Tag Archive for 'UATelecom'

Some ZeuS statistics

A week ago, I’ve published the abuse.ch ZeuS Tracker. Now I decided to post some statistical data about the ZeuS hosts.

First of all, let’s take a look at the worst ISPs, which are currently hosting ZeuS Command&Control servers:


ZeuS host count AS number AS name
17 44997 BTG route block
14 16265 LEASEWEB AS
13 44097 Sistemnet Telekomunikasyon
11 9800 CHINA UNICOM

It’s quit interessting to see AS44997 (BTG12-AS BTG route block) at the top of the worst ISPs. For those of you which are reading my blog frequently: You now that ASN very-well from my previous posts. For all others: AS44997 was formerly known as UATelecom. The ISP is now known as Ural Industrial Company (Ural-NET) and is located in Russia. Different name but the same dirty business as before:

zeus_uralindustries

Source: ZeuS Tracker :: AS44997

A part of Ural Industrial Company subnet is also listed on Spamhaus’s Don’t Route Or Peer (DROP) list:

91.211.64.0/22 ; SBL70438
Source: www.spamhaus.org/drop/drop.lasso

Ref: SBL70438
91.211.64.0/22 is listed on the Spamhaus Block List (SBL)
15-Feb-2009 21:53 GMT | SR04
Cybercrime & spam hosting hub; Ural Industrial Company
Source: Spamhaus SBL70438

Another suspicious ISP is Leasweb, which is located in the Netherlands. When we look at Spamhaus SBL, we see more supicious activities in Leasweb’s Network:

Found 8 SBL listings for IPs under the responsibility of leaseweb.com
See www.spamhaus.org/sbl/listings.lasso?isp=leaseweb.com

The next ISP is Sistemnet Telekomunikasyon which is located in Turkey. I’ve already seen a lot of phishing sites, C&Cs and dropzones there. Shortly, It’s even worst than Ural-NET. Just take a look onto the SBLs concerning Sistemnet Telekomunikasyon:

Found 50 SBL listings for IPs under the responsibility of sistemnet.com.tr
See www.spamhaus.org/sbl/listings.lasso?isp=sistemnet.com.tr

Wow, there are currently 50 SBL listings concerning that ISP! So just another dirty ISP…

Now let’s take a look into the top ten ZeuS hosting countries:


# of ZeuS hosts country
47 Russian Federation
41 United States
23 China
19 Netherlands
12 Ukraine
11 Turkey

Just without a comment.

If you want to see the whole statistic you can take a look on it on the ZeuS Tracker statistic page (link).

Improvements made to the ZeuS Tracker

Last but not least I have made some improvements to the ZeuS Tracker:

Country RSS feed available
I’ve received some requests from various CERTs concerning a country RSS Feed for new ZeuS hosts. So I’ve decided to create one. You can find it on the country page (eg. https://zeustracker.abuse.ch/monitor.php?country=HK). On the country page, just click on “Subscribe this country via RSS feed” and you will get informed about new ZeuS hosts in the specified country.

Browse ZeuS binaries
There is now a Browse ZeuS binaries function on the monitor page. With this function you can browse all ZeuS binaries which are stored in the ZeuS Tracker database (link).

Browse ZeuS configs
Additionally there is also a Browse ZeuS configs function on the monitor page. With this function you can browse all ZeuS configs which are stored in the ZeuS Tracker database (link).

Have fun!

UATelecom: WSNPoem, Emold und Cutwail

Auch heute ist Emold (aka AutoRun) wieder unterwegs. E-Mail sowie der Name des Attachement sind die Selben wie bei der Spam-Welle vom 25. August 2008 (Siehe Post “Trojan.Crypt: Fees_2008-2009.zip“). Im Attachement befindet sich heute jedoch eine aktuellere Variante des Trojaners Emold:

Filename: Fees_2008-2009.doc.exe
File size: 32768 bytes
MD5…: 7d743c8c9e6a12421dd34f616c086a81
SHA1..: cd618143164c88ca3ff73d3acc18afcb43bc9980
Erkennungsrate: 11/36 (30.56%)

Der Trojaner hat scheinbar die URLs gewechselt, bei welchen er sich jeweils das aktuelle Config-File holt:

dsxc.ru (211.95.79.241)
furely.ru (91.203.93.31)
gradul.ru (91.203.93.31)
hedym.ru (91.203.93.31)
joksh.ru (91.203.93.31)
kexlup.ru (211.95.79.241)
listaz.ru (89.187.48.249)
mjkm.ru (89.187.48.249)
nmli.ru (89.187.48.249)
okla.ru (89.187.48.249)

Interessant sind wie immer die Bemerkungen von Spamhaus:

IP address: 89.187.48.249
Ref: SBL65525, SBL67259

89.187.32.0/19 is listed on the Spamhaus Block List (SBL)
03-Oct-2008 19:10 GMT | SR04
bendery.md: spammer/cybercrime hosting (escalation)

Totally spam/cybercrime dirty or selling off IP space to Russian/Ukrainian crime/spam gangs.

Russian/Ukrainian cybercrime? Da werden Erinnerungen an WSNPoem wach.
Durchaus interessanter ist jedoch die IP Adresse 91.203.93.31, sie gehört nämlich der UATelecom, welche uns durch das Hosting von WSNPoem Domains sehr wohl bekannt ist (Siehe Post “Hinter den Kulissen von wsnpoem”). Die IP Adresse liegt ebenso im selben Subnet wie die durch WSNPoem bekannten IPs. Auch der dazugehörige Spamhaus Eintrag SBL67259 ist uns bereits von WSNPoem bekannt (Siehe Post “wsnpoem: IPLOGS.zip”):

IP address: 91.203.93.31
Ref: SBL65512

91.203.92.0/22 is listed on the Spamhaus Block List (SBL)
09-Aug-2008 23:25 GMT | SR04

Virus writers, malware spreaders, C&C servers

Es stellt sich also erneut der Verdacht, dass die UATelecom ein rentables Geschäft mit Bulletproof hosting betreibt.

Richtig interessant wird es jedoch erst jetzt:

Das von der Malware aufgerufene Script (z.B. http://furely.ru/load2/ld.php) gibt dem infizierten Rechner an, wo er noch weiteren Schadcode nachladen soll.

www.ecotopo.com.au (202.191.62.103)
www.econocorp.com (207.217.125.50)

lspr.exe

Beim ersten Aufruf des Scripts ld.php gibt der Server folgende Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/lspr.exe http://www.econocorp.com/images/lspr.exe

Dieses File wird nun durch Emold heruntergeladen und ausgeführt. Bei dem File handelt es sich um den Trojaner PushDo (aka Wigon), welcher zusammen mit dem Spam-Mailer Cutwail (aka Pandex) im Handgepäckt kommt:

Filename: lspr.exe
File size: 23040 bytes
MD5…: 0d1906f9157962d5d2235e803e392720
SHA1..: d101d9e62b1fdfc272cdd8336684ae433833c2ee
Erkennungsrate: 8/36 (22.23%)

Der nachgeladene Trojaner erstellt dabei die Datei rs32net.exe im System32 Verzeichnis:

C:\WINDOWS\system32\rs32net.exe

Nun versucht Cutwail sich bei seinen Autoren zu melden. Dabei klappert er eine Liste von IP Adressen ab:

208.66.194.323
216.195.55.50
209.66.122.238
91.203.92.7
208.66.195.15
208.66.195.71

Interessant ist, dass Cutwail die IP Adresse 91.203.92.7 ansteuert. Und wo liegt diese IP Adresse? Genau: Im Subnet 91.203.92.0/22 der UATelecom!

kashi.exe

Nun ruft Emold ein zweitesmal das Script ld.php auf und bekommt prompt erneut eine Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/kashi.exe http://www.econocorp.com/images/kashi.exe

Auch dieses File enthält Malware:

Filename: kashi.exe
File size: 44032 bytes
MD5…: 15113ee714454f223a169fde831e4d15
SHA1..: 50b089816368a7ca4e52c3c2346125b9575e6fe2
Erkennungsrate: 16/36 (44.45%)

Bei dem File handelt es sich um Rogue Software. Nach der Installation veranlasst diese einen Neustart von Windows.

rep.exe

Jetzt ruft Emold ein drittes mal das Script ld.php auf und bekommt noch ein drittes File zugeschoben:

653|1 d http://www.ecotopo.com.au/images/rep.exe http://www.econocorp.com/images/rep.exe

Auch diese Datei enthält wiederum eine Malware:

Filename: rep.exe
File size: 86016 bytes
MD5…: a217cdb07aa1bc2dad954dd2bd30f52c
SHA1..: c1613eebea3105bb9cc22787e89c7f58b45ff916
Erkennungsrate: 20/36 (55.56%)

Die Malware erstellt dutzende DLL- und EXE-Dateien im WINDOWS sowie im system32 Verzeichnis:

C:\WINDOWS\system32\ahspqvkd.exe
C:\WINDOWS\system32\joproxy.sll
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\userconfig3x.dll
uvm.

ecotopo.com.au

Wer dachte, dass sei alles, irrt sich.
Beim Recherchieren bin ich nämlich auf eine interessante Entdeckung gestossen. Der Webserver, welche die Domain ecotopo.com.au hostet, ist so konfiguriert, dass er Directory Listing zulässt. Somit kommen interessante Dateien zum Vorschein:

Die Datei links.txt enthält zum Beispiel 120 gehackte Webserver, auf welchen sich nun sogenannte “redirections” befindet:

z.B.

META HTTP-EQUIV=”Refresh” CONTENT=”0; URL=http://sexopornik.com/”

Die Redirections sind unterschiedlich. Ein Paar versuchen sogar, dem Besucher mittels Iframes Malware unterzujubeln (Drive-By infection). Interessant ist jedoch folgende URL:

http://75.126.217.157/~thevoice/ivohc/

Die URL enthält einen Iframe, welcher zur Domain life-tablets.cn zeigt. Diese Domain ist uns bereits von früher bekannt. Sie verteilt nämlich (wie könnte es anders sein) den Trojaner WSNPoem per drive-by infektion (Siehe Post “wsnpoem per DriveBy-Infektion”).

Ein weiteres File Namens mailbase.txt führt 30’042 E-Mail Adressen auf, darunter auch eine E-Mail Adresse der Schweizerischen Post, der Postfinance, des CERN sowie der SBB.

Ebenfalls im root directory sind zwei webbasierte Spam-Mailer abgelegt:

Im der Datei proxy.txt befindet sich eine Liste von offenen Proxy Servern:

85.176.187.227:22277
75.176.186.191:47596
68.88.195.103:28512
208.77.179.192:63748
24.214.183.83:13226
96.3.124.97:31209
204.210.185.43:35114
71.128.249.121:13614
70.171.19.5:53137
uvm.

Interessant ist das Config File config.txt eines Spam-Mailers:

# Aaca E-MAIL aa?ania
MAILBASE=mailbase.txt

# Nienie aey FROM
FROM=from.txt

# Nienie aey REPLY-TO
REPLYTO=replyto.txt

# Nienie aey SUBJECT
SUBJECT=subject.txt

# Nienie ienai
LETTER=letter.txt

# Nienie aooa?iaioia
ATTACH=attach3446676856.txt

# Nienie SOCKS i?iene
PROXY=proxy789456787895656.txt
[...]

Schaut man sich die involvierten Dateien an, kommt man schnell zum Schluss, dass der Spam-Mailer gebraucht wird/wurde um Spam-Mails zu versenden, welche die Marke “European Phamracy” bzw. “Canadian Pharmacy” umwerben (Siehe “Spamtrackers.eu: European Pharmacy”).

Im Ordner halifax_LogIn befindet sich ausserdem noch eine Phishing Seite für die Englische Bank Halifax.

Fazit

Wieder einmal mehr wird die Schlucht zwischen Emold und WSNPoem kleiner.
Des Weiteren zeigt es sich erneut, dass die UATelecom in eine Vielzahl illegaler Aktivitäten im Internet (cybercrime) verwickelt ist. Nicht nur WSNPoem scheint einige Server in dem Subnet zu kontaktieren sondern auch Emold und Cutwail. Aus diesem Grund sollten Unternehmen es in Betracht ziehen, sämtliche Kommunikation von und in den IP Range der UATelecom (AS44997: 91.203.92.0/22) an ihren Gateways zu unterbinden – sprich zu blockieren.

Weiterführende Links
abuse.ch: “Propaganda einmal anders”
abuse.ch: “wsnpoem per DriveBy-Infektion”
abuse.ch: “wsnpoem: IPLOGS.zip”
abuse.ch: “Hinter den Kulissen von wsnpoem”
abuse.ch: “Trojan.Crypt: Fees_2008-2009.zip”




economics-recluse
Scene
Urgent!