Tag Archive for 'VideoPlayer_10.exe'

Erneut gefälschte 20min E-Mails im Umlauf

Seit wenigen Minuten versenden die Kriminellen erneut Spam-Mails in der Schweiz, welche vorgeben, von der Gratiszeitung 20 Minuten zu stammen. Der E-Mail Text ist dabei der selbe wie gestern:

Von: “Swiss Kontakt” support@20min.ch
Betreff: ZURICH ALARM:Die Gesamtzahl der Neueinsteigerinnen ist mit 605 tiefer als 2007 (645)

ZÃœRICH

50 Prozent mehr Ost-Prostituierte
Die Zahl der Prostituierten aus Osteuropa wächst rasant: Von dort stammt fast die Hälfte der Frauen, die 2008 von der Stapo Zürich neu registriert worden sind.

Bis ins Einzelne>>

Mit den herzlichen Grüßen, Carlos Hanley.

Auch dieses mal ist hinter dem Text “Bis ins Einzelne>>” ein Link zu einer Webseite hinterlegt, welche versucht dem Besucher den Trojaner Gozi (aka Infostealer) unter zu jubeln. Dabei handelt es sich im Vergleich zu gestern um 5 neue Domains:

  • chminuten.com
  • prostflashplayer.com
  • 2omitunen.com
  • adobereunionplayers.com
  • intalldetrosflash.com
  • lastversionadplayer.com
  • E-Mail Betreff, Absender E-Mail Adresse, E-Mail Text sowie das auf der Webseite angebotene Exe sind die selben wie gestern.

    Auch dieses mal gilt: Führen Sie auf keinen Fall das auf den Webseiten angebotene EXE-File VideoPlayer_10.exe aus. Für Unternehmen empfiehlt es sich auch dieses mal wieder, die oben genannten Domains an ihren Gateways zu blockieren.

    Weitere Infos finden sich im Artikel von gestern: Gefälschte E-Mails mit 20minuten als Absender im Umlauf

    Gefälschte E-Mails mit 20minuten als Absender im Umlauf

    Seit heute Mittag verbreitet sich ein Trojaner via Spam-Mail, welcher vorgibt von der Gratiszeitung 20min zu stammen:

    Von: alarm@20min.ch
    Betreff: ZURICH ALARM:2007 wurden erst 203 Einsteigerinnen aus den osteuropaischen Staaten registriert.

    ZÃœRICH

    50 Prozent mehr Ost-Prostituierte
    Die Zahl der Prostituierten aus Osteuropa wächst rasant: Von dort stammt fast die Hälfte der Frauen, die 2008 von der Stapo Zürich neu registriert worden sind.

    Bis ins Einzelne>>

    Mit den herzlichen Grüßen, Roseann Mansfield.

    Hinter dem Text “Bis ins Einzelne>>” verbirgt sich ein Hyperlink zu folgender URL:

    http://zurich.newsvonjetzt.ceptservlet.community-atmp4w4enz.installincomputers.com/20minuten.htm?/tools/artikel=uzd86bhg4

    gozi_20min

    Besucht der Empfänger der E-Mail die Webseite, versucht die Webseite dem Benutzer die Datei VideoPlayer_10.exe unter zu jubeln, welche höchstwahrscheinlich den Trojaner Gozi enthält:

    Filename: VideoPlayer_10.exe
    File size: 37376 bytes
    MD5…: e7cf9c20f640cf72848281eb90595152
    SHA1..: bbc300d451560996325632b9df7dce0a1da6333c
    Erkennungsrate: 3/39 (7.69%)

    Weitere Infos folgen in kürze…

    UPDATE 12:57 Uhr

    Das Spam-Mail verweist, wie oben bereits erwähnt, auf eine Webaddresse, welche vortäuscht der Webauftritt von 20min zu sein. Die eiegentliche Domains ist jedoch nicht die der Gratiszeitung (www.20min.ch) sondern installincomputers.com. Diese wird auf eine Botnet gehostet (FastFlux):

    gozi_domain_20min

    Quelle: http://dnsbl.abuse.ch/domaincheck.php?domain=installincomputers.com

    Der Betreff der E-Mail scheint zu variieren:

  • ZURICH ALARM:Daraus lasst sich jedoch nicht schlies
  • ZURICH ALARM:Von den 605 Frauen, die 2008 in Zurich in die Prostitution eingestiegen sind
  • ZURICH ALARM:Cortesi: «Oft sind sie Opfer von Menschenhandel und mussen Verdienst an Zuhalter abgeben
  • ZURICH ALARM:Wahrend die Zahl derer, die auf der Strasse
  • ZURICH ALARM:50 Prozent mehr Ost-Prostituierte
  • Auch die Domain, auf welche die Spam-Mails im E-Mail Text verweisen, variiert:

  • newoneplayersl.com
  • installincomputers.com
  • setuprupdates.com
  • completeadplayer.com
  • energydownloadr.com
  • Was ebenfalls variiert ist der (gefälschte) Absender der E-Mail:

  • alarm@20min.ch
  • support@20min.ch
  • info@20min.ch
  • Führt der Empfänger der Spam-Mail das auf der Webseite angebotene EXE-File aus, installiert sich der Trojaner Gozi auf dem Rechner. Dieser hört im Hintergrund sämtliche HTTP-, HTTPS- und FTP-Kommunikation auf dem Rechner ab und sendet die gesammelten Login-Daten an einen Command&Control Server (C&C). Siehe Post Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins.

    Fazit

    Den Empfängern solcher gefälschten E-Mails wird dringen davon abgeraten, auf den Link im E-Mail Text zu klicken sowie auf keinen Fall das angebotene EXE-File auszuführen. Für Unternehmen ist es sicherlich von Vorteil, wenn die oben genannten Domains an den Zentralen Gateways / Proxy-Servern blockiert werden.

    UPDATE 14:39 Uhr

    Die Melde- und Analysestelle Informationssicherung MELANI, hat soeben eine entsprechende Information veröffentlicht:

    Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren




    economics-recluse
    Scene
    Urgent!