Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)

[vgwort line=“70″ server=“vg08″ openid=“b4cba78abe7143dca816742fe2b0641b“]

Achtung: Maus weg vom Anhang!

Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
Sceenshot einer angeblichen UPS Mail.
Text: Dear Bank Operator,WIRE TRANSFER: FEDW-…STATUS: REJECTED You can find details in the attached file.(Internet Explorer format)

Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt die Bezeichnung version:“0.7.8″,name:“PluginDetect“ in seinem Quellcode. Damit gehört dieser Trojaner Script zum Blackhole Exploit Kit wie auch die Spams zu YouTube und LinkedIn.

Statt Links in der Mail eine HTML-Datei zu nehmen, hat etwas für sie. Die Virenscanner scheinen sich mit Java-Script in HTML noch recht schwer zu tun.

In beiden Dateien wird eine unterschiedliche Verschleierung der Kodierung verwendet, das Grundprinzip beruht bei beiden auf den Funktionen parseInt und fromCharCode. Während erstere einzelne Ziffern durch die beiden Zeichen „$@“t rennt, werden bei der zweiten zufällige Zeichen ich den String gestreut.

Fast hätte ich diese Mail unter den vielen Arbeitsangeboten übersehen. SpamAssassin hat sie zuverlässig als Spam erkannt.

Letzte Woche hatte ich mir ein paar Programme und Scripte gebastelt, um diese Dateien ohne Java-Script schnell zu entziffern. Mir fehlte nur noch ein neuer Testfall. Nun bin ich zufrieden. Die Arbeit hat sich gelohnt. Es funktionierte auf Anhieb.

Obwohl die Mail schon mindesten 19 Stunden alt ist, tut sich Virustotal sehr schwer mit einer Analyse des Anhanges und scheitert am Ende. Der Anhang dürfte sehr recht individuell auf diese eine Mail zugeschnitten sein.

Dies ist ein sehr direkter Weg zum Ziel. Bisher führten die links immer über mehrere Stufen zum eigentlichen Server. Der in meinem Muster genutzte Server steht in Russland. Von dort lädt das Scripte mindesten ein Programm mit ca. 80 KByte herunter, das derzeit nur von acht aus 43 Virenscannern bei virustotal erkannt wird.

  • Gen:Variant.Symmi.3722
  • a variant of Win32/Injector.YCL
  • Gen:Variant.Symmi.3722
  • W32/Gimemo.SKR!tr
  • Gen:Variant.Symmi.3722
  • UDS:DangerousObject.Multi.Generic
  • Gen:Variant.Symmi.3722
  • W32/Kryptik.BWC

Die für die zweite Datei werden die Parameter extra durch das Script zugeschnitten. Diese habe ich noch nicht entschlüsselt. Daher kann ich nicht sagen, was sie macht. Ich denke, ich bastele mir eine Sandkiste, damit wird es einfacher.

Der Server ist übrigens ponowseniks.ru auf Port 8080. Da ist auch mit whois nicht viel drüber zu erfahren. Es lebe der Datenschutz!

Wie kann man vorbeugen?

Auch wenn ich es selbst nicht nutze, empfiehlt sich doch das Plugin NoScript. Ich finde es eher lästig, aber erst kann einem durchaus Ärger und in Summe Zeit sparen. Da ich es nicht nutze, kann ich nicht sagen wie es hier gewirkt hätte.

Wie bekommt an den Trojaner wieder los?

Wenn die Daten wichtig sind, würde ich es mit einer Live-DVD und einem oder mehreren Viren-Scannern versuchen. Die sollten den Trojaner erkennen und beseitigen können. Nach der Rettung der wichtigen Daten würde ich in jedem Fall den Rechner neu installieren, nachdem ich die Festplatte einmal komplett mit Zufallsdaten überschrieben habe. Dauert etwas länger, aber wenn man es ansonsten zweimal machen muss ist einmal Sorgfalt schneller.

Gute Nacht.