Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 1. mars 2010

Trojaner spres via MSN Messenger

Det ble idag observert en orm som sprer seg via MSN Messenger ved å sende ut meldinger som skal lure mottakerene i kontaktlisten til å laste ned og eksekvere trojaneren.

Dersom trojaneren lastes ned og eksekveres vil den forsøke å koble til en IRC-server på buri.burimche.net, port 1234/tcp.

buri.burimche.net resolver i skrivende stund til 88.208.204.56, og denne serveren er fremdeles oppe. Tidligere idag resolvet domenet til 208.98.51.20, som nå er nede.


AS      | IP               | CC | AS Name
46844   | 208.98.51.20     | US | ST-BGP - SHARKTECH INTERNET SERVICES
15418   | 88.208.204.56    | GB | FASTHOSTS-INTERNET Fasthosts Internet Ltd. Gloucester, UK.





Meldingene som sendes via MSN fra infiserte brukere inneholder en link til hxxp://www.facebook-c.com/image.php?Photo023girl.JPG, som inneholder selve trojaneren. Det som også er verdt å merke seg er at meldingene er tilpasset språkoppsettet til den infiserte PC'en, slik at meldinger fra norske Windows-oppsett blir sendt på norsk. Eksempler på meldinger som sendes er:


seen this?? :D http://..
poglej to fotografijo :D http://..
titta på min bild :D http://..
uita-te la aceasta fotografie :D http://..
se på dette bildet :D http://..
ser på dette billede :D http://..
vejte se na mou fotku :D http://..
[...]



hxxp://www.facebook-c.com er hostet hos Yahoo, men vil etter all sannsynlighet bli tatt ned innen kort tid.


www.facebook-c.com.    1200    IN    CNAME    p11-pprr.geo.premiumservices.yahoo.com.
p11-pprr.geo.premiumservices.yahoo.com.    299 IN CNAME sbs-p11p.asbs.yahoodns.net.
sbs-p11p.asbs.yahoodns.net. 300    IN    A    98.136.50.138
sbs-p11p.asbs.yahoodns.net. 300    IN    A    69.147.83.187
sbs-p11p.asbs.yahoodns.net. 300    IN    A    69.147.83.188


Trojaneren er obfuskert med en packer skrevet i Visual Basic, mens selve bot-koden er skrevet i Visual C++. Funksjonaliteten er relativt enkel, men gir bakmennene full kontroll over PC'en:

  • Kommunikasjon med C&C over IRC-protokollen
  • Sending av meldinger via MSN Messenger og Yahoo Messenger
  • Nedlasting og eksekvering av vilkårlige filer


Trojaneren installerer seg under c:\windows\winmbu.exe (skjult med vanlige fil-attributer), legger seg inn i FirewallPolicy som autorisert applikasjon og sørger for automatisk start ved å legge seg inn under HKLM\[..]\Winlogon\Userinit.

Filen detekteres for øyeblikket av 13/41 antivirus-produkter (http://www.virustotal.com/analisis/89c677bc0044864d80244aee8201661e79f431f33c3b164aa778f363fe1cf9da-1267474859)

Lagt inn av Morten Kråkvik kl. 23:50

Ingen kommentarer:

Legg inn en kommentar

Abonner på: Legg inn kommentarer (Atom)
 
>