CSIS Blog: Ebola alarmering er malware

IT-kriminelle misbruger den frygtede Ebola virus og udbrud i Afrika til at sprede malware.

Et eksempel er domænet:
ebolawarnings.com

Fra denne webside lokkes med et alarm system, som kan advisere brugeren omkring Ebola udbrud i nærområdet. Der er naturligvis - og ikke helt overraskende - tale om en trojansk hest, som ved kørsel, vil droppe skadelig kode til systemet. Vi har naturligvis af samme årsag blokeret domænet i CSIS Secure DNS og beskytter derved også brugere af Heimdal PRO og corporate.


Hvis den skadelige kode køres vil den kommunikere tilbage til sin C&C server, hvor den bl.a. indrapporterer mac adressen på den nyfødte zombie. Denne funktion ses tidlig af den dekompilerede kode:

public object getMacAddress()
{
object obj1;
NetworkInterface[] interfaceArray1;
interfaceArray1 = NetworkInterface.GetAllNetworkInterfaces();
return interfaceArray1[0].GetPhysicalAddress().ToString();
}

Data sendes med en HTTP post til: (mellemrum indlagt af CSIS)

ebola.events

En komplet liste herunder:

http://ebola.events/alert-check.php?zip=
http://ebola.events/register.php?mac=
http://ebola.events/state.php

I næste fase downloader den supplerende malware fra:

www.comarch14fast.com

Med følgende HTTP GET:
/download.php?kHl9dWo=

Den kontakter endvidere:

www.stsunsetwest.com
www.fglasspeast.com

For at sikre at koden aktiveres efter en genstart af systemet oprettes en runas værdi i registeringsdatabasen:
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRun Ebola EWS

Hovedkomponenten droppes til:
[%bruger konto%]AppDataLocalEbola Early Warning System Official Installer.exe

Den skadelig kode opnår kun begrænset antivirus detektion:

Bkav     Nothing FOUND
MicroWorld-eScan     Nothing FOUND
nProtect     Trojan.GenericKD.1943863
CMC     Nothing FOUND
CAT-QuickHeal     Nothing FOUND
McAfee     Nothing FOUND
Malwarebytes     Trojan.MSIL
AegisLab     Nothing FOUND
K7AntiVirus     Nothing FOUND
K7GW     Nothing FOUND
TheHacker     Nothing FOUND
NANO-Antivirus     Trojan.Win32.KeyLogger.dbjjal
F-Prot     Nothing FOUND
Symantec     Nothing FOUND
Norman     Nothing FOUND
TotalDefense     Nothing FOUND
TrendMicro-HouseCall     Nothing FOUND
Avast     Nothing FOUND
ClamAV     Nothing FOUND
Kaspersky     Nothing FOUND
BitDefender     Trojan.GenericKD.1943863
Agnitum     Nothing FOUND
ViRobot     Nothing FOUND
Tencent     Nothing FOUND
Ad-Aware     Trojan.GenericKD.1943863
Emsisoft     Trojan.GenericKD.1943863 (B)
Comodo     Nothing FOUND
F-Secure     Trojan.GenericKD.1943863
DrWeb     Nothing FOUND
Zillya     Nothing FOUND
TrendMicro     Nothing FOUND
McAfee-GW-Edition     Nothing FOUND
Sophos     Nothing FOUND
Cyren     Nothing FOUND
Jiangmin     Nothing FOUND
Avira     Nothing FOUND
Antiy-AVL     Nothing FOUND
Kingsoft     Nothing FOUND
Microsoft     Nothing FOUND
SUPERAntiSpyware     Nothing FOUND
AhnLab-V3     Nothing FOUND
GData     Trojan.GenericKD.1943863
ByteHero     Nothing FOUND
VBA32     Nothing FOUND
AVware     Nothing FOUND
Zoner     Nothing FOUND
ESET-NOD32     Nothing FOUND
Rising     Nothing FOUND
Ikarus     Trojan.SuspectCRC
Fortinet     MSIL/Agent.ABJL!tr
AVG     Nothing FOUND
Baidu-International     Nothing FOUND
Qihoo-360     Nothing FOUND

MD5 hash: b77634abea3966d2ee5c6dfd0115c6a1