[Trojaner!]Nero Produkttester gesucht!!

[SpamRam]

header:

01: Return-Path: <support [at] nero-ag.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to SpamRam
04: Received: (qmail invoked by alias); 26 Jul 2008 xx:xx:xx -0000
05: Received: from mo-p05-ob.rzone.de (EHLO mo-p05-ob.rzone.de) [81.169.146.181]
06:   by mx0.gmx.net (mx078) with SMTP; 26 Jul 2008 xx:xx:xx +0200
07: X-RZG-CLASS-ID: [ID filtered]
08: X-RZG-AUTH: :L2MKYUGrb9+s7Ys+/C6cdNboKaxR22vZQHQdVrAQaXAdx/yatqsyfBsUK0w=
09: Received: from [192.168.10.100] ([89.248.108.111])
10:     by post.webmailer.de (mrclete mo51) (RZmta 16.47)
11:     with ESMTP ID: [ID filtered]
12:     Sat, 26 Jul 2008 xx:xx:xx +0200 (MEST)
13:     (envelope-from: <poor [at] spamvictim.tld>)
14: Date: Sat, 26 Jul 2008 xx:xx:xx +0200
15: Mime-version: 1.0
16: Subject: [Info] Nero Produkttester gesucht!!
17: From: =?ISO-8859-1?Q?Carsten_Völkner?= <support [at] nero-ag.de>
18: To: <SpamRam>
19: Message-ID: [ID filtered]
20: Original-recipient: rfc822;SpamRam

Sehr geehrte Nutzer,

wir freuen uns ihnen mitteilen zu können, das Sie an der Betaphase unseres neuen Produkts begrüßen zu dürfen.
Die neue Version 8.6.0.1 steht kurz vor der Veröffentlichung und mit ihrer Hilfe erhoffen wir uns eine Stabilere
und schnellere Version als die Vorgänger auf den Markt zu bringen. Was Sie tun müssen ist das neue Nero
ausgiebig zu testen, und uns jegliche Fehler in einem kurzen Text zu schildern. Für ihre mühe erhalten Sie
nach dem Beta test ein Vollversion für ein Jahr inkl. aller kommenden Updates.

Haben wir ihr Interesse geweckt dann installieren Sie einfach das neue Nero über unseren Webinstaller
und nutzen bitte folgende Benutzerdaten:

Username: Nerotester5687
Passwort: kiwahe57
Alle weiteren Instruktionen die Sie zur Installation benötigen wird ihn dann bequem bei der Installation mitgeteilt.

So nun wünschen wir Ihnen viel Spaßbeim testen
Ihr Nero Burning Rom Team

© 2008 Nero AG / Nero Inc. / Nero K.K. / Nero Ltd. All rights reserved.

Der Anhang ist ein ZIP-Archiv mit dem Namen nero.webinstaller.zip

Dahinter verbirgt sich ein Trojaner, AVIRA ist noch mit der Analyse beschäftigt.

Die Domain ^whois: [Link nur für registrierte Mitglieder sichtbar. ] ist bei SEDO geparkt, Halter ist eine Firma mit deutschem Namen mit der Adresse:
Panama City World Trade Centre, Calle 53, Marbella
in Panama (gibt es in Panama auch ein Marbella?)

Admin-C ist eine A.S. in 50672 Köln, Kaiser-Wilhelm-Ring 27-29

Testergebnis von Avira folgt!

[SpamRam]

Hier kommt das Analyse-Ergebnis von Avira:

Datei: nero.webinstaller.exe MALWARE
Die Datei 'nero.webinstaller.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/PSW.Steam.EQ gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, das in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.
Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

Obwohl das Zeug schon einige Tage bei mir im Posteingang lag, scheint das etwas Neues zu sein.

[Goofy]

Auffallend ist in letzter Zeit, dass besonders Webseitenbetreiber solche Spams erhalten.

Das geht m.E. synchron mit den Storm-Trojaner-Attacken, wo die Trojaner zur Zeit oft auf gehackten Webmaster-Accounts gehostet werden.

Zuerst mal suchen sich die Russkis wohl alle möglichen Domains mitsamt den dazugehörigen Mailadressen der "Registrants" raus, weil die oft auch gleichzeitig die Webmaster sind.

An diese e-Mailadressen der Webmaster schicken die Russkis Trojaner in immer wieder unterschiedlicher Form, jeden Tag neue Varianten, die dann von den Virenscannern oft nicht gefunden werden.
Beispiel: dieses Angebot zum Betatest einer angeblichen neuen Nero-Version. Dürfte wohl viele Webmaster tatsächlich ansprechen.
Die Russkis haben ja dazugelernt und schicken an Webmaster eher nicht die einfallslosen "Britney_naked.exe" -Anhänge.

Wenn der Webmaster jetzt auf den Anhang klickt, installiert sich der Trojaner. Es wird eine Backdoor geöffnet, außerdem vermutlich ein keylogger installiert, der den Zeitpunkt abpasst, wo der Webmaster sich am ftp-Account seines Webservers einloggen will, um neuen Content upzuloaden.
In dem Moment phisht der Trojaner im Hintergrund die Accountdaten für diesen Webmaster-Zugang ab und schickt die an seinen Master nach Russland.

Jetzt hat Spamski wieder mal einen neuen Webserverzugang eines nichtsahnenden Webmasters, wo er im Prinzip von Phishing, Viagra-Spam, Viren, Trojanern, KIPO etc. alles hosten kann, was er will.

Er stellt jetzt z.B. seine Dateien mit dem Storm-Trojaner dort drauf und spammt dann massenweise z.B. mit: "UPS-Ihr Paket konnte nicht zugestellt werden. Details bitte auf dieser Webseite einsehen: ..."
mit Link auf den verseuchten Server, wo dann der Trojaner lauert.

Damit erweitert Spamski dann wieder sein Botnetz um neue Opfer, um seinen Vi@@grrrraaaaaa-Spam abzusetzen. Vielleicht steht die Viagra-Seite dann ebenfalls auf dem verseuchten Server.

Wird einer vom Hoster abgeschaltet: macht nix, Spamski hat gleich 5 andere in Reserve. Per DynDNS im Minutentakt austauschbar.

[actro]

Vielleicht auch [Link nur für registrierte Mitglieder sichtbar. ]

[kjz1]

Vielleicht auch [Link nur für registrierte Mitglieder sichtbar. ]

Genau das meinte ja Goofy....

- kjz

[SpamRam]

Ich hatte auch SEDO informiert, dass über eine bei ihnen geparkte Domain Spam mit Malware verschickt wird. Die Antwort fand ich ganz interessant:

> > vielen Dank für Ihre Nachricht.
> >
> > Leider erhalten wir als Anbieter von Parkingdienstleistungen immer
> > wieder Anfragen wie die Ihre. Jedoch ergibt sich auch nach eingehender
> > Prüfung der Fälle immer wieder dasselbe Bild hinsichtlich des
> > Verfassers und Versenders der erhaltenen Spam: die Absenderkennung
> > wird meist verfälscht und hat mit dem eigentlichen Inhaber der Domain
> > nichts zu tun.
> >
> > Spricht man den Inhaber der Domain darauf an, fällt der aus allen
> > Wolken, weil ihm nicht bewusst war, dass in seinem Namen derlei
> > Nachrichten versendet werden. Oft wurde die dazugehörige Domain erst
> > in jüngster Vergangenheit erworben - natürlich in dem Glauben, die
> > Domain habe eine "reine Weste".
> >

Das heißt doch: Tut uns leid, wir tun da mal lieber nichts. Was meinen die Experten, kann man da wirklich nichts tun?

[dk99hi]

Ich denke der Support bei SEDO war etwas überfordert und hat halt die
Standardantwort genommen die unter "SPAM" zu finden war.

Vielleicht versuchst Du es nochmal und lässt einfach das Wort Spam weg.

Z.B.

Die bei SEDO geparkte Domain ^whois: [Link nur für registrierte Mitglieder sichtbar. ] verbreitet
den Trojaner TR/PSW.Steam.EQ .
Bitte stellen Sie das umgehend ab.

Und evtl. die Nero AG - ^whois: [Link nur für registrierte Mitglieder sichtbar. ] informieren das SEDO nichts macht.

Die werden ja Markenrechte auf NERO haben und SEDO bestimmt ans Bein pinkeln.

[Fidul]

Es ist überhaupt nicht gesagt, daß die Domain etwas mit der Malware-Mail zu tun hat. Absender lassen sich bekanntlich leicht fälschen und in diesem Fall kam der Dreck aus Spanien (89.248.108.111) über Strato rein.