cfff38a2624b7b
SHA1..: 2b6b0e81f3fba9ac4f5c207e59c526e8f4fe9337
PEiD..: DCrypt Private 0.9b -> drmist
Erkennungs-Rate: 7/32 (21.88%)

Wieso die Datei als PDF abgespeichert ist und nicht als RAR, ist mir noch schleierhaft. Ich werde Euch auf dem Laufenden halten.

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 13:17 Uhr

Ich habe meine Honigtöpfe soeben etwas genauer durchforstet und das exakt gleiche Mail gefunden mit der Datei vertrag.rar als Anhang anstelle von debt.2007.10.29.6467730.pdf. So wie es aussieht, werden die Mails also mit PDF und RAR Anhang verschickt. Der Grund dafür ist mir leider noch unklar, da es beim Ausführen des PDF Files zu keiner Infektion kommt.

UPDATE 16:29 Uhr

Auch MELANI hat reagiert und ihre Warnung vom 4.4.2008 aktualisiert:

3. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 22.05.2008

Seit heute Morgen scheint das selbe Mail wieder die Runde zu machen, jedoch mit einer neuen Variante des Trojaners und diesmal auch mit dem Betreff “Mietvertrag” oder “Darlehensvertrag”. Das File ist diesmal ein ZIP Archiv, welches die ausführbaren Datei “Vertrag.exe” beinhaltet:

Filename: Vertrag.zip
File size: 66894 bytes
MD5…: ebd7bc66ef4de14819d0334e2ac56fae
SHA1..: 28dd38f68dae474a1cb8809c94734ae94b4ac4dc
Filename Vertrag.exe
File size: 70774 bytes
MD5…: 72b8e2cd965f54fe924cba585e64d216
SHA1..: ab79ad34f85a87634eb73975d19c7d20d602bd68

Die Erkennungsrate der Antivirenprodukte liegt derzeit bei 13/32 (40.62%).

Es wird empfohlen, Mails mit dem Betreff “Der Vertrag” sowie dem Attachment “Vertrag.zip” nicht zu öffnen sondern umgehend zu löschen.

UPDATE 14:50 Uhr 22.05.2008

Auch MELANI hat auf die erneute Erscheinung solcher E-Mails reagiert:

4. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

Nach der Infizierung durch wsnpoem nimmt der Trojaner Kontakt zu den folgenden Webserver auf und holt sich die aktuellsten Konfigurations-Dateien:

http://valarsrent.ru

http://newvalarsrent.ru

UPDATE 24.05.0008

Die Welle solcher Mails scheint nicht aufzuhören. Gestern Abend habe ich nochmal ein solches “Vertrags”-Mail bekommen, diesmal jedoch mit einem anderen Betreff (“Bestellugsvertrag”) sowie einem anderen Attachement:

Filename: Vereinbarung.rar
File size: 66649 bytes
MD5…: 61a4c061c4f94e054dfb6babe4aeabcb
SHA1..: 23a8a7f7ee77620f37b6625c09058815475b16a5
Erkennungsrate: 18/32 (56.25%)
Filename: Vertrag.exe
File size: 64675 bytes
MD5…: 10add4d02743f4b65d794acc8b0db390
SHA1..: 74b6c9ed6053303eca0fb748a142881e3012feb8
Erkennungsrate: 18/32 (56.25%)



economics-recluse
Scene
Urgent!