Hjem | Presse | Kontakt da en
Heimdal
Heimdal Security beskytter mod
banker trojan malware.
Blog
2014-10-30 09:04:40 | Peter Kruse
2014-10-26 10:02:15 | Peter Kruse
2014-10-15 22:36:32 | Peter Kruse
Presse
2014-10-29 13:42:09 | computerworld.dk
2014-10-29 13:41:40 | threatpost.com
2014-10-29 13:40:59 | version2.dk
Pressekontakt

Peter Kruse
Partner & Security Specialist
pkr@csis.dk
PGP Key ID: 0x49006F37

Nyheder
2011-11-29 11:09:08 |

CSIS har i dag opdaget en ny orm som spreder sig via det sociale netværk, Facebook.

Der er tale om en klassisk orm der ved infektion af et system samtidig logger ind som den pågældende bruger, mens den spammer beskeder ud til venner og bekendte.

Beskeden består udelukkende af et link eksempelvis (mellemrum indlagt af CSIS):
http://www.offi sense.co.il/lang/images.php?facebookimage=...2119

Hvis dette link klikkes på, og brugeren herefter kan lokkes til at åbne hvad kunne syntes at være en pauseskærm (se skærmdump herunder), så droppes skadelig kode til systemet.


Koden er udviklet i Visual Basic 6.0 og indeholder talrige Anti-VM tricks rettet mod VMware, SandboxIE, Virtual Box osv.

Den skadelige kode nedhenter dernæst (mellemrum indlagt af CSIS):
http://www.offi sense.co.il/lang/b.exe

Hvorefter følgende fil forsøges kopieret til systemet:
c:users[%bruger profil%]m-1-52-5782-8752-5245winsvc.exe

Ormen bærer en cocktail af malware ind på maskinen, herunder også en Zbot/ZeuS variant, som er en alvorlig trussel og som stjæler følsomme oplysninger fra den inficerede maskine.

Ormen har allerede kapret et utal af domæner, hvorfra den spreder sig aktivt (mellemrum indlagt af CSIS):

http://www.vinam ost.net
http://www.ferry .coza
http://www.maxim ilian-adam.com
http://www.bacol odhouseandlot.com/
http://www.servi ceuwant.com
http://www.centr alimoveisbonitoms.com.br
http://www.werea d.in.th
http://www.villa matildabb.com
http://www.fiona gh-bennet-music.co.uk
http://www.uksei katsu.com
http://www.bzoe- salzkammergut.at
http://www.delic escolres.com
http://www.dekie viten.nl

De forskellige kompromitterede servere tjener også et andet formål. De indsamler data omkring de inficerede maskiner, mens de samtidig tilbyder den supplerende malware. Indholdet fra en server kan se ud som følgende:

Index of /images

Parent Directory
GeoIP.dat
PIC96477.JPG.scr
b.exe
count.txt
f.exe
geoip.inc
images.php
util.php

De mange skadelige domæner er naturligvis allerede blokeret i CSIS Secure DNS.

Den skadelige kode opnår i følge Virustotal følgende mangelfulde antivirus detektion:

Antivirus Version Last Update Result
AhnLab-V3 2011.11.28.00 2011.11.28 -
AntiVir 7.11.18.107 2011.11.28 -
Antiy-AVL 2.0.3.7 2011.11.28 -
Avast 6.0.1289.0 2011.11.28 -
AVG 10.0.0.1190 2011.11.28 -
BitDefender 7.2 2011.11.28 -
ByteHero 1.0.0.1 2011.11.14 -
CAT-QuickHeal 12.00 2011.11.28 -
ClamAV 0.97.3.0 2011.11.28 -
Commtouch 5.3.2.6 2011.11.28 -
Comodo 10791 2011.11.27 -
DrWeb 5.0.2.03300 2011.11.28 Win32.HLLW.Autoruner.52856
Emsisoft 5.1.0.11 2011.11.28 -
eSafe 7.0.17.0 2011.11.28 -
eTrust-Vet 37.0.9590 2011.11.28 -
F-Prot 4.6.5.141 2011.11.28 -
F-Secure 9.0.16440.0 2011.11.28 -
Fortinet 4.3.370.0 2011.11.27 -
GData 22 2011.11.28 -
Ikarus T3.1.1.109.0 2011.11.28 -
Jiangmin 13.0.900 2011.11.28 -
K7AntiVirus 9.119.5542 2011.11.25 -
Kaspersky 9.0.0.837 2011.11.28 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.11.28 -
McAfee-GW-Edition 2010.1D 2011.11.28 -
Microsoft 1.7801 2011.11.28 -
NOD32 6666 2011.11.28 -
Norman 6.07.13 2011.11.28 -
nProtect 2011-11-28.02 2011.11.28 -
Panda 10.0.3.5 2011.11.27 -
PCTools 8.0.0.5 2011.11.28 -
Prevx 3.0 2011.11.28 -
Rising 23.86.00.01 2011.11.28 -
Sophos 4.71.0 2011.11.28 -
SUPERAntiSpyware 4.40.0.1006 2011.11.26 -
Symantec 20111.2.0.82 2011.11.28 -
TheHacker 6.7.0.1.350 2011.11.27 -
TrendMicro 9.500.0.1008 2011.11.28 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.28 -
VBA32 3.12.16.4 2011.11.28 -
VIPRE 11170 2011.11.28 -
ViRobot 2011.11.28.4797 2011.11.28 -
VirusBuster 14.1.88.0 2011.11.28 -