+49 22329499921 – Schadsoftware in Fax-Mail (Allgemeines)

Martin Vogel ⌂ @, Dortmund / Bochum, Fri, 29.01.2016, 19:36 (vor 3211 Tagen)

Mein Hochschulmailaccount wird gerade mit Schadsoftware geflutet. Alle Mails haben den Betreff „+49 22329499921“ und stammen angeblich von der Mailadresse „Kopierer@fh-bochum.de“ oder „Kopierer@hs-bochum.de“.

Der Mailtext besteht lediglich aus etwas, das wie eine Hardwareadresse aussieht:

-------------------
CDC 1725_DCC 2725
[00:c0:ee:7a:7f:51]
-------------------

Im Anhang befindet sich eine Datei im stets heiklen Microsoft-Office-Word-Format mit dem Namen „Fax+49 2232949992120160128232732.doc“ und einer Länge von 46.592 Bytes, welche beim Scanner von Virustotal.com gleich mehrere Alarmglocken klingeln lässt:

[image]

Die destruktiven Wordmakros sind diesmal in einer lustigen Mischung aus Latein und Englisch geschrieben. Eine genaue Analyse der Schadfunktion steht noch aus.

Regelmäßige Leserinnen und Leser des Bauforums sind zum Glück ungefährdet, denn sie wissen genau:

[image][image]
Bild: Julius Adam, Zwei Kätzchen im Korb mit blauem Tuch
Bildrechte: Public Domain, Wikimedia Commons

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

pconflictingiroquoian.exe – Angriff auf breiter Front?

Martin Vogel ⌂ @, Dortmund / Bochum, Fri, 29.01.2016, 22:28 (vor 3211 Tagen) @ Martin Vogel

Interessant ist, dass die Mails von unterschiedlichsten Rechnern dieses Planeten stammen:

71.43.183.228 (rrcs-71-43-183-228.se.biz.rr.com) – Time Warner Cable Internet LLC, Herndon, Virginia
200.31.172.194 (net-172-pc194.salnet.net) – M. Torres, San Salvador, El Salvador
177.100.13.41 (Triagem.viacabocom.com.br) – Blue TV, São Paulo, Brasilien
202.51.186.138 (assigned-for-client.adnsl.com) – ADN Telecom Limited, Dhaka,Bangladesh

Schaut man sich die Zeichenkodierung der Worddatei an, könnte man direkt auf die Idee kommen, dass die Urheber auch diesmal in Russland zu finden sein könnten:

[image]

Übrigens: falls jemand die Datei „pconflictingiroquoian.exe“ im Windows-Temporärverzeichnis entdeckt, ist es zu spät und Microsoft Office Word hat das Makro bereits ausgeführt. Den Inhalt des Temporärverzeichnisses kann man sich anzeigen lassen, indem man in die Adresszeile des Windows-Explorers „%TEMP%“ eingibt.

[image]

Die Analyse der EXE-Datei durch Malwr ergibt folgende Auffälligkeiten des vom Makro auf die Platte geschriebenen Programms mit dem langen Namen pconflictingiroquoian.exe:

- Es führt einige HTTP-Anfragen aus, z. B. nach npkstt.ru (81.177.139.53).
- Es hält einen lange laufenden Prozess in Gang, um die Analyse zu verzögern.
- Es späht private Information lokaler Webbrowser aus.
- Es sammelt Informationen zur Identifizierung des Systems (MachineGuid, DigitalProductId, SystemBiosDate).
- Es installiert sich in den Autostart, um bei jedem Hochfahren von Windows aufgerufen zu werden.

Die HTTP-Anfragen nach Russland dienen mutmaßlich dazu, zu einem bestimmten Zeitpunkt weiteren Schadcode nachzuladen.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

RSS-Feed dieser Diskussion
powered by my little forum