Tag Archive for 'wsmpoem'

wsnpoem: UPS_Lieferschein.zip

Seit heute Abend ca. 18:00 Uhr (GMT +0200) verbreitet sich WSNPoem mit einer neuen Spam-Welle:

Betreff: Ihr UPS Paket N8212771475

Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus, und holen Sie ihr Paket bei uns ab.

Mit freundlichen Grussen,
Ihre UPS

Die UPS Packet Nummer im Betreff variiert jeweils. Das Mail trägt den Anhang “UPS_Lieferschein.zip”, im welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet:

Filename: UPS_Lieferschein.exe
File size: 56832 bytes
MD5…: 5a1434342ac892e7fc3c004977de6fd3
SHA1..: 0748e88ebdf9d0ea8b854d6e1338e788fe9e1773
Erkennugnsrate: 2/33 (6.07%)

Nach erfolgter Infizierung nimmt der Trojaner wie schon bei der letzten Spam-Welle Kontakt mit fixbserver.ru (91.203.92.27) und lädt von dort weiteren Schadenscode sowie eine Konfigurations-Datei nach:

http://fixbserver.ru/bconfig/bconfigAhsAAs.bin (Config)
http://fixbserver.ru/bconfig/bconfigAhsAAs.exe (Backdoor)

http://fixbserver.ru/bconfig/bredir22.php

Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

UPDATE 08.07.2008 08:33 Uhr

MELANI hat die neue Spam-Welle bestätigt und soeben eine entsprechende Warnung herausgegeben:

6. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

UPDATE 14.07.2008 12:04 Uhr

Seit heute Morgen früh sind erneut solche Spam-Mails mit dem selben Betreff und Mail Text im Umlauf. So wie es aussieht, ist das Mail jedoch mit zwei verschiedenen Attachements unterwegs: “UPS_Lieferschein_8102.zip” und “UPS_Lieferschein.zip” wobei das Archiv mit dem Namen “UPS_Lieferschein_8102.zip” scheinbar defekt ist. Auch neu ist, dass die Spam-Welle nun auch Deutsche User erreicht hat.

UPDATE 14.07.2008 15:33 Uhr

Bis anhin landete nur das File UPS_Lieferschein_8102.zip in meinen Honigtöpfen. Das File lässt sich jedoch nicht mit WinZIP öffnen:

Benennt man die Dateiendung jedoch von zip in rar um, kann das Archiv mit der neusten WinZip Version sowie WinRAR geöffnet werden. Darin befindet sich die uns bekannte Datei UPS_Lieferschein.exe:

Filename: UPS_Lieferschein.exe
File size: 8192 bytes
MD5…: 6b4ef50e3e21205685cea919ebf93476
SHA1..: 2da85de11a84682e8c56290891de5bc522714d9c
Erkennungsrate: 19/31 (61.3%)

Was sofort auffällt, ist die Dateigrösse; die Datei ist viel kleiner als wsnpoem normalerweise ist. Auch mysteriös ist, dass die Datei von den Virenscannern nicht als Zbot sondern als Trojan.Dldr.Tiny.brm oder als Trojan-Downloader.Win32.Obitel.a erkannt wird. Zu diesem Zeitpunkt kommt mir nun der Verdacht auf, dass es sich bei der neuen Spam-Welle nicht um wsnpoem handelt sonder um Nachahmetäter. Bestätigen kann ich dies noch nicht. Ich werde euch jedoch auf dem Laufenden halten.

UPDATE 14.07.2008 19:59 Uhr

Der heutige Tag war sehr hektisch. Schuld daran war die neue Spam-Welle. Ich kann nun folgendes bestätigen:

In dem Zip Archiv UPS_Lieferschein_8102.zip befindet sich ein Ordner Namens UPS_Lieferschein_8102, in welchem sich die ausführbare Datei UPS_Lieferschein.exe befindet (Dateiinfos siehe oben). Bei der Infizierung erstellt der Trojaner die Datei userinit.exe im system32 Verzeichnis:

C:\WINDOWS\system32\userinit.exe

Da es sich bei der Datei userinit.exe um eine Systemdatei handelt, benennt er diese zuerst in userini.exe um, um sich danach als die scheinbar legitime Datei userinit.exe auszugeben. Das Symbol der Datei userinit.exe mutiert nach dem Wechseln in das selbe “Word-Symbol” wie bei der Datei UPS_Lieferschein.exe. Nach der Infizierung nimmt der Trojaner mit der Domain fixaserver.ru (91.203.92.27) Kontakt auf:

http://fixaserver.ru/ldr/gate.php?hash?=*hashkey*

Da die letzte “offizielle” wsnpoem Variante vom 8. Juli die selbe Domain kontaktiert hat, vermute ich, dass es sich bei diesem Trojaner um eine neue Variante von wsnpoem handelt. Nach kurzer Zeit wird eine weiter Domain kontaktiert, von wo der Trojaner weitere Schadsoftware nach lädt:

http://aetopoulos.de/2.exe

Bei der Domain handelt es sich höchstwahrscheinlich um eine gehackte Webseite.

Da es sich nun um eine völlig neue Variante von wsnpoem handelt ist es wichtig zu sagen, dass nun meine Anleitung “Entfernen von WSNPoem” nicht mehr funktioniert. Ich werde mich jedoch bemühen in den nächsten Tagen eine Anleitung zur Entfernung des neuen Trojaners online zu stellen.. Meine Anleitung “Entfernen von wsnpoem” habe ich der neuen Variante angepasst. Ihr seit nun mit der Anleitung in der Lage, die alte sowie die neue Version von wsnpoem von eurem Rechner zu entfernen.

UPDATE 15.07.2008 11:09 Uhr

Seit heute Morgen zeigt die Domain fixaserver.ru auf eine andere IP Adresse:

;; ANSWER SECTION:
fixaserver.ru. 3549 IN A 66.199.242.114

Des Weiteren wird an Stelle der Domain aetopoulos.de nun eine andere Domain verwendet um Schadcode nachzuladen:

URL: http://ratskeller-bremen.de/1.exe (81.169.145.86)
Filename: 1.exe
File size: 106511 bytes
MD5…: d13439fc020b47da5e7303d051eb84bd
SHA1..: d912bc4382321431530092e2c2993b8a48b834dd
Erkennungsrate: 6/33 (18.19%)



economics-recluse
Scene
Urgent!