GVU-Trojaner aka Gimemo (BSI.bund.exe)

Posted on May 17, 2012 by evild3ad

Seit dem 15. Mai treibt eine neue Variante des GVU-Trojaners aka Gimemo ihr Unwesen. Zu den wesentlichen Neuerungen zählen:

- Anhebung des geforderten Lösegeldes von 50 Euro auf 100 Euro
- Ukash als weitere Zahlungsmittel
- Einsatz in weiteren Ländern (Griechenland, Italien – SIAE, Portugal – SPAUTORES, Spanien – SGAE)

GVU-Trojaner aka Gimemo

Achtung: Tätigen Sie keine Zahlung per Paysafecard oder Ukash! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.

Download:
BSI.bund.rar
PW: evild3ad.com


BSI.bund.exe (MD5: D1F3C1EFBC75D4CDC53241D85CBB8CAF)
Submission date: 2012-05-17 07:17:56 UTC
Result: 21/42
Report

Windows XP

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
C:\Dokumente und Einstellungen\evild3ad\Lokale Einstellungen\…
…Temporary Internet Files\Content.IE5\DP3ZWS8V\desktop.ini
…Temporary Internet Files\Content.IE5\DP3ZWS8V\httpErrorPagesScripts[1]
…Temporary Internet Files\Content.IE5\RI8P99W5\background_gradient[1]
…Temporary Internet Files\Content.IE5\RI8P99W5\desktop.ini
…Temporary Internet Files\Content.IE5\RI8P99W5\down[1]
…Temporary Internet Files\Content.IE5\S839LHAY\bullet[1]
…Temporary Internet Files\Content.IE5\S839LHAY\desktop.ini
…Temporary Internet Files\Content.IE5\S839LHAY\errorPageStrings[1]
…Temporary Internet Files\Content.IE5\S839LHAY\ErrorPageTemplate[2]
…Temporary Internet Files\Content.IE5\XKY2PV1E\desktop.ini
…Temporary Internet Files\Content.IE5\XKY2PV1E\dnserrordiagoff_webOC[1]
…Temporary Internet Files\Content.IE5\XKY2PV1E\info_48[1]
…Temporary Internet Files\Content.IE5\XKY2PV1E\navcancl[1]
…Verlauf\History.IE5\MSHist012012051720120518\index.dat

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{QbUUmTWv-vB5o-PUu5-6nzJ-qFZqif61VYcq}\ZZChw4ZycSefR9n = “C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 01000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZZChw4ZycSefR9n = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CachePath
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CachePrefix = :2012051720120518:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CacheLimit = 00200000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CacheOptions = 0B000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ZZChw4ZycSefR9n = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
baueschsux.com (89.208.155.250)
artbaueschsux.com (89.208.155.250)
ajax.googleapis.com

HTTP Requests:
baueschsux.com/partner3_2/redirector/redirector.php (Ransom landing Geo Redirector)
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/index.php
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/fresh_buttons/buttons.css
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/js/keyboard.js
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/bg.gif
artbaueschsux.com/partner3_2/universalpanel/gate.php?hwid=xxx&pc=xxx&localip=xxx&winver=xxx (Aldibot home)
artbaueschsux.com/ajax/libs/jquery/1.3.2/jquery.min.js

GVU-Trojaner

Der eingegebene Code ist ungültig, bitte versuchen Sie es erneut.

Code Eingabe war erfolgreich

Aldi Bot FTW! Sending Ukash Code



Infektionsweg:
Die Verteilung der Malware läuft über das BlackHole Exploit Kit, das den Rechner beim Besuch einer präparierten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit dem GVU-Trojaner (Payload.

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)

Bereinigung des infizierten Systems (bka-trojaner.de):
Anleitung für Windows XP / Vista / 7


BH Admin-Panel

BH statistics

Country

Exploits

OS

Browser

Links:
Gimemo wants to play in the big league

Posted in Deutsch, GEMA-Trojaner, Ransomware | 1 Comment

GVU-Trojaner aka Gimemo (itunes_service01.exe)

Posted on May 5, 2012 by evild3ad

Seit Ende März treibt eine neue Variante des GEMA-Trojaners, auch als Gimemo bekannt, ihr Unwesen im Internet. Sobald die Ransomware (Erpresser-Software) ein System befallen hat, deaktiviert sie den Windows Taskmanager, den Registry Editor und blendet die Desktop-Icons aus. Gleichzeitig erscheint eine bildschirmfüllende Warnmeldung, die auf den angeblichen Fund illegal heruntergeladener Musik hinweist. Für eine vermeintliche Entsperrung des Computers sollen 50 Euo via Paysafecard überwiesen werden.

GVU-Trojaner

Achtung: Tätigen Sie keine Zahlung per Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.

Download:
itunes_service01.rar
PW: evild3ad.com


itunes_service01.exe (MD5: FD3F7AAEF6B290AC4C1D6EBCB36209C9)
Submission date: 2012-05-04 19:37:57 UTC
Result: 22/42
Report

Windows XP

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\itunes_service01.exe
C:\Dokumente und Einstellungen\evild3ad\Lokale Einstellungen\Temp\kitre0.exe (Copy)
C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\…
…Sun\Java\Deployment\cahce\6.0\38\6db61566-27317a3c (Java/Exploit)
…Sun\Java\Deployment\cahce\6.0\38\6db61566-27317a3c.idx
C:\Dokumente und Einstellungen\evild3ad\Lokale Einstellungen\…
…Temporary Internet Files\Content.IE5\HO64030O\buttons[1].css
…Temporary Internet Files\Content.IE5\HO64030O\desktop.ini
…Temporary Internet Files\Content.IE5\HO64030O\index[1].htm
…Temporary Internet Files\Content.IE5\LN32H7RK\desktop.ini
…Temporary Internet Files\Content.IE5\LN32H7RK\index[1]
…Temporary Internet Files\Content.IE5\LN32H7RK\jquery.min[1].js
…Temporary Internet Files\Content.IE5\V44V0N0Z\bg[1].gif
…Temporary Internet Files\Content.IE5\V44V0N0Z\desktop.ini
…Temporary Internet Files\Content.IE5\XXGNJI1R\desktop.ini
…Temporary Internet Files\Content.IE5\XXGNJI1R\index[1].htm
…Temporary Internet Files\Content.IE5\XXGNJI1R\keyboard[1].js
…Verlauf\History.IE5\MSHist012012050520120506\index.dat

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{Bj9oGoDo-wn3q-TS4w-kuRv-OWYzmoDRGxZa}\d31ybB8YFv9cUxg = “C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\itunes_service01.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name = itunes_service01.exe
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID = 195E422A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 01000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d31ybB8YFv9cUxg = C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\itunes_service01.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\itunes_service01.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\itunes_service01.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons = 01000000
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012050520120506\CachePrefix = :2012050520120506:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012050520120506\CacheLimit = 00200000
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012050520120506\CacheOptions = 0B000000
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop = 01000000
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 01000000
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d31ybB8YFv9cUxg = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\itunes_service01.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\itunes_service01.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\itunes_service01.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1400 = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1400 = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1400 = 0

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
joonwalker.com (195.208.185.99)
ajax.googleapis.com

HTTP Requests:
joonwalker.com/unser1/redirector/redirector.php
joonwalker.com/unser1/universalbezahlung/deutschland/fresh_buttons/buttons.css
joonwalker.com/unser1/universalbezahlung/deutschland/js/keyboard.js
joonwalker.com/unser1/universalbezahlung/deutschland/bg.gif
joonwalker.com/unser1/universalpanel/gate.php?hwid=xxx&pc=xxx&localip=xxx&winver=xxx
joonwalker.com/unser1/universalbezahlung/deutschland/index.php
ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js

GVU-Trojaner

Infektionsweg: (z.B. über hxxp://pampa02.com/main.php?page=d73d9795c56f8f33)
Die Verteilung der Malware läuft über das BlackHole Exploit Kit, das den Rechner beim Besuch einer präparierten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit dem GVU-Trojaner (Payload).

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)


6db61566-27317a3c (MD5: d8493067018c8c83710b01684f3f0ba6)
Submission date: 2012-05-06 07:16:50 UTC
Result: 2/42
Report

Bereinigung des infizierten Systems (bka-trojaner.de):
Anleitung für Windows XP / Vista / 7

Erpresser-Schädlinge aus dem Baukasten (DIY Ransomware)
Trojanische Pferde, die den Rechner blockieren und unter einem Vorwand Lösegeld erpressen, tauchen immer häufiger auf. Sie stammen meist aus Baukastensystemen, die in russischen Untergrundforen zu Preisen ab 250 US-Dollar zum Kauf angeboten werden.

Silence WinLocker

bhadmin

Links:
abuse.ch: Ransomware Gets Professional, Targeting Switzerland, Germany And Austria
XyliBox: Silence Winlocker

Posted in Deutsch, GEMA-Trojaner, Ransomware | Leave a comment

Sinowal analysis (Windows 7, 32-bit)

Posted on March 3, 2012 by evild3ad

Sinowal (also known as Torpig or Anserin) is constant one of the top banking trojan all over the world since 2006. So I asked myself, why is there so little info on the web? Just found old articles, that’s why I decided to take a new look at Sinowal.

Sinowal is a spyware trojan that can be used to perform post-authentication man-in-the-middle (MitM) content-manipulation attacks, a fancy way of saying that it can change basically anything sent or received between your browser and any web server in any HTTP session, even those encrypted by TLS/SSL. It’s also been incorporated with a boot sector rootkit known as Mebroot (MAOS).

Distribution
Sinowal is actually distributed by the Blackhole Exploit Kit. A type of crimeware web application developed by who is known under the nickname Paunch. Since its appearance in September 2010, Blackhole Exploits Kit had a very positive insight into the criminal environment.

The Blackhole Exploit Kit (BH) is based on PHP and a MySQL backend and incorporate support for exploiting the most widely used and vulnerable security flaws in order to provide cybercriminals with the highest probability of successful exploitation. The BH typically target versions of the Windows operating system and applications installed on Windows platforms (including Java, Adobe Reader, Adobe Flash Player).

So we need to find live Blackhole Exploit Kits with Sinowal as payload. Let’s visit one of my favorite malware sources:

Blackhole Exploit Kit domainsFig. 1: Blackhole Exploit Kit domains

I searched for ‘Blackhole’ and ‘Sinowal’…we need to find both of them under the same domain name.

Sinowal domainsFig. 2: Sinowal domains

URLqueryFig. 3: Detected Blackhole exploit kit v1.1 HTTP GET request


Infection and Installation
Test Environment
OS: Microsoft Windows 7 Ultimate (32-bit)
Version: 6.1.7600, Service Pack 0
User Account: Admin [administrative privileges]

Please wait page is loading...Fig. 4: Typical message of the Blackhole Exploit Kit so that the victim remains patient while the exploit code executes.

CVE-2011-3544Fig. 5: Java Exploit CVE-2011-3544

Video:

File System Modifications
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\44d64396-156c1837
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\2f3fd5e8-3316ca13 –>Main.class
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U9STA1X5\index[1].htm
C:\ProgramData\Windows\wsse.dll
C:\ProgramData\Windows\dumd.dat
C:\ProgramData\Windows\xdor.dat

SinowalFig. 6: Sinowal files

java.exe (PID 324) Process Create C:\Windows\system32\regsvr32.exe SUCCESS
(PID 2576) Command line: regsvr32 -s “C:\Users\Admin\AppData\Local\Temp\0.46102976370872994.exe”

Deleted FilesFig. 7: Deleted Sinowal files

C:\Users\Admin\AppData\Local\Temp\5d9113da
C:\Users\Admin\AppData\Local\Temp\518ad766
C:\Users\Admin\AppData\Local\Temp\671fa2ee
C:\Users\Admin\AppData\Local\Temp\886d857c

Encrypted ConfigFig. 8: Encrypted config files

Registry Modifications
HKCR\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 “C:\ProgramData\Windows\wsse.dll”
HKCU\Software\Classes\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 “C:\ProgramData\Windows\wsse.dll”
HKEY_USERS\S-1-5-21-3240576276-2792762255-2876033290-1000\ Software\Classes\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 “C:\ProgramData\Windows\wsse.dll”
HKEY_USERS\S-1-5-21-3240576276-2792762255-2876033290-1000\_Classes\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 “C:\ProgramData\Windows\wsse.dll”
HKCR\Directory\Shellex\CopyHookHandlers\MicrosoftCopy “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers\MicrosoftCopy “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKLM\ Software \Classes\Directory\Shellex\CopyHookHandlers\MicrosoftCopy “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit “HKCR\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 “C:\ProgramData\Windows\wsse.dll”
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKEY_USERS\S-1-5-21-3240576276-2792762255-2876033290-1000\ Software\Classes\Directory\Shellex\CopyHookHandlers\Microsoft Copy “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKEY_USERS\S-1-5-21-3240576276-2792762255-2876033290-1000_Classes\Directory\Shellex\CopyHookHandlers\Microsoft Copy “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}”
HKEY_USERS\S-1-5-21-3240576276-2792762255-2876033290-1000\ Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached “{F12BE2CC-A901-4203-B4F2-ADCB957D1887}” […]

StartupFig. 9: Startup

It registers itself as a BHO (Browser Helper Object) in order to monitor the Internet network traffic. This way, it knows which websites are accessed by the user.

BHOFig. 10: Common Browser Hijacking Method

GMERFig. 11: GMER

Sinowal appeared without the Mebroot component.

Network Analysis
Network AnalysisFig. 12: Network Analysis

HTTP object listFig. 13: HTTP object list

System Process ListFig. 14: System Process List is sent to gretqetarqe.eu

gretqetarqe.euFig. 15: gretqetarqe.eu

Successful ExploitationFig. 16: Successful Exploitation…Sinowal is dropped (contacts.exe = 0.46102976370872994.exe = wsse.dll).

TCP ConnectionsFig. 17: TCP Connections including the process names

Embedded German TextFig. 18: Embedded german text (pcap file and wsse.dll).

SpiegelOnline.deFig. 19: Source: www.spiegel.de

rin.jar
File name: rin.jar -> main.class (CVE-2011-3544)
File type: Executable Jar File
File size: 4.05 KB (4148 bytes)
MD5: 97DB22CBB47DD695EB6E8E55D3EA26FA
SHA1: AE378FC9A8C5CA23E67A76826B1C7478E227D4A1
SHA256: 6A218970DAEA9E526F24C53225BD2AC3509FADC94486AE685B4E6865B1845243


Analysis date: 2012-03-02 13:55:21 UTC
Result: 15/43
Report

Download:
rin.rar
PW: evild3ad.com

wsse.dll
File name: wsse.dll
File type: Win32 DLL
File size: 104.0 KB (106496 bytes)
MD5: 391fbe6207a2592e2916422689be8c00
SHA1: 83c6452fd3bea8cd4ea87492b865d609e8a39580
SHA256: 7c1e5b7bd3514ca9773c12c32456d848f28b74789551ad4d701df1671e59d4dd


Analysis date: 2012-02-16 19:24:16 UTC
Result: 10/43
Report

Download:
wsse.rar
PW: evild3ad.com

Links:
XyliBox: An overview of Blackhole exploit kit v1.1.0
Imperva: Deconstructing the Black Hole Exploit Kit
Zscaler Research: Analysis of a Blackhole Exploit page
MDL: Domain name prediction algorithm for Sinowal/Mebroot infection domains
Unmask Parasites: Lorem Ipsum and Twitter Trends in Malware
Krebs on Security: New Java Attack Rolled Into Exploit Kits

Posted in Banking Trojan, English, Malware Forensics, Phishing, Sinowal | 3 Comments

GEMA-Trojaner entfernen (Windows 7)

Posted on January 19, 2012 by evild3ad

GEMA-Trojaner entfernen

1.) Starten Sie den Rechner neu (mit der Reset-Taste oder dem Ein-/Ausschalter) und drücken Sie nach dem BIOS und noch vor dem Windows-Logo die F8-Taste, um in die erweiterten Startoptionen von Windows 7 zu gelangen. Wählen Sie hier dann die Startoption ‘Abgesicherter Modus mit Eingabeaufforderung’ aus.

Abgesicherter Modus mit Eingabeaufforderung.png

Continue reading

Posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Malware Forensics, Ransomware | Leave a comment

GEMA-Trojaner (rx5iur6idx.exe)

Posted on January 15, 2012 by evild3ad

GEMA-Trojaner

Achtung: Tätigen Sie keine Zahlung per Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.

Download:
rx5iur6idx.rar (MD5: 79615c5dc40f4f92e9bcef07267b6d29)
PW: evild3ad.com

Windows 7

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E98REMGL\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3GGLCZX\buttons[1].css
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3GGLCZX\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OKSP015Y\bg[1].gif
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OKSP015Y\jquery.min[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RV2WG3OF\keyboard[1].js
C:\Benutzer\evild3ad\AppData\Local\Temp\~DFA40AE4AC8E18978E.TMP
C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
C:\Benutzer\evild3ad\Desktop\dwlGina3.dll

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{zO6GMBsG-P0Lu-m6zG-Rn2O-mEvWgcvpFNqQ}\Yd92ZRE9ASh2qtG = “C:\Users\Admin\AppData\Roaming\rx5iur6idx.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name = rx5iur6idx.exe
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID = 236BF440
HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASMANCS
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTool, DisableTaskMgr
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced -> HideIcons
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ -> Wert “1400″ auf “0″

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
www.fiftypercentworker.com (87.255.73.20)
ajax.googleapis.com

HTTP Requests:
www.fiftypercentworker.com GET /ref1/gate.php?…
www.fiftypercentworker.com GET /ref1_bezahlung/index.php

GEMA-Trojaner

Funktionalitäten:
- liest die laufenden Prozesse aus
- liest Benutzername und SystemDefaultLangID aus
- übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
- deaktiviert den Windows Task Manager sowie den Windows Registry Editor
- blendet die Icons auf dem Desktop aus

Infektionsweg:
Die Verteilung der Malware läuft laut Microsoft unter anderem über das BlackHole Exploit Kit, das den Rechner beim Besuch einer verseuchten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

Die Verbreitung erfolgt selbstverständlich auch über Links in Spam-Mails, die direkt auf die BlackHole-Server verweisen.

Im Zeitraum von Juli bis November 2011 hat Microsoft allein eine Variante des sogenannten BKA-Trojaners auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn hier nur jeder zehnte User auf den Schwindel herein gefallen ist und die 100 Euro bezahlt hat, könnte die Beute der Cyberkriminellen immerhin 250.000 Euro betragen. Da Microsoft aber nicht der einzige AV-Hersteller auf dem deutschen Markt ist und es bei Nutzern von Avira, Kaspersky und Co. auch Opfer gibt, multiplizieren wir die vermeintliche Beute einfach nochmal mit dem Faktor 10 auf lukrative 2.500.000 Euro.

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)




rx5iur6idx.exe (MD5: 79615c5dc40f4f92e9bcef07267b6d29)

Submission date: 2012-01-12 08:50:24 UTC
Result: 0/43 (0.0%)
Report

Posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Malware Forensics, Ransomware | Leave a comment