PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Trojaner] Windows XP Professional + Office XP Professional. For FREE! LIMITED



homer
18.08.2005, 10:16
Was haben wir denn da? Ein Spam mir einer .exe dran. ClamAV und TrendMicro erkennen (noch) nichts, mal aufheben das Teil.
Return-Path: <kathleen [at] acadiacom.net>
Received: from yahoobb218177196108.bbtec.net (218.177.196.108) by 0 with
SMTP; 18 Aug 2005 xx:xx:xx -0000
Message-ID: [ID filtered]
From: Matilda McGee <kathleen [at] acadiacom.net>
To: x [at] x.x
Subject: Windows XP Professional + Office XP Professional. For FREE! LIMITED
Date: Thu, 18 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_X.X"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Loads of cool soft at incredibly low prices
Windows XP Professional + Office XP Professional for as low as FREE!
Look our ADVERTISMENT and USE FREE SOFT
The stock is limited
The offer is valID: [ID filtered]

Hurry! Details in ATTACHMENT.
Als Attachment hängt eine "whn.exe" dran.

Nachtrag: Die exe ust UPX-gepackt, lässt sich aber nicht entpacken wegen eines checksum errors:


me [at] homer:~/tmp/whn> upx -l whn.exe
Ultimate Packer for eXecutables
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001, 2002, 2003, 2004
UPX 1.25 Markus F.X.J. Oberhumer & Laszlo Molnar Jun 29th 2004

File size Ratio Format Name
-------------------- ------ ----------- -----------
45056 -> 26112 57.95% win32/pe whn.exe
me [at] homer:~/tmp/whn> upx -d whn.exe
Ultimate Packer for eXecutables
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001, 2002, 2003, 2004
UPX 1.25 Markus F.X.J. Oberhumer & Laszlo Molnar Jun 29th 2004

File size Ratio Format Name
-------------------- ------ ----------- -----------
upx: whn.exe: Exception: checksum error

Unpacked 1 file: 0 ok, 1 error.

Sirius
18.08.2005, 11:17
Hallo.

Das Teil ist ein Trojaner.

Teste mal die Integrität der Datei mit 'upx -t whn.exe'. Die Integrität sollte in Ordnung sein.

Es ist ein probates Mitteln, um sich vor neugierigen Blicken zu schützen. Man kann den UPX-Quellcode so modifizieren, dass damit gepackte EXE-Dateien sich nicht mehr mit der Standard-UPX-Anwendung entpacken lassen. Trotzdem funktioniert die EXE weiterhin.

Ansonsten unter 'wine' draufklicken und einen CORE-Dump ziehen ;-)

BTW: Allerdings lache ich mich schlapp, wenn da Profi-H1ck2rZ Mist gebaut haben.

Grüße

homer
18.08.2005, 11:28
Teste mal die Integrität der Datei mit 'upx -t whn.exe'. Die Integrität sollte in Ordnung sein.
Nö isse nicht:

me [at] homer:~/tmp/whn> upx -t whn.exe
Ultimate Packer for eXecutables
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001, 2002, 2003, 2004
UPX 1.25 Markus F.X.J. Oberhumer & Laszlo Molnar Jun 29th 2004

testing whn.exe
upx: whn.exe: Exception: checksum error

Tested 1 file: 0 ok, 1 error.

BTW: Allerdings lache ich mich schlapp, wenn da Profi-H1ck2rZ Mist gebaut haben.
Ich lach mit :lol?:

Das Teil kam eben nochmal rein, mit anderem Namen und als Fehlermeldung. Ich hab grade keine Zeit, das aus der Mail rauszubauen.

homer
18.08.2005, 15:22
Und nochmal, auf einen postmaster-Account:
Return-Path: <40melisa [at] access-one.com>
Received: from unknown (HELO 222.104.201.205) (222.104.201.205) by 0 with
SMTP; 18 Aug 2005 xx:xx:xx -0000
Message-ID: [ID filtered]
From: Dougal Morales <40melisa [at] access-one.com>
To: mailer-daemon [at] x.x
Subject: Windows XP Professional + Office XP Professional. For FREE! LIMITED
Date: Thu, 18 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_x.x"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Loads of cool soft at incredibly low prices
Windows XP Professional + Office XP Professional for as low as FREE!
Look our ADVERTISMENT and USE FREE SOFT
The stock is limited
The offer is valID: [ID filtered]

Hurry! Details in ATTACHMENT.
Das Attachment heisst jetzt "oyc.exe" und ist genau so groß wie bei ersten mal (26112 Bytes). Ich kann das tatsächlich auch lesen ohne es zu "entpacken". Die Domain, die da drin auftaucht heisst "lovede1945.net" und der Trojaner scheint eine Datei namens "*gger.php" dort aufrufen zu wollen.

Tomfi
18.08.2005, 16:20
Das Attachment heisst jetzt "oyc.exe" und ist genau so groß wie bei ersten mal (26112 Bytes). Ich kann das tatsächlich auch lesen ohne es zu "entpacken". Die Domain, die da drin auftaucht heisst "lovede1945.net" und der Trojaner scheint eine Datei namens "*gger.php" dort aufrufen zu wollen.

wird wohl logger.php sein - dabei handelt es sich um ein Web-based Botnetz u.a. mit Keylogger ...
Was meint z.B. www.virustotal.com zu der Datei?

[GoD]EVIL
18.08.2005, 16:36
Hallöchen erstmal zusammen.

Ich bin schon eine ganze weile ein stiller teilhaber hier, und lese immer die interessanten neuen Spam-Warnungen.....

Gefällt mir hier - respekt an die Besitzer ;)

Zum Thema. Hab das gute Stück gerade per mail reinbekommen, und unser Antiviren-Proggi hat Alarm geschlagen (kam als d.exe Dateianhang auf unseren Server).

Es soll sich dabei um die Backdoor Win32.Dumador.dk aka. BDS/Dumador.dk handeln. Viele Infos gibt es noch nicht zu dem teilchen.

Einen schönen Feierabend allen zusammen ;)

homer
18.08.2005, 16:39
Was meint z.B. www.virustotal.com zu der Datei?
Nichts. Die Seite schießt mir den Firefox ab. Und im Konqueror darf ich einem roten QUadrat beim Rumtorkeln zusehen. Oh, doch, ein Ergebnis:


AntiVir 6.31.1.0 08.18.2005 BDS/Dumador.dk
Avast 4.6.695.0 08.17.2005 no virus found
AVG 718 08.17.2005 no virus found
Avira 6.31.1.0 08.18.2005 BDS/Dumador.dk
BitDefender 7.0 08.18.2005 no virus found
CAT-QuickHeal 7.03 08.18.2005 Backdoor.Dumador.dk
ClamAV devel-20050725 08.18.2005 no virus found
DrWeb 4.32b 08.18.2005 BackDoor.Dumaru.20
eTrust-Iris 7.1.194.0 08.17.2005 no virus found
eTrust-Vet 11.9.1.0 08.18.2005 Win32.Bambo
Fortinet 2.41.0.0 08.18.2005 W32/Dumador.DK-bdr
F-Prot 3.16c 08.17.2005 security risk named W32/Dumador.CD [at] bd
Ikarus 0.2.59.0 08.18.2005 Backdoor.Win32.Dumador.DK
Kaspersky 4.0.2.24 08.18.2005 Backdoor.Win32.Dumador.dk
McAfee 4562 08.18.2005 BackDoor-CCT
NOD32v2 1.1196 08.17.2005 Win32/Dumador
Norman 5.70.10 08.17.2005 no virus found
Panda 8.02.00 08.18.2005 no virus found
Sophos 3.96.0 08.18.2005 Troj/Dumaru-J
Sybari 7.5.1314 08.18.2005 no virus found
Symantec 8.0 08.18.2005 no virus found
TheHacker 5.8.2.091 08.18.2005 Backdoor/Dumador.dk
VBA32 3.10.4 08.18.2005 BackDoor.Dumaru.20

homer
18.08.2005, 16:42
Und nochmal, jetzt an meinen Faxserver-Admin. Das wird ja noch heiter werden, wenn das der Anfang der Epidemie ist.
Return-Path: <811hassan [at] 40lbhead.com>
Received: from unknown (HELO 220.81.229.16) (220.81.229.16) by 0 with SMTP;
18 Aug 2005 xx:xx:xx -0000
Message-ID: [ID filtered]
From: Al Washington <811hassan [at] 40lbhead.com>
To: x [at] x.x
Subject: Windows XP Professional + Office XP Professional. For FREE! LIMITED
Date: Thu, 18 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_FDD6DFE3.D75FE2CC"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Goofy
18.08.2005, 20:01
Soso... tatsächlich also ein Trojaner.
Ich hatte auch eine exe mit anderem Namen, aber mit WINHEX konnte ich auch genau diese domain da rauslesen:

lovedel945.net 65.75.191.78
ns1.safedns.biz. 204.13.64.61
ns2.safedns.biz. 65.75.191.95

Krankenakte dazu:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL28052
Alex Blood / Pilot Holding / bbasafehosting: ns2.safedns.biz
:sick:
Mein Antivir hat nicht protestiert, weil die Signatur schon ein paar Tage alt war... :lil:
Gottseisgetrommelt, dass ich das Ding nicht ausgeführt hab.

wolki
16.02.2008, 20:44
danke

actro
17.02.2008, 12:44
danke

ääähm..wofür?