CSIS har her til aften opsamlet flere spammails, som fremsendes på dansk og med et vedhæftet password beskyttet zip-arkiv. Der er tale om en farlig payload, som systematisk vil tappe det inficerede system for sensitive oplysninger.
Den uønskede e-mail ankommer med følgende indhold:
Fra: facebook
Emnelinje: Hej Man,
Indhold:
Hej Man,
Jeg ved ikke hvordan jeg skal sige det, men jeg har prřvet fřr lang tid til at sende dig nogle billeder, men jeg har tćnkt, at du ikke er interesseret i at se mig.
Men nu vil jeg sende dig billeder i tillćgget.
Download billeder og udtrćkke de, jeg er sikker pĺ at du vil kunne lide de.
Adgangskoden er: 123456
Hav en dejlig dag.
Vedhæftet:
DC5471.zip
Se også skærmdump herunder:
-
Helt åbenlyst er den medfølgende zip-fil beskyttet med passwordet "123456". Det betyder også, at den let sniger sig forbi de fleste gateway scannere, og derved strander sikkerheden hos den enkelte slutbruger og hvorvidt denne kan fristes til at udpakke og køre den skadelige kode. Som en sidebemærkning er det også interessant at koden er digitalt signeret:
CN = Avira GmbH
OU = Development 2009
OU = Digital ID Class 3 - Microsoft Software Validation v2
O = Avira GmbH
L = Tettnang
S = Baden-Wuerttemberg
C = DE
Den skadelige kode ser ud til at være kompileret i Algeriet. Hvis koden køres, af en uforsigtig bruger, vil den kopiere sig til roden af harddisken som "DC5471.exe". Denne fil slettes igen via et batchjob:
@echo off
del "C:DC5471.exe"
if exist "C:DC5471.exe" goto d
del /F "C:DOCUME~1ADMINI~1LOCALS~1Temptmpfabd8a2c.bat"
og derfra dropper den sig med et vilkårligt filnavn, eksempelvis:
C:Documents and Settings[%bruger profil%]Application DataOphuodyt.exe
Den injekter sig herefter ind i flere legitime systemprocesser og henter en konfigurationsfil fra følgende adresse (mellemrum indlagt af CSIS)
http://alba live.info/bari.bin
Det pågældende domæne er allerede blokeret i CSIS Secure DNS.
Den skadelige kode opnår følgende antivirus detektion:
AntiVir - 20120423
Antiy-AVL - 20120423
Avast Win32:VB-ACME [Trj] 20120423
AVG Suspicion: unknown virus 20120423
BitDefender - 20120423
ByteHero - 20120423
CAT-QuickHeal - 20120423
ClamAV - 20120423
Commtouch - 20120423
Comodo - 20120419
DrWeb - 20120423
Emsisoft Trojan-PWS.Win32.Zbot!IK 20120423
eSafe - 20120419
eTrust-Vet - 20120421
F-Prot - 20120422
F-Secure - 20120423
Fortinet W32/VBKrypt.HYZX!tr 20120423
GData Win32:VB-ACME 20120423
Ikarus Trojan-PWS.Win32.Zbot 20120423
Jiangmin - 20120423
K7AntiVirus - 20120420
Kaspersky - 20120419
McAfee - 20120419
McAfee-GW-Edition - 20120422
Microsoft PWS:Win32/Zbot 20120423
NOD32 a variant of Win32/Injector.PWG 20120423
Norman - 20120419
nProtect - 20120419
Panda - 20120423
PCTools - 20120419
Rising - 20120423
Sophos - 20120423
SUPERAntiSpyware - 20120402
Symantec - 20120423
TheHacker - 20120422
TrendMicro - 20120423
TrendMicro-HouseCall - 20120419
VBA32 - 20120422
VIPRE Trojan.Win32.Generic.pak!cobra 20120423
ViRobot - 20120423
VirusBuster - 20120423