RUS-CERT-1622 – Archivierte Meldung

Meldung Nr: RUS-CERT-1622

[MS/Windows] Malware in Warnung zu Conficker.B-Infektion
(2010-02-17 15:58:30.106466+00)

Eine neue Welle von E-Mail-Nachrichten weisen den Empfänger auf eine angebliche Infektion seines Systems mit dem Conficker.B-Bot hin. Die Nachrichten wurden vorgeblich vom "Microsoft Team" verschickt und haben den Betreff "Conflicker.B Infection Alert". Sie enthalten im Anhang die Datei open.zip die angeblich ein "antispyware program" sei, das beherbergende System nach dem Öffnen jedoch infiziert. Derzeit erkennen nur rund 50% der gängigsten Antivirusprogramme die Malware.

Inhalt

Zusammenfassung
Betroffene Systeme
Einfallstor
Angriffsvoraussetzung
Angriffsvektorklasse
Auswirkung
Typ der Verwundbarkeit
Gefahrenpotential
Beschreibung
Workaround
Gegenmaßnahmen
Erkennungsrate durch Malwarescanner

Zusammenfassung

Betroffen:	Microsoft Windows 95, 98, ME, NT, 2000, XP, Server 2003, Vista
Einfallstor:	`zip`-Datei in E-Mail-Nachricht
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Malware (Loader)
Gefahrenpotential:	sehr hoch
Workaround:	ja
Gegenmaßnahmen:	ja

Betroffene Systeme

Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows NT
Microsoft Windows ME
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista

Einfallstor

zip-Dateianhang in einer E-Mail-Nachricht (z.B. open.zip in einer E-Mail-Nachricht mit dem Betreff "Conflicker.B Infection Alert")

Angriffsvoraussetzung

Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss den entsprechenden Dateianhang (hier open.zip) öffnen z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)

Angriffsvektorklasse

über eine Netzwerkverbindung, sofern die Malware dem Benutzer mittels E-Mail zugeleitet wird
(remote)

Auswirkung

Ausführung beliebigen Programmcodes auf dem beherbergenden System
(user compromise)

Dies äußert sich dergestalt, dass weitere Malware nachgeladen und auf dem beherbergenden System ausgeführt wird. Üblicherweise werden solchermaßen infizierte Systeme als Bot missbraucht.

Typ der Verwundbarkeit

Loader (lädt weitere Malware nach)
(malware)

Gefahrenpotential

hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Die Nachricht enthält einen Text vom "Microsoft Team", der dem Empfänger mitteilt, dass "sein Netzwerk infiziert" sei:

  Microsoft has been advised by your Internet provider that your network
  is infected.

Weiter wird gebeten, den im Anhang enthaltenen "scanner" zu installieren um eine weitere Ausbreitung der Malware zu unterbinden:

  To counteract further spread we advise removing the infection using an
  antispyware program. We are supplying all effected Windows Users with a
  free system scan in order to clean any files infected by the virus.

  Please install attached file to start the scan. The process takes
  under a minute and will prevent your files from being compromised. We
  appreciate your prompt cooperation.

Im Anhang ist die Datei open.zip enthalten, die jedoch mitnichten den avisierten "scanner" sondern einen Loader, der sich auf dem befallenen System installiert, einen Registry-Eintrag vornimmt, um auch nach zwischenzeitlichem Ausschalten des Systems wieder aktiviert zu werden, und dann Malware aus dem Internet nachlädt, die die eigentliche Schadfunktion enthält. Üblicherweise werden infizierte Systeme als Bot missbraucht.

Workaround

Sofortiges Löschen der entsprechenden Nachricht.
Öffnen Sie den Anhang auf keinen Fall!

Gegenmaßnahmen

Nur wenige Malwarescanner erkennen den Schädling bislang (s.u). Der an der Universität Stuttgart zentral zur Verfügung gestellte Sophos Anti-Virus sollte den Loader erkennen, sofern eine aktuelle Version installiert ist.

Erkennungsrate durch Malwarescanner

Die Malware wird bislang nur von rund 50% der gängigen Malwareerkennungsprogrammen sicher identifiziert. Eine am 2010-02-17 durchgeführte Analyse zur Erkennungsrate durch gängige Malwarescanner ergab folgendes Ergebnis:

              File open.zip received on 2010.02.17 13:38:20 (UTC)
                           Current status: finished
                            Result: 20/40 (50.00%)
                                Compact Compact
                          Print results Print results
    Antivirus         Version     Last Update              Result
a-squared          4.5.0.50       2010.02.17  -
AhnLab-V3          5.0.0.2        2010.02.16  -
AntiVir            8.2.1.170      2010.02.17  TR/Crypt.XPACK.Gen
Antiy-AVL          2.0.3.7        2010.02.17  -
Authentium         5.2.0.5        2010.02.17
W32/SuspPack.BI.gen!Eldorado
AVG                9.0.0.730      2010.02.17  -
BitDefender        7.2            2010.02.17  -
CAT-QuickHeal      10.00          2010.02.17  Win32.Packed.Katusha.a.4
ClamAV             0.96.0.0-git   2010.02.17  -
Comodo             3969           2010.02.17  -
DrWeb              5.0.1.12222    2010.02.17  Trojan.DownLoad.41551
eSafe              7.0.17.0       2010.02.16  -
eTrust-Vet         35.2.7308      2010.02.17  Win32/Bredolab.D!generic
F-Prot             4.5.1.85       2010.02.16  W32/SuspPack.BI.gen!Eldorado
F-Secure           9.0.15370.0    2010.02.17  -
Fortinet           4.0.14.0       2010.02.15  -
GData              21             2010.02.17  Win32:Bredolab-CC
Ikarus             T3.1.1.80.0    2010.02.17  -
Jiangmin           13.0.900       2010.02.17  -
K7AntiVirus        7.10.974       2010.02.15  -
Kaspersky          7.0.0.125      2010.02.17  Packed.Win32.Krap.x
McAfee             5894           2010.02.16  Generic Dropper.lr
McAfee+Artemis     5894           2010.02.16  Generic Dropper.lr
McAfee-GW-Edition  6.8.5          2010.02.17  Trojan.Crypt.XPACK.Gen
Microsoft          1.5406         2010.02.17  -
NOD32              4873           2010.02.17  a variant of Win32/Kryptik.CJT
Norman             6.04.08        2010.02.17  -
nProtect           2009.1.8.0     2010.02.17  -
Panda              10.0.2.2       2010.02.16  Suspicious file
PCTools            7.0.3.5        2010.02.17  HeurEngine.MaliciousPacker
Prevx              3.0            2010.02.17  -
Rising             22.34.01.03    2010.02.11  -
Sophos             4.50.0         2010.02.17  Mal/EncPk-KW
Sunbelt            5682           2010.02.17  Trojan.Win32.Bredolab.Gen.2 (v)
Symantec           20091.2.0.41   2010.02.17  Packed.Generic.265
TheHacker          6.5.1.4.197    2010.02.17  Trojan/Agent.gen
TrendMicro         9.120.0.1004   2010.02.17  Mal_Bredo-8
VBA32              3.12.12.2      2010.02.16  -
ViRobot            2010.2.17.2190 2010.02.17  -
VirusBuster        5.0.21.0       2010.02.17  Trojan.Fraudload.Gen!Pac.5

                            Additional information
File size: 6907 bytes
MD5   : b22faf95f1519ce66bfed0621310a7da
SHA1  : 8f1dcf934bfbcb5874fdbc59e65040b0ebf62f4b
SHA256: ba659b0bd381667eacf1d277776da12582d624189569b8ece500dc71ea696678
TrID  : File type identification
ZIP compressed archive (100.0%)
ssdeep: 192:WbI7Q87u3KNQlWIToym/efBMzWjt1Pm/Il2sj23KANU+s:WR87u3UQl8tefB/PoIUsj23KuU+s

Ein aktuelles Ergebnis der Analyse findet sich hier: http://www.virustotal.com/analisis/ba659b0bd381667eacf1d277776da12582d624189569b8ece500dc71ea696678-1266413900

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1622