Update: NACHA Alert

Nachtrag zu den NACHA Trojanern

Die Trojaner lassen sich nicht mehr von den drei Servern herunterladen. Ob dies das Ergebnis dessen ist, dass ich den Admins eine Mail geschrieben habe? Wer weiß? Eine Rückmeldung hab ich nicht bekommen. Schade …

Antivir

Antivir liefert heute zu meinen drei gesammelten Trojanern folgendes Ergebnis:


zPxqxHGf.exe
Datum: 22.02.2012 Zeit: 22:15:20 Größe: 95232
ALERT: [TR/PSW.Fareit.C.241] zPxqxHGf.exe < << Ist das Trojanische Pferd TR/PSW.Fareit.C.241 o3fQ.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95744 ALERT: [TR/Crypt.ZPACK.Gen] o3fQ.exe <<< Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen CcLYgL.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95232 ALERT: [TR/Offend.KD.540289] CcLYgL.exe <<< Ist das Trojanische Pferd TR/Offend.KD.540289

Ich muss die beiden gleich großen Dateien mal vergleichen.

ClamAV

ClamAV erkennt heute leider nur zwei der drei Trojaner.


CcLYgL.exe: Trojan.FareIt-6 FOUND
o3fQ.exe: OK
zPxqxHGf.exe: Trojan.Fareit FOUND

NACHA Alert Trojaner

Trojaner Server
Trojaner Server
Zur Zeit treten vermehrt Mails mit dem Betreff „[e-mail-adresse] Nacha Alert ID[Nummer]“ auf. Der Aufbau der HTML-Mail ist sehr einfach. Sie enthält die Aufforderung seinen NACHA Accout durch folgen des Links aufzudatieren. Die ID-Nummer in der Mail muss dabei nicht mit der im Betreff übereinstimmen. Die Links unter dem Text und dem Logo verweisen auf ein ausführbares Programm. Dabei werden verschiedenen Server verwendet. Die Datei wird bei mir von ClamAV und AntiVir zur Zeit nicht nicht als Schadsoftware erkannt. Auf VirusTotal ergibt sich eine Erkennungsrate von 8/43. BitDefender bezeichnet das Teil als Trojan.Generic.KD.540289 und Kaspersky als Trojan.Win32.Jorik.Downloader.uf

Das Programm liegt auf verschiedenen Servern. In den letzten zwei Tagen waren es folgende:

  1. cattaneoetcie.fr – 87.106.171.182 – Cattaneoet&Cie
  2. machineryvaluerssydney.com.au – 50.22.40.192
  3. rscine.ro – 209.217.228.21 – Romanian Society of Cinematographers
  4. www.soloairesmaduro.com – 72.44.88.111 – Account gesperrt

Die Datei- und Verzeichnisnamen unter denen sich der Trojaner versteckt, sind jeweils andere zufällige Zeichenfolgen. 🙂 Die Clients, die Mails verschicken, sind nicht identisch mit den Servern, auf denen die Trojaner liegen. Mail-Sender-IP: 12.215.64.124, 125.165.177.159, 188.2.55.41, 37.107.20.245. Es scheint hier gibt es ein kommunizierendes Botnetz.

Registrator ist für machineryvaluerssydney.com.au „Crazy Domains“. Passt.

Der Account für die Seite www.soloairesmaduro.com ist suspendiert und der Trojaner kann nicht mehr heruntergeladen werden. Bei den Anderen war er gerade eben noch verfügbar. Bin gespannt, ob sie auf meine E-Mail reagieren.

Es scheint leicht unterschiedliche Varianten des Trojaners zu geben. Größe der gefundenen Dateien: 95232 und 95744 Byte.


Ergänzung: Pressemitteilung NACHA:Fraudulent Emails Appearing to Come from NACHA: Educate Yourself