Evild3ad

BKA-Trojaner: Ihr Internet Service Provider ist blockiert

Posted on May 3, 2013 by evild3ad

Der BKA-Trojaner ist zurück! → Revoyem DE 2013-05

Seit Mitte März wird die neue Ransomware-Familie Revoyem via Drive-By-Downloads auch in Deutschland verteilt.

Sobald die Ransomware ein System befallen hat, wird der Computer gesperrt und es erfolgt eine bildschirmfüllende Einblendung mit einem angeblichen Logo des deutschen Bundeskriminalamtes (Pressestelle). Die bildschirmfüllende Einblendung beinhaltet, neben einem funktionierenden Webcam-Fenster, vier Bilder mit kinderpornografischem Inhalt, die auch auf den Opfer-Rechner heruntergeladen werden. In der Einblendung wird dem Opfer mit einer entsprechenden Strafe gedroht, wenn nicht ein Lösegeld in Höhe von 100 Euro via Ukash oder Paysafecard bezahlt wird.

Hinweis: Das Bundeskriminalamt ist nicht Urheber der Meldung! Lassen Sie sich von der Einblendung und der Behauptung, dass „die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt“ worden sei, nicht einschüchtern und zu einer vermeintlichen Geldstrafe drängen.

Revoyem.exe (MD5: 06f041771579b59fc684d2f856040d18)
Submission date: 2013-05-03 11:00:44 UTC
Result: 23/45
Report

Download:
Revoyem.rar

Windows 7

Account Name: evild3ad | Account Type : Administrator

File System:
C:\Users\evild3ad\Desktop\Revoyem.exe

Injects svchost.exe or ctfmon.exe and executes C:\windows\system32\dllhost.exe

Registry:
It creates the following registry entries to allow it to automatically run every time Windows starts:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
→ Userinit = “C:\Windows\system32\Userinit.exe,C:\Users\evild3ad\Desktop\Revoyem.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sysyem Cleaner = C:\Users\evild3ad\Desktop\Revoyem.exe

DNS Requests:
craigtropgr.biz (5.45.179.149:80) → killed on May 05, Thx to @_MDL_
ajax.googleapis.com
google.com
shell.view

HTTP Requests:
GET /gate/in.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&os=6.1×32&bot_id=xxxxxx (Check-in)
GET /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Geo-Redirector → Landing Page)
POST /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Voucher Code wird übertragen)

Downloaded Files:
C:\Users\evild3ad\AppData\Local\Microsoft\Windows\
…Temporary Internet Files\Content.IE5\4V4ZS2LR\2[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\4V4ZS2LR\bg-btn-sprite[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\dotted-small[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\esso[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\index[1].htm
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.jscrollpane[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.min[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\kash[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\omv[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\style-custom[1].css
…Temporary Internet Files\Content.IE5\4V4ZS2LR\total[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\4[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box-bottom[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box[1].jpg
…Temporary Internet Files\Content.IE5\5PMS9JJZ\epay[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\logo[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\rossmann[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\webcam[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\westfalen[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\3[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\L9RCJ6E3\aral[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-html[1].jpg
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-li[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\charge[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\dotted-copy[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\func[1].js
…Temporary Internet Files\Content.IE5\L9RCJ6E3\netto[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\oder[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\1[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\S8Y952LI\agip[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\all[1].css
…Temporary Internet Files\Content.IE5\S8Y952LI\arrow[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\avia[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\bg-track[1].gif
…Temporary Internet Files\Content.IE5\S8Y952LI\dotted[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\jquery.mousewheel[1].js
…Temporary Internet Files\Content.IE5\S8Y952LI\paysafe[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\shell[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\x[1].jpg

Links:
Bundeskriminalamt warnt vor einer neuen Variante von digitaler Erpressung
Botnets.fr - Revoyem
Revoyem entfernen

Posted in BKA-Trojaner, Deutsch, Ransomware | Leave a comment

HitmanPro.Kickstart vs. Ransomware

Posted on December 14, 2012 by evild3ad

HitmanPro.Kickstart ist eine sehr gute Lösung zur Bekämpfung von Ransomware (z.B. BKA-Trojaner, GVU-Trojaner), die insbesondere auch vom Standard-Anwender problemlos zur Systembereinigung genutzt werden kann. Der Anwender muss lediglich seinen Computer über einen frisch mit HitmanPro erstellten USB-Stick starten. Die Programme auf dem Speicherstick gewährleisten, dass ein Start in das gewohnte Windows-System erfolgt und HitmanPro in diesem automatisch gestartet wird. Alle erforderlichen Treiber inklusive WLAN-Kennwort stehen somit problemlos zur Verfügung. Manuelle Arbeitsschritte, etwa eine Bearbeitung der Registry, sind hier nicht erforderlich.

Hinweis: Die Systembereinigung sollte nur der Freischaltung des Rechners dienen. Nach einer Datensicherung sollte der Rechner auf jeden Fall neu aufgesetzt werden, da die Sicherheitseinstellungen des Betriebssystems und des Browsers von der Ransomware verändert worden sind. In der Regel werden vom AV-Programm nur das Executable und der Autostart-Eintrag entfernt.

1.) Laden Sie sich HitmanPro von einem sauberen Rechner herunter. Wählen Sie hierzu die passende Version, um sie auf diesem Rechner starten zu können:
HitmanPro (32-bit)
HitmanPro (64-bit)

2.) Starten Sie nun HitmanPro auf diesem Rechner und klicken Sie auf das Kickstart-Symbol.

3.) Folgen Sie nun den Anweisungen von HitmanPro.Kickstart und halten Sie Ihren freien (!) USB-Stick bereit.

4.) Um HitmanPro.Kickstart zu testen, habe ich meinen Test-PC mit der Ransomware “Reveton” infiziert.

5.) Schließen Sie nun den USB-Stick an Ihren infizierten Computer an und schalten ihn anschließend ein. Falls der PC nicht automatisch vom USB-Stick startet, müssen Sie die Bootreihenfolge im BIOS ändern.

Hinweis: Zum Aufrufen des Bootmenüs muss dann, je nach Computerhersteller, die Taste F8, F11 oder F12 gedrückt werden. Achten Sie auf die Texteinblendungen Ihres BIOS.

Bootet man vom USB-Stick, so erscheint zunächst folgendes Auswahlmenü:

6.) Hier kann man wählen, ob HitmanPro.Kickstart den Master Boot Record (MBR) Ihrer Festplatte überspringen soll (default = Standardeinstellung) oder der originale MBR Ihrer Festplatte verarbeitet werden soll. In der Regel müssen Sie hier die Taste 1 drücken. Option 2 ist nur zu verwenden, wenn ein benutzerdefinierter Bootloader, beispielsweise Grub, auf Ihrer Festplatte installiert ist.

Nach ca. 3 Sekunden wird der Start von der Festplatte aus fortgesetzt und Windows gestartet.

7.) Folgende Windows-Fehlermeldung kann erscheinen, wenn Sie beispielsweise Ihren PC aufgrund der Ransomware nicht ordnungsgemäß heruntergefahren haben. Dies hat jedoch keinerlei Auswirkungen auf HitmanPro.Kickstart.

8.) Wenn Windows gestartet wurde, wird entweder das Fenster zur Anmeldung des Benutzers eingeblendet (nicht anmelden!) oder auch automatisch der Desktop geladen, falls das System für die automatische Anmeldung konfiguriert ist. Warten Sie jeweils bis HitmanPro.Kickstart automatisch gestartet wird.

Klicken Sie auf „Weiter“, um nach Schadsoftware zu suchen.

9.) Wir empfehlen, den Scan ohne Installation auszuführen.

10.) Während HitmanPro Ihren PC freischaltet, können Sie sich erstmal zurücklehnen.

11.) Wird Schadsoftware auf dem Computer erkannt, dann wird bereits während des Scans eine entsprechende Meldung angezeigt.

Links:
SurfRight: HitmanPro
HitmanPro.Kickstart - Bedienungsanleitung
HitmanPro.Kickstart - Häufig gestellte Fragen

Posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Ransomware, Systembereinigung | 1 Comment

JSDetox - A javascript malware analysis tool

Posted on November 3, 2012 by evild3ad

Die Verbreitung von Schadsoftware erfolgt heute meist nicht mehr über Dateianhänge in dubiosen E-Mails, sondern über das Web mittels sogenannter Drive-By-Downloads. Online-Kriminelle kompromittieren Webseiten oder mieten irgendwo auf der Welt einen Server an und halten dort ihren Schadcode bereit. All dies ist mittels anonymer Bezahldienste und auch über Standard-Bezahldienste, wie PayPal, mittels Eingabe von Fake-Daten problemlos möglich. Es werden dann präparierte Webseiten sowie Werbebanner in jeglicher Form genutzt, um die Besucher mittels speziellen JavaScript Code zu einem Exploit Kit (z.B. Blackhole Exploit Kit) umzuleiten. Hier wird dann der Browser auf verschiedene Lücken in den Plugins, wie Java, Adobe Reader oder Adobe Flash Player abgeklopt und meistens auch infiziert. Dies geschieht nicht nur im File-Sharing Bereich, bei werbefinanzierten Porno-Seiten sondern auch auf ganz normalen Webseiten. Die Täter versenden außerdem Spam-Mails mit direkten Links zu diesen Seiten und optimieren diese für Suchmaschinen. Wer den Links folgt, kann sich dann schnell und unbemerkt ein Trojanisches Pferd auf den Rechner holen.

Um den eigentlichen Ursprungsort des Angriffs zu verschleiern, gehen die Online-Kriminellen mehrstufig vor. Zum einen betten sie in gehackten Webseiten oder infizierten Werbebannern keine Links im Klartext ein, sondern codieren URLs über lange Zeichenketten (Spaghetti-Code), die ein Java- oder ActionScript erst wieder zur Laufzeit zusammenbaut – oft ist sogar das Skript selbst noch codiert. Zum anderen werden mehrfache Umleitungen (Redirections) genutzt, um den Browser über mehrere Sprünge zum eigentlichen Schadcode zu führen. Das alles hat den Zweck, sowohl Anwender als auch Webseitenbetreiber und sogar Antivirenspezialisten in die Irre zu führen und ihnen die Arbeit zu erschweren. Glücklicherweise gibt es Tools respektive Dienste, die den so gut wie unlesbaren JavaScript Code in einen mehr oder minder verständlichen Code zurückführen können.

Alte Bekannte wie Malzilla und Jode oder Dienste wie Wepawet und jsunpack haben Verstärkung bekommen!

Installation unter Ubuntu 12.04 LTS:
Wie bei jedem Tool, dass mit maliziösen oder unbekannten Code umgeht, sollte die Installation in einer isolierten virtuellen Umgebung (z.B. mit VirtualBox und/oder DeepFreeze) erfolgen.

$ sudo apt-get install ruby1.9.1 ruby1.9.1-dev libxslt1-dev libxml2-dev build-essential git
$ sudo gem install bundler
$ cd #Ziel-Verzeichnis#
$ git clone https://github.com/svent/jsdetox.git
$ cd jsdetox
$ sudo bundle install

JSDetox starten:
$ cd jsdetox
$ ./jsdetox
Browser starten: http://localhost:3000/

(Strg + C zum Beenden)

Update:
cd #jsdetox-Ordner#
git pull
sudo bundle install

Analysis | JSDetox

Links:
JSDetox - Project Website
JSDetox - Documentation
JSDetox - Screencasts

Posted in Deobfuscation, Deutsch, JavaScript | Leave a comment

Analysis of Tobfy (Ransomware)

Posted on September 30, 2012 by evild3ad

-In Progress-

Tobfy is a ransomware that prevents you from accessing your desktop by covering the desktop with a certain image.

Note: The image contains fake instructions and misleading information about a ransom that you need to pay to regain control of your computer. The image misleadingly invokes legal authorities in an attempt to convince you to pay the ransom.

Download:
Tobfy.rar
PW: evild3ad.com

Tobfy.exe (MD5: E3C0228E50C72531658FACA2D3E0A786)
Submission date: 2012-09-29 14:04:58 UTC
Result: 26/42
Report

Windows 7

Account Name: evild3ad | Account Type : Administrator

File System:
C:\Users\evild3ad\Desktop\Tobfy.exe

Dropped Files:
C:\Documents and Settings\evild3ad\Local Settings\…
…Temporary Internet Files\Content.IE5\3FZRZ9KZ\lightformtop[1].png
…Temporary Internet Files\Content.IE5\3FZRZ9KZ\rightpink[1].png
…Temporary Internet Files\Content.IE5\3FZRZ9KZ\style[1].css
…Temporary Internet Files\Content.IE5\3FZRZ9KZ\ukash[1].png
…Temporary Internet Files\Content.IE5\5B7NHQO2\get[1].htm
…Temporary Internet Files\Content.IE5\5B7NHQO2\leftpink[1].png
…Temporary Internet Files\Content.IE5\5B7NHQO2\lightformbottom[1].png
…Temporary Internet Files\Content.IE5\5B7NHQO2\lightformright[1].png
…Temporary Internet Files\Content.IE5\5B7NHQO2\psk_logos[1].png
…Temporary Internet Files\Content.IE5\L1ZDGPDD\downheader[1].jpg
…Temporary Internet Files\Content.IE5\L1ZDGPDD\epay[1].png
…Temporary Internet Files\Content.IE5\L1ZDGPDD\lightformleft[1].png
…Temporary Internet Files\Content.IE5\L1ZDGPDD\tankstellen[1].png
…Temporary Internet Files\Content.IE5\LLFPAG1G\downborderpink[1].png
…Temporary Internet Files\Content.IE5\LLFPAG1G\logos[1].png
…Temporary Internet Files\Content.IE5\LLFPAG1G\paysafecard[1].png

Registry:
It creates the following registry entry to allow it to automatically run every time Windows starts:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Sets value: “(default)”
With data: “malware file path”

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal is renamed to HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\mini
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network is renamed to HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\net

DNS Requests:
nutrimedic.com.uy (200.40.50.170:80)

HTTP Requests:
GET /images/get.php
GET /images/first/DE/files/tankstellen.png
GET /images/first/DE/files/style.css
GET /images/first/DE/files/epay.png
GET /images/first/DE/files/logos.png
GET /images/first/DE/files/ukash.png
GET /images/first/DE/img/leftpink.png
GET /images/first/DE/files/paysafecard.png
GET /images/first/DE/files/psk_logos.png
GET /images/first/DE/img/rightpink.png
GET /images/first/DE/img/lightformleft.png
GET /images/first/DE/img/lightformtop.png
GET /images/first/DE/img/lightformright.png
GET /images/first/DE/img/lightformbottom.png
GET /images/first/DE/img/downborderpink.png
GET /images/first/DE/img/downheader.jpg

Conclusion:
- There is no encryption of your files
- Enter a Fake Voucher Code to unlock your computer (e.g. Ukash: 633718 + whatever you want - 19 digits!)
- Wait a few minutes (max 10 minutes)
- Restart your computer (when the windows background image appears)

Links:
Malware-lu: Analysis of Ysreef (a variant of Tobfy)
Tobfy - Germany (Ransom Trojan) - 04.07.2012 - Analysis and Removal