Tag Archive for 'watch.exe'

Trojaner verbreitet sich via google.com (Zlob)

Published on March 11, 2008 in Malware & Virus Analysing. 0 Comments Tags: , , , , , , .

Heute fand ich eine grosse Anzahl von Mails mit dem selben Betreff (watch the biggest tits in the world) in meinen Honeypots vor:

watch.jpg

Das email ist in HTML geschrieben. Lässt man sich den Quellcode des emails anzeigen erkennt man, dass der Link welcher bei Click to download and watch hinterlegt ist scheinbar auf Google verweist. Betrachtet man den Quellcode jedoch genauer fällt folgende URL auf:

http://rusdiam.com/1.exe

Die Registrierung der Domain rusdiam.com lautet auf einen Herrn aus Brooklyn (New York), USA mit einer Russischen email Adresse (@mail.ru).
Die Registrierungsdaten sind wahrscheinlich (wie so oft) gefälscht.
Die Domain zeigt auf die IP-Adresse 64.79.160.26 welche auf Host Collective, Inc. (ein Hosting Provider in den USA) registriert ist.

Die EXE-Datei welche zum download angeboten wird, enthält einen Trojaner (W32/Agent.EJVH / F-Secure):

File size: 42496 bytes
MD5: 2330e3a5b55db53b2ba3c39dea74ab0c
SHA1: 3ea9a3e64659c5967d5d4790cc89f7dc3f3d89ca
PEiD: UPX 2.90 [LZMA]

Der Virus wir zur Zeit von 26/31 Virenscannern erkannt.

Besucht man die Domain rusdiam.com, kommt die Meldung “The Site Has Moved – redirecting” auf den Schirm. Danach wird man nach

http://bs.t-redirect.com/tds/rdr.php?id=676

weitergeleitet. Diese Webseite leitet den Besucher wiederum weiter auf trinityfpltd.info welche dann diverse bekannte Schwachstellen im Internet Explorer ausnutzt um weitere Malware auf dem Rechner zu installieren. Es wird empfohlen, den Zugriff auf folgende drei URLs zu blockieren:

rusdiam.com
t-redirect.com
trinityfpltd.info

UPDATE 14.03.2008

Scheinbar ist bereits wieder eine neue Variante der Malware im Umlauf:

zlob-14-03-08.jpg

Die Taktik ist die selbe wie das letzte mal: Der User wird dazu verleitet auf “VIDEO DOWNLOAD” zu klicken. Hinter diesem Text verbirgt sich scheinbar ein Link nach Google.com. Schaut man auch hier genauer hin, stellt man fest das die tatsächliche URL ganz und gar nichts mit Google zu tun hat:

http://jf-carvalhal.pt/watch.exe

Die Datei watch.exe wird derzeit nur durch 5 von 32 Virenscannern erkannt (Trojan.Zlob-2002 ClamAV):

Filename: watch.exe
URL: http://jf-carvalhal.pt/watch.exe
File size: 62976 bytes
MD5: 91d9883e5f633a7858c1a8a20af40260
SHA1: 6129fcefde8ff902f0a6a090b7e5a7827790c3ed

Die Domain ist auf einen Privatmann in Portugal registriert. Besucht man die Domain jf-carvalhal.pt, bekommt man eine Unmengen an Links ausgegeben:

jf-carvalhal-pt.jpg

Alle Links verweisen auf ein Blog welches unter der Webadresse des Massachusetts Institute of Technology (MIT) gehosted wird:

http://web.mit.edu/aswei/Public/viagra/
economics-recluse
Scene
Urgent!