Security

Ein „Paket-Virus“ analysiert

Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!

Alles beginnt mit einer Email, die ich angeblich von „USPS“, der US-amerikanischen Post, erhalten habe. Darin werde ich aufgefordert auf ein Bild zu klicken:

Email

Da ich solchen Emails, GMail hat diese schon in den Spam-Ordner befördert, nie vertraue habe ich mir die Nachricht etwas genauer angesehen:

...
Received: from emplenaf by ns1.icontrole14.net with local (Exim 4.80)
	(envelope-from )
	id 1TTchm-00082A-AN
	for [meine Email-Adresse]; Wed, 31 Oct 2012 16:07:54 -0200
...
Subject: USPS delivery refuse ID#83469
From: "USPS Express Services" 
X-Mailer: Achi-KochiMailLitever1.00
...
X-Get-Message-Sender-Via: ns1.icontrole14.net: authenticated_id: emplenaf/only user confirmed/virtual account not confirmed
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php 
X-Source-Dir: emplenaforma.com.br:/public_html
...
<html>
<body>
<a href="http://www.noguerasa.es/[Pfad zu Virus entfernt]"><img style="width: 466px; height: 646px;" alt="" src="http://www.noguerasa.es/SAGIPRXWJT.jpg"></a>
<p style="color: #FFFFFF;">Bestial thoughts crystallize into habits of drunkenness and sensuality, which solidify into circumstances of destitution and disease: impure thoughts of every kind crystallize into enervating and confusing habits, which solidify into distracting and adverse circumstances: thoughts of fear, doubt, and indecision crystallize into weak, unmanly, and irresolute habits, which solidify into circumstances of failure, indigence, and slavish dependence: lazy thoughts crystallize into habits of uncleanliness and dishonesty, which solidify into circumstances of foulness and beggary: hateful and condemnatory thoughts crystallize into habits of accusation and violence, which solidify into circumstances of injury and persecution: selfish thoughts of all kinds crystallize into habits of self-seeking, which solidify into circumstances more or less distressing.
</p>
<p style="color: #FFFFFF;">
These medals, which were given out to the poor each day in the halls where they worked, by the steward, or by the inspectors of the hall, served to prevent frauds in the distribution of the bread; the person who distributed it being obliged to produce them as vouchers of the quantity given out each day.Those who had received these portions of bread, held them up in their hands upon their coming into the dining-hall, as a sign that they had a right to seat themselves at the tables; and as many portions of bread as they produced, so many portions of soup they were entitled to receive; and those portions which they did not eat they were allowed to carry away; so that the delivery of bread was a check upon the delivery of soup, and VICE VERSA. The kitchen was fitted up with all possible attention, as well to conveniences, as to the economy of fuel. 
</p>
<p><span style="color: #FFFFFF;">She took a street car to the suburbs, and then, with directions from the driver, set out to find the house of Mr.Bordine, which she had never visited. She went to the front door and rung the bell. No answer was vouchsafed, and concluding that no one was at home, Rose turned to retrace her steps, when she espied a summer-house at a little distance, from which the murmur of voices proceeded. It was the voice of a woman, and involuntarily the steps of Rose Alstine halted. Could that be her lovers mother thus addressing her son? The girl was too deeply excited to notice that the name uttered was not that of her lover. Rose shuddered and grew white, yet she dared not advance, dared not interrupt the scene presented to her gaze. Eavesdropping was foreign to her nature, yet at that moment it was not in her power to recede, and so she was held in her tracks--compelled to listen to words that rent her heart like death itself. My dear, you wrong me when you imagine that I care for any one but you. 
</span></p>
</body>
</html>

Im From-Feld wird angegeben, dass die Email von der Adresse our-customers@usa-usps.com stammt, jedoch stammt die Nachricht eigentlich von der Adresse emplenaf@ns1.icontrole14.net. Das ist schon einmal nicht sehr vertrauenserweckend.

Received: from emplenaf by ns1.icontrole14.net with local (Exim 4.80)
(envelope-from <emplenaf@ns1.icontrole14.net>)

Die Email wurde mit PHP verschickt, und der Server war auch so freundlich den Pfad am Server in einem Header preiszugeben:

X-Source-Dir: emplenaforma.com.br:/public_html

Die Domain emplenaforma.com.br gehört einer gewissen Vanessa I. aus Brasilien, leitet Anfragen jedoch auf den Server ns1.icontrole14.net in den USA um.

Der Text der Email enthält augenscheinlich Text, der von irgendwoher kopiert wurde und in weißer Schrift Mailserver täuschen soll. Der erste Teil stammt aus dem Buch „Essays, Political, Economical, and Philosophical, Band 1“ und der zweite Teil aus „Five Thousand Dollars Reward“.

Das Bild ist ein Link auf eine kryptische Seite mit der Endung .html auf http://www.noguerasa.es. Die Domain gehört einer spanischen Firma für Metallverarbeitung. Dort bekommt man vom Server folgende Antwort:

<html>
<body>
<script language="JavaScript">
<!--
window.location="[entfernt].zip";
//-->
</script>
</body>
</html>

Der Besucher wird sofort auf eine zip-Datei umgeleitet und diese vom Browser zum Download angeboten. Der fehlende Doctype Vorgang ist für einen serösen Anbieter natürlich sehr unwahrscheinlich.

Im Archiv befindet sich eine auführbare Datei mit dem selben Namen, wie das Archiv selbst. Virustotal bescheinigt mir, dass es sich dabei um einen Virus handelt. Als Icon verwendet die Datei das PDF-Symbol und lädt damit den unbedarften Benutzer zum Öffnen ein.

Die Datei gibt an, bereits am 19.06.1992 um 22:22:17 erstellt worden zu sein, was sich aber wahrscheinlich auf ein falsch eingestelltes Datum zurückführen lässt. Der Prozess bedient sich laut Virustotal an den folgenden Aufrufen:

[[advapi32.dll]]
RegOpenKeyExA, RegQueryValueExA, RegCloseKey

[[kernel32.dll]]
GetStdHandle, EnterCriticalSection, FreeLibrary, ExitProcess, GetThreadLocale, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, GetLocaleInfoA, LocalAlloc, UnhandledExceptionFilter, GetCommandLineA, RaiseException, GetModuleHandleA, WriteFile, GetCurrentThreadId, LocalFree, InitializeCriticalSection, VirtualFree, TlsGetValue, TlsSetValue, GetVersion, VirtualAlloc, LeaveCriticalSection

[[comdlg32.dll]]
FindTextW

[[ole32.dll]]
WriteFmtUserTypeStg

[[user32.dll]]
MessageBoxA, GetKeyboardType

Eine Analyse mit dem Linux-Programm strings sagt mir, dass der Virus in Delphi erstellt wurde:

...
<assemblyIdentity
	type="win32"
	name="DelphiApplication"
	version="1.0.0.0"
	processorArchitecture="*"/>
...

Durch eine Analyse mit Anubis habe ich weitere Details herausgefunden. So wird zum Beispel als Ablenkungsmanöver notepad.exe gestartet, um vorzutäuschen, dass es sich um ein normales Programm handelt. Im Hintergrund wird jedoch die eigentlich Malware von der Domain fihjh.ibbuhnw.tk heruntergeladen.

Auf diesen Server zeigt auch noch eine ukrainische Domain, gehostet wird der Server jedoch in Deutschland.

Als User-Agent wird dabei Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; Trident/5.0);(b:2600;c:INT-3360;l:07) verwendet.

Dabei wird auch die Datei hhdtdvkc.exe angelegt und einige Registry-Keys verändert.

Zuerst wird über eine API auf einem anderen Server, der in Hongkong steht, die bei mir jedoch einen Fehler 404 zurückgiebt, die URL des Downloads abgefragt, und dann der Virus update.exe von fihjh.ibbuhnw.tk heruntergeladen. Noch während ich die Adressen auf dem Server untersuchte verschwand die Domain und gab mir ab 01.11 18:45 nur mehr eine “Domain nicht gefunden”-Meldung zurück.

Über die IP-Adresse konnte ich die exe-Datei gerade noch herunterladen. Am Server werden die Log-Dateien wohl von jemanden beobachtet, der meine Anfragen zurecht als verdächtig eingestuft hat. Die Seite ist jedenfalls auf einem Server in der Ukraine gehostet.

Auch diese Datei habe ich wieder mit Anubis analysieren lassen. Dieses mal werden die Dateien C:\439687.bat, C:\WINDOWS\system32\dfrgnet.dll und C:\file.exe angelegt. Außerdem schreibt der Virus in den Speicherbereich von explorer.exe.

Mit dem Aufruf cmd /c ""C:\439687.bat" "C:\file.exe"" werden die Attribute für Schreibschutz, Verstecktheit und Systemdatei entfernt und anschließend gelöscht.

Laut Virustotal lautet der originale Dateiname DRWEB32.EXE, was das Programm wohl als Rogue-Antivirus tarnen soll.

Registrierung

Was genau das Programm an dieser Stelle ausführt und mit dem Computer als Opfer anstellt, kann ich an dieser Stelle, ich bin kein Experte für Computerforensik, leider nicht feststellen.

Wenn Sie sich dafür interessieren können Sie die Ergebnisse der Analysen hier herunterladen: