PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : freeservesms



schara56
20.04.2009, 23:31
Received: from wergvan (unknown [92.49.143.55])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Mon, 20 Apr 2009 xx:xx:xx +0200 (CEST)
Received: from rbdx ([210.79.78.66])
by wergvan (8.13.5/8.13.5) with SMTP ID: [ID filtered]
Wed, 25 Jun 2003 xx:xx:xx +0300
http://freeservesms.com

http://g.imagehost.org/t/0744/001_15.jpg (http://g.imagehost.org/view/0744/001_15) http://g.imagehost.org/t/0601/002.jpg (http://g.imagehost.org/view/0601/002)

smspianeta.com NS ns1.moneymedal.com -> trial.exe
miosmsclub.com NS ns1.moneymedal.com -> smsreader.exe
moneymedal.com NS ns1.moneymedal.com -> kap0tt
downloadfreesms.com NS ns1.moneymedal.com -> freetrial.exe
virtualesms.com NS ns1.moneymedal.com -> free.exe (ob die unsere exe meinen? *duw*)
chinamobilesms.com NS ns1.moneymedal.com -> smstrap.exe
freeservesms.com NS ns1.moneymedal.com -> freetrial.exe
freecolorsms.com NS ns1.moneymedal.com -> smstrap.exe
smsclubnet.com NS ns1.moneymedal.com -> setup.exe

actro
21.04.2009, 09:08
Laut ZeroWine (http://sourceforge.net/projects/zerowine) ist es immer die gleiche Malware, nur der Name wechselt.

Haste schon geguggt, was der Vogel treibt?

truelife
21.04.2009, 11:38
Das Ding hat einen Client an Bord, um Verbindung zu einem Server aufzubauen, außerdem ist ein SMTP-Client an Bord.

Startet durch einen Registry-Eintrag beim Systemstart:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PromoReg <Pfadname der *.exe>

schara56
21.04.2009, 12:46
...] Haste schon geguggt, was der Vogel treibt?Ich habe hier leider gerade kein Lab zur Hand aber was true so schreibt ist das klassische "Botwear".

@true:
Wo sitzt denn Mama von dem Dinges?

actro
21.04.2009, 13:07
Bei mir in der Sandbox kaggt der immer nach dem entpacken ab..

truelife
21.04.2009, 16:48
Für mich sieht das nach ner Zufallsabfrage ab:


• 116.122.25.144
• 116.16.203.123
• 116.254.87.118
• 116.73.41.45
• 116.74.181.12
• 118.101.212.97
• 118.39.80.191
• 119.1.16.8
• 119.154.9.151
• 119.99.195.58
• 121.243.167.55
• 124.115.101.170
• 124.13.227.4
• 124.21.244.186
• 124.79.29.116
• 125.163.244.92
• 125.36.151.115
• 125.41.87.82
• 125.45.67.194
• 148.245.125.199
• 151.33.215.0
• 165.194.27.11
• 189.41.17.132
• 189.41.30.130
• 189.42.164.145
• 194.120.84.9
• 199.203.64.235
• 200.120.152.186
• 200.125.92.244
• 200.165.243.185
• 200.55.160.124
• 200.82.185.119
• 201.212.68.161
• 201.216.3.229
• 201.231.145.111
• 201.27.196.253
• 201.79.228.217
• 209.83.88.3
• 209.87.251.55
• 210.119.19.61
• 212.69.49.12
• 213.66.99.225
• 217.129.86.162
• 217.26.165.146
• 220.224.231.73
• 221.223.130.74
• 24.116.119.157
• 24.209.2.161
• 24.222.92.246
• 24.24.186.141
• 24.82.3.140
• 60.218.245.51
• 60.31.94.54
• 61.102.212.18
• 61.238.16.83
• 64.184.89.202
• 68.41.238.247
• 68.91.129.102
• 69.37.168.16
• 70.61.170.203
• 71.121.79.208
• 72.177.194.167
• 72.24.203.145
• 72.241.49.144
• 72.38.168.67
• 76.124.149.22
• 76.25.195.117
• 76.89.100.221
• 76.9.39.158
• 77.109.39.105
• 77.252.98.96
• 77.29.194.238
• 77.65.140.248
• 77.81.248.158
• 80.117.119.193
• 80.183.57.117
• 80.232.245.52
• 80.66.240.179
• 81.111.41.240
• 81.172.96.184
• 81.18.72.138
• 81.184.102.33
• 81.31.167.5
• 81.31.183.214
• 81.84.31.144
• 82.154.44.107
• 82.233.183.147
• 82.56.63.197
• 82.61.43.115
• 82.78.142.146
• 83.131.228.111
• 83.132.209.172
• 83.191.233.15
• 83.31.140.66
• 84.109.6.14
• 84.122.132.201
• 84.125.99.94
• 84.16.228.132
• 84.228.137.182
• 84.237.134.103
• 84.26.190.246
• 84.3.93.129
• 85.130.29.52
• 85.130.30.117
• 85.133.206.120
• 85.152.62.104
• 85.185.119.42
• 85.196.183.244
• 85.201.43.175
• 85.232.254.214
• 85.255.109.83
• 85.64.79.166
• 86.100.217.214
• 86.107.149.138
• 86.126.20.9
• 86.126.37.96
• 86.4.67.129
• 86.66.131.160
• 87.110.51.157
• 87.16.10.84
• 87.5.40.197
• 87.67.94.212
• 87.69.73.78
• 87.69.83.37
• 87.97.40.218
• 88.148.101.139
• 88.160.7.118
• 88.222.201.105
• 89.1.27.149
• 89.138.89.17
• 89.141.52.164
• 89.160.77.132
• 89.165.120.134
• 89.165.68.177
• 89.165.78.95
• 89.39.168.174
• 89.45.136.200
• 89.74.204.108
• 89.75.11.4
• 89.77.53.132
• 92.112.248.195
• 92.249.152.117
• 93.126.72.83
• 93.172.160.70
• 93.177.144.51
• 98.197.170.70
• 98.221.243.14
• 99.144.153.58
• 99.236.47.238
• 99.244.169.127


Gesucht wird jeweils nach dem Verzeichnis "mail" und der "mailsetup.exe"

Ansonsten ist dieser "Virus" nichts anderes als Nuwar.AW (Erkennung bei Avast). Andere erkennen den Virus als Waledac. Waledac wiederum ist meines Wissens ein "Mitbringsel" zu Zhelatin. Und Zhelatin ist bekannt als Storm-Worm.

Zerlegt habe ich das hier: http://www.antispam-ev.de/forum/showthread.php?t=16956&highlight=nuwar