GEMA-Trojaner 2 (ActiveX32_64lo.exe)

GEMA-Trojaner
Achtung: Tätigen Sie keine Zahlung per Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.
GEMA-Trojaner
GEMA-Trojaner Download: (Thx to rkhunter)
GEMA-Trojaner2.rar (MD5: 2e7f80a3b05a038915985e5a8021e4d4)
PW: evild3ad.com

Windows 7

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1T30MVXC\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1T30MVXC\index[2].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\35GYE11Q\6540321325490242[1].mp3
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\35GYE11Q\bg[1].gif
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\51AHU6XV\buttons[1].css
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CLHS5NP1\jquery.min[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CLHS5NP1\keyboard[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Temp\bcktemp0212.tmp
C:\Benutzer\evild3ad\AppData\Local\Temp\~DFFD55867AA4D33736.TMP
C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64lo.exe
C:\Benutzer\evild3ad\Desktop\dwlGina3.dll
C:\Windows\System32\drivers\etc\hosts Download

Wichtigster Unterschied zur ersten Version ist die Manipulation der Hosts-Datei. Diese wird dahingehend abgeändert, dass u.a. alle Anfragen bezüglich AV-Hersteller und Microsoft an “127.0.0.1” umgeleitet werden. Dies hat zur Folge, dass z. B. keine Virendefinitionen mehr aktualisiert werden und auch die Microsoft-Updates nicht funktionieren.

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{JJhOKXSl-ZUWD-ubpK-1idX-wzG4eyU41q1K}\olmwKSKlNdgCU6b = “C:\Users\Admin\AppData\Roaming\ActiveX32_64lo.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64lo.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64lo.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64lo.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64lo.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTool, DisableTaskMgr
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced -> HideIcons
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ -> Wert “1400″ auf “0″

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
www.fuehlediebezahlung.com (87.255.73.20)
www.fuehlediecon.com (87.255.73.20)
www.uploadmusic.org (96.9.189.82)
ajax.googleapis.com

HTTP Requests:
www.fuehlediecon.com GET /wasgehtalter_panel/gate.php?…
www.fuehlediebezahlung.com GET /wirbrauchenbass_bezahlung/index.php
www.uploadmusic.org GET /MUSIC/6540321325490242.mp3

Wireshark1 Wireshark2 Wireshark3

Funktionalitäten:
- liest die laufenden Prozesse aus
- liest Benutzername und SystemDefaultLangID aus
- übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
- modifiziert die Hosts-Datei
- deaktiviert den Windows Task Manager sowie den Windows Registry Editor
- blendet die Icons auf dem Desktop aus

Infektionsweg:
Die Verteilung der Malware läuft laut Microsoft unter anderem über das BlackHole Exploit Kit, das den Rechner beim Besuch einer verseuchten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

Die Verbreitung erfolgt selbstverständlich auch über Links in Spam-Mails, die direkt auf die BlackHole-Server verweisen.

Im Zeitraum von Juli bis November 2011 hat Microsoft allein eine Variante des sogenannten BKA-Trojaners auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn hier nur jeder zehnte User auf den Schwindel herein gefallen ist und die 100 Euro bezahlt hat, könnte die Beute der Cyberkriminellen immerhin 250.000 Euro betragen. Da Microsoft aber nicht der einzige AV-Hersteller auf dem deutschen Markt ist und es bei Nutzern von Avira, Kaspersky und Co. auch Opfer gibt, multiplizieren wir die vermeintliche Beute einfach nochmal mit dem Faktor 10 auf lukrative 2.500.000 Euro.

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)


2e7f80a3b05a038915985e5a8021e4d4.exe (MD5: 2e7f80a3b05a038915985e5a8021e4d4)
Submission date: 2012-01-08 23:09:48 (UTC)
Result: 9/43 (20.9%)
Report


Links:
Anti-Botnet Beratungszentrum: Neue Version des GEMA-Trojaners 2.01 im Umlauf
JAVA/HCP/ Black Hole Exploit Kit malware analysis

This entry was posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Malware Forensics, Ransomware. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>