RUS-CERT-1491 – Archivierte Meldung

Meldung Nr: RUS-CERT-1491

[MS/Windows] Nachrichten zur angeblichen E-Mail-Kontosperrung enthalten Malware
(2008-12-02 09:11:46.844553+00)

Eine neue Welle von infektiösen E-Mail-Nachrichten drohen dem Empfänger mit der unmittelbar bevorstehenden Sperrung seines E-Mail-Kontos, weil er angeblich Spam verschicke. Im Anhang seien "Hinweise" zur Entsperrung in einer .zip-Datei enthalten, die jedoch tatsächlich ein Trojanisches Pferd enthält. Das Öffnen des Anhangs infiziert das System und lädt Malware nach.

Betroffene Systeme

Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows 98 SE
Microsoft Windows NT
Microsoft Windows ME
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

Einfallstor

.zip-Datei als Anhang an einer E-Mail-Nachricht (z.B. Hinweis.zip

Angriffsvoraussetzung

Benutzerinteraktion - Der Benutzer eines betroffenen Systems muss den Anhang öffnen
(user interaction)

Angriffsvektorklasse

über eine Netzwerkverbindung, sofern die Malware dem Benutzer mittels E-Mail zugeleitet wird
(remote)

Auswirkung

Ausführung beliebigen Programmcodes auf dem beherbergenden System
(user compromise)

Dies äußert sich dergestalt, dass weitere Malware nachgeladen und auf dem beherbergenden System ausgeführt wird. Üblicherweise werden solchermaßen infizierte Systeme als Bot missbraucht.

Typ

Loader (lädt weitere Malware nach)
(malware)

Gefahrenpotential

hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Die Nachricht enthält einen Text, der dem Empfänger droht, dass seine E-Mail-Adresse in Kürze gesperrt werde, da er angeblich Spam-Nachrichten versandt habe. Die Nachricht ist personalisiert und enthält tatsächlich die E-Mail-Adresse des Empfängers.

Beispiel:

Sehr geehrte Damen und Herren,
Ihre Email "goebel@cert.uni-stuttgart.de" wird wegen Missbrauch
innerhalb der naechsten 24 Stunden gesperrt. Es sind 71 Beschwerden
wegen Spamversand bei uns eingegangen.

Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Sobald das Opfer den Anhang öffnet, installiert sich die Malware auf dem System und erzeugt einen Eintrag in der Registry:

- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   - Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

Die Malware selbst hat keine Schadfunktion sondern lädt entsprechende Malware nach. Üblicherweise werden infizierte Systeme als Bot missbraucht.

An der Universität Stuttgart werden weder von der Stabsstelle DV-Sicherheit (RUS-CERT) noch vom Rechenzentrum Nachrichten zur Sperrung von Ressourcen verschickt, die einen Anhang enthalten.

Workaround

Sofortiges Löschen der entsprechenden Nachricht.
Öffnen Sie den Anhang auf keinen Fall!

Gegenmaßnahmen

Nur wenige Malwarescanner erkennen den Schädling bislang (s.u). Der an der Universität Stuttgart zentral zur Verfügung gestellte Sophos Anti-Virus sollte das Trojanische Pferd erkennen, sofern eine aktuelle Version installiert ist.

Erkennungsrate durch Malwarescanner

Die Malware wird bislang nur von wenigen Malwareerkennungsprogrammen sicher identifiziert.
Eine am 2008-12-02 durchgeführte Analyse zur Erkennungsrate durch gängige Malwarescanner ergab folgendes Ergebnis:

http://www.virustotal.com/analisis/7ea65a98328fa46423ed9e907170b9f1

Antivirusprogramm 	Version 	Last Update 	Result
AhnLab-V3 		2008.12.2.0 	2008.12.02 	-
AntiVir 		7.9.0.36 	2008.12.02 	-
Authentium 		5.1.0.4 	2008.12.02	W32/Trojan-Gypikon-based.BA!Maximus
Avast 			4.8.1281.0 	2008.12.01 	-
AVG 			8.0.0.199 	2008.12.02 	-
BitDefender 		7.2 		2008.12.02 	-
CAT-QuickHeal 		10.00 		2008.12.02 	-
ClamAV 			0.94.1 		2008.12.02 	-
DrWeb 			4.44.0.09170 	2008.12.02 	-
eSafe 			7.0.17.0 	2008.11.30 	-
eTrust-Vet 		31.6.6238 	2008.12.02 	-
Ewido 			4.0 		2008.12.01 	-
F-Prot 			4.4.4.56 	2008.12.01 	W32/Trojan-Gypikon-based.BA!Maximus
F-Secure 		8.0.14332.0 	2008.12.02	Trojan-Downloader:W32/Agent.IDO
Fortinet 		3.117.0.0 	2008.12.02 	W32/Gypikon.CLF!tr
GData 			19 		2008.12.02 	-
Ikarus 			T3.1.1.45.0 	2008.12.02 	Win32.Outbreak
K7AntiVirus 		7.10.539 	2008.12.01 	-
Kaspersky 		7.0.0.125 	2008.12.02 	-
McAfee 			5451 		2008.12.01 	-
McAfee+Artemis 		5451 		2008.12.01 	-
Microsoft 		1.4104 		2008.12.02 	TrojanDropper:Win32/Emold.D
NOD32 			3656 		2008.12.02 	-
Norman 			5.80.02 	2008.12.01 	-
Panda 			9.0.0.4 	2008.12.02 	-
PCTools 		4.4.2.0 	2008.12.01 	-
Prevx1 			V2 		2008.12.02 	-
Rising 			21.06.10.00 	2008.12.02 	-
SecureWeb-Gateway 	6.7.6 		2008.12.02 	Trojan.Dldr.iBill.BW
Sophos 			4.36.0 		2008.12.02 	Mal/EncPk-CZ
Sunbelt 		3.1.1832.2 	2008.12.01 	-
Symantec 		10 		2008.12.02 	Downloader
TheHacker 		6.3.1.2.171 	2008.12.02 	-
TrendMicro 		8.700.0.1004 	2008.12.02 	-
VBA32 			3.12.8.9 	2008.12.01 	-
ViRobot 		2008.12.2.1495 	2008.12.02 	-
VirusBuster 		4.5.11.0 	2008.12.01 	-

Additional information
File size: 27831 bytes
MD5...: fa273b1d880335fbc1ca66664977d11d
SHA1..: ce89b7c6268a50404a7f0551f6e00c34112deb6d
SHA256: eb1b99c25bf6f9b742eed13fc129bb60d321930cf6a4145ad8f1cb435ab414c7
SHA512: 7cb0f0bd611386b0dbe62ad22f34b2de75cccccc9a16f9055bbf6a79b1d0a0fd
1c01d67172ae950b529dec8d7940fd21f8554ff594ab5c08b14e5b2803b857cd
ssdeep: 768:E2nfY5bXDnwqg/fyawhrQXNpTRhvEN1B4n7YWvhE4t0:E2nfYZjwq4ynQDTR
K/BEYohbq
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

Aliases

Bislang verwendete Bezeichnungen (Aliases)

W32/Trojan-Gypikon-based.BA!Maximus
Trojan-Downloader:W32/Agent.IDO
W32/Gypikon.CLF!tr
Win32.Outbreak
TrojanDropper:Win32/Emold.D
Trojan.Dldr.iBill.BW
Mal/EncPk-CZ

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1491