Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Gefälschte Ebay Nachricht mit Trojaner im Gepäck (https://www.dedies-board.de/wbb2/thread.php?threadid=837)

Geschrieben von DerBilk am 12.09.2005 um 18:19:

Achtung Gefälschte Ebay Nachricht mit Trojaner im Gepäck

Dieser Trojaner tarnt sich, ähnlich wie seine Vorgänger, als Rechnung – diesmal von Ebay. Der 11.213 Bytes große Trojaner mit mittlerweile wieder einmal diversen Namen hat nach ersten Überprüfungen keine eigene Versandroutine, sondern wurde direkt versendet. Sein Ziel ist es, von verschiedenen Webseiten einen Peer-To-Peer-Wurm auf den befallenen Rechner herunterzuladen. Zum gegenwärtigen Zeitpunkt befindet sich dieser Peer-To-Peer-Wurm noch in der genauen Analyse der Antivirenspezialisten.

Die angebliche Ebay-Rechnung hat folgende Merkmale:

Von: kundensupport'at'ebay.de
Betreff: 7 Tage bis Ihre Kontosperrung
Dateianhang: Ebay-Rechnung.pdf.exe

Hier ein paar Auszüge aus der Symantec-Analyse:
Zitat:
Payload:
Downloads and executes remote files on the compromised computer.
Payload:
Lowers security on the compromised computer by modifying internet
security settings.

Symptoms
- --------
Presence of the following files:
%System%\ipwf.exe
%System%\drivers\winut.dat
ebay-rechnung.pdf.exe

Presence of the following registry entries: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"IPFW" =
"%System%\ipwf.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\"WindowsShell
" = "1"

Technical Description
- ---------------------
Renamed from Trojan.Downloader.UC

Trojan.Schoeberl is a Trojan horse that downloads and executes remote
files.

This threat was spammed out by email as an attachment with the name
ebay-rechnung.pdf.exe

Once executed, the Trojan creates a copy of itself as %System%\ipwf.exe.

The Trojan also drops the file %System%\DRIVERS\winut.dat

The Trojan then creates the following registry entries so that it runs
every time Windows starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"IPFW" =
"%System%\ipwf.exe"

The Trojan also creates the following registry entries to add itself to
the Internet Connection Firewall bypass list:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"

Next, the Trojan attempts to download a text file from the following
URLs:
AUS SICHERHEITSGRÜNDEN EDITIERT !

The text file contains encrypted URLs.

Next, the Trojans decrypts the URLs and saves them to the following file:
%System%\drivers\winut.dat

The Trojan the attempts to connect to the URls and download execute a
file.
At the time of writing the file downloaded is W32.Starimp (MCID 5800)

Next, the Trojan ends processes having one of the following name, some of
which may be security-related:
ZAPRO
zonealarm
armor2net
tpfw
NPROTECT
MpfService
kpf4gui
kpf4ss
firewall
ccapp
amon

Finally, the Trojan creates the following registry entry to store its
status: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\"WindowsShell
" = "1"


Quelle: Symantec
URL zur Zeit noch nicht erreichbar...


Geschrieben von cronos am 12.09.2005 um 19:48:

 

Dann mal hier die Analyse von Trendmicro, da verbirgt sich doch einiges hinter:

*klick*

Edit: Trendmicro hat ihn auch umbenannt, von WORM_RECHNUNG.A in WORM_GOLDUN.A


Geschrieben von DerBilk am 12.09.2005 um 20:19:

 

Hi cronos,

eigentlich ist es zwar nicht wirklich wichtig, aber imho handelt es sich um 2 versch. Malwarevarianten...


Geschrieben von cronos am 12.09.2005 um 20:41:

 

Tatsächlich hast du, wenn man es genau nimmt Recht. Petzauge
Der eigentliche Trojaner ist folgender:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FYABE%2EA&VSect=P

Allerdings läd dieser dann andere Komponenten nach, die dann zu einer Infektion mit Goldun führen.


Geschrieben von DerBilk am 12.09.2005 um 20:47:

smile

Aah jetzt ja. Petzauge
Jetzt habe ich den Zusammenhang wieder gefunden.
Danke, cronos!


Geschrieben von cronos am 12.09.2005 um 20:53:

 

War ja richtig , dass du da nachgehakt hattest.
Da ich ja nur das Endergebnis beschrieb und nicht den Infektionsherd.
Und das sind ja tatsächlich 2 verschiedene Kisten großes Grinsen


Geschrieben von soul115 am 12.09.2005 um 21:17:

 

Hallo,

was ich mich bei solchen Sachen immer wieder frage: Spricht es sich wenigstens irgendwann in kleines bisschen herum, wie leicht sich solche E-Mails enttarnen lassen grübeln

- Der Betreff:

Zitat:
7 Tage bis Ihre Kontosperrung

... tolles Deutsch Augen rollen

- Die Anrede:

Zitat:
Hallo sehr geehrter Ebay Nutzer

... dazu aus einer Original-eBay-Nachricht:

Zitat:
eBay hat diese Mitteilung an Bernd XXeditiertXX (soul115) gesendet. Ihr Vor- und Nachname in dieser Mitteilung sind ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt.


- Die Umlaute:

Zitat:
Wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von ...

... aus einer Original-eBay-Nachricht:

Zitat:
Herzlichen Glückwunsch, der Artikel gehört Ihnen.

Wer klickt bei sowas, und darüber hinaus womöglich auch noch im Wissen, gar keine offene Rechnung zu haben, auf einen Dateianhang dumm


Geschrieben von DerBilk am 12.09.2005 um 21:25:

 

Hallo Bernd,

wenn alle mit soviel 'Gripps' surfen würden wie Du, dann wäre ein Forum wie dieses überflüssig. Deswegen machen sich viele Leute keine Gedanken darüber, was sie eigentlich lesen... fröhlich

Ich wette, es gibt auch reichlich Anwender, die nicht einmal ein Konto bei Ebay haben und trotzdem
den Link anklicken. dumm

Gruß,
Lutz


Geschrieben von DerBilk am 12.09.2005 um 21:37:

 

Wenn ich mir allerdings die gut versteckte Warnung bei Ebay anschaue, dann wird es sprachlich auch nicht wesentlich besser...

Zitat:
Montag, 12. September 2005 | 13:58 Uhr MEZ

Liebe eBay-Mitglieder,

derzeit kann es leider vorkommen, dass Sie per E-Mail eine gefälschte Zahlungsaufforderung erhalten, die vorgibt, von eBay gesendet worden zu sein.

Diese E-Mails werden jedoch nicht von eBay versendet.

Die gefälschten Zahlungsaufforderungen haben beispielsweise den Betreff „Ihre Gebühren“ und den Absender „eBay Collection“ oder „eBay Finance“. Zumeist ist meist eine Rechnung im pdf-Format als Anhang enthalten und sie werden gebeten einen Betrag z. B. 80,74 DO 752 EUR gemäß… innerhalb von 5-7 Tagen zu zahlen.

Bitte beachten Sie, dass eBay keine Rechnungen als Anhang im pdf-Format sendet. Öffnen Sie den Anhang bitte nicht.

Bitte leiten Sie uns diese gefälschten E-Mails an spoof'at'ebay.de weiter.

Alle wichtigen E-Mails, Ihr eBay-Mitgliedskonto betreffend, finden Sie auch in „Meine Nachrichten“ in „Mein eBay“. So können Sie überprüfen, ob eine E-Mail wirklich von eBay gesendet wurde

Danach können Sie die E-Mail löschen. Ändern Sie bitte auch zur Sicherheit Ihr Passwort bei eBay. Weitere Informationen zum Thema gefälschte E-Mails finden Sie im eBay-Sicherheitsportal.

Vielen Dank für Ihre Mithilfe.

Freundliche Grüße

Ihr eBay-Team


Quelle: Ebay