Tag Archive for 'userinit.exe'

userinit.exe – Ein Ãœberblick

Die letzte wsnpoem Spam-Welle vom 14.07.08 traf vor allem Deutsche User. Vereinzelt landeten die Spam-Mails jedoch auch Österreichischen sowie Schweizerischen Postfächern. Gestern wurde ich auf einen Blog Eintrag von PandaLabs mit dem Titel “Fake UPS invoice Email” aufmerksam. Scheinbar sind die selben Spam-Mails auch in Englisch versandt worden:

Deutsch:

Betreff: UPS Paket Nxxxxx
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus, und holen Sie ihr Paket bei uns ab.

Mit freundlichen Grussen,
Ihre UPS

Englisch:

Subject: UPS Paket Nxxxxx
Unfortunately we were not able to deliver postal package you sent on July the 1st in time because the receipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

Des Weiteren trägt das Attachement in der englischen Version einen anderen Namen:

E-Mail Attachement Deutsch: UPS_Lieferschein_8102.zip
E-Mail Attachement Englisch: UPS_Invoice_317.zip

Nun, was geschieht nach einer Infektion durch die Malware? Die Malware benennt die Systemdatei userinit.exe in userini.exe um und installiert sich an dessen Stelle. Bei der Malware handelt es sich Anfangs um einen Downloader. Das heisst, er greift regelmässig auf ein URL zu und holt sich dort neuen Schadcode:

http://fixaserver.ru/ldr/gate.php?hash=xxxxxx (91.203.92.27)

Der Hash-Code ist dabei die Serien-Nummer der primären HardDisk und somit eindeutig. Der Server meldet jeweils ein HTTP 202 OK zurück. Ab und zu sendet er jedoch eine HTTP 302 Found mit einer HTTP Location zurück (bis jetzt konnte ich leider keine Regelmässigkeit feststellen). Bis jetzt sind drei verschiedene HTTP Locations bekannt:

Location: http://aetopoulos.de/loader.exe (Massenmailer)
Location: http://aetopoulos.de/bot.exe (WSNPoem)
Location: http://aetopoulos.de/ldr.exe (Antivirus XP 2008)

Wird eine solche HTTP Location empfangen, speichert der Downloader im folgendem temporären Verzeichnis ab:

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp

Die Files, welche von dem Downloader heruntergeladen werden, sind jeweils mit iexxx.tmp oder inxxx.tmp benannt, wobei xxx für beliebige Zahlen und Buchstaben steht:

Bei den leeren Dateien (0KB) handelt es sich um die Anfragen vom Downloader, welche mit HTTP 200 OK beantwortet wurden. Ist ein File grösser als 0KB, wurde mit HTTP 302 Found geantwortet (=Es wurde Schadcode heruntergeladen). Sind solche Dateien in dem Ordner vorhanden, kann man sicher sein, dass der Rechner infiziert ist.

loader.exe

Bei der Datei loader.exe handelt es sich um einen Massenmailer Namens PushDo. Dieser versendet aktuell gerade WorldCasino Spam. Nach der Installation löscht er sich selbst und installiert sich als Treiber unter C:\WINDOWS\system32\drivers. Danach nimmt er Kontakt mit der IP-Adresse 208.66.195.15 auf und holt sich sein Config-File:

http://208.66.195.15

Eine weitere kontaktierte URL ist sys282.3fn.net (216.195.61.96). Von dort holt er sich eine Art XML File. In diesem File ist beschrieben, auf welcher URL er neue Live Mail Accounts anlegen kann sowie wo er sich mit diesen einloggen muss. Danach versucht er neue Accounts bei Windows Live (ehemals Hotmail) zu erstellen und sich dann anzumelden:

GET http://login.live.com/login.srf

Ist das Erstellen & das Einloggen in den Windows Live Mail Account erfolgreich, beginnt er über diesen Account Spam Mails zu versenden:

GET http://mail.live.com/mail/EditMessageLight.apsx
POST http://mail.live.com/mail/SendMessageLight.aspx

From: markfinney426@hotmail.com
To: dad*censored*@aol.com
Bcc: tyoty*censored*@aol.com
Subject: US $ 89.95 50mg x 30 pills buy now

US $ 69.95 viagra (sildenafil) 100mg x 10 pils price

http://chicagobestdoctor.info

Bei der umworbenen URL handelt es sich um Spam der Marke Pharmacy Express.

bot.exe

Erst bei bot.exe handelt es sich um den uns bekannten WSNPoem Trojaner (Zbot). Dieser kann mit dem McAfee Rootkit Detective entfernt werden. WSNPoem meldet sich wie gewohnt bei fixbserver.ru (91.203.92.27) und holt sich das aktuelle Config File:

http://fixbeserver.ru/bconfig/bredir22.php

http://fixbserver.ru/bconfig/bconfigAhsAAs.bin

ldr.exe

Die Datei ldr.exe enthält so genannte “Rouge Software” (in diesem Fall auch Rouge Antivirus genannt). Solche Programme sind keine Malware oder ähnliches sondern angebliche Antivirensoftware. Die Software tritt unter folgenden Namen auf:

WinIFixer
Antivirus 2008 XP
Antivirus 2008
MalwareProtector 2008
Malware Patrol Pro
Malware Alarm Pro
IE AntiVirus
SpywareIsolator
XPSecurity Center
u.v.m

Nach der Installation des angeblichen AntiVirus meldet er sich bei mehreren Domains:

stat.antivirxp08.com (85.255.120.140)
antivirxp08.com (85.255.120.140)
www.antivirxp08.com (85.255.120.140)
www.winifixer.com/log2.php (85.255.120.139)

Dem infiziertem User wird nun vorgegaukelt, er sei mit Viren und Trojanern infiziert wobei er jedoch nichts von dem installierten Massenmailer PushDo oder von dem Trojaner wsnpoem erwähnt. Der Virenschutz erzählt dem User, dass er die Malware zwar entfernen könne, aber der User zuerst die Vollversion der Software kaufen muss (Preis: 106.90 CHF).

Fazit

Dank der Methode mit dem “HTTP Locations” ist es nicht möglich voraus zu sagen, welche Schadsoftware der Downloader sonst noch so vom Internet holen wird. Ich empfehle jedem, welcher sich mit dem Trojaner infiziert hat, den Gang zu einem Fachmann oder das komplette System neu aufzusetzen.




economics-recluse
Scene
Urgent!