Od około dwóch tygodni otrzymuję informacje, że system pocztowy zostanie zaktualizowany, a zmiany mają dotyczyć bezpieczeństwa (!), stabilności i wydajności. W związku z planowaną aktualizacją możliwy będzie brak dostępu do usługi przez około pół godziny. W celu zapewnienia poprawności obserwatorek WWW oraz oprogramowania pocztowego należy pobrać aktualizacje bezpiecznych certyfikatów (SSL). Procedura aktualizacji jest bardzo prosta, gdyż należy jedynie pobrać plik, zapisać i uruchomić :] Oczywiście informacyjnego maila wysyła do mnie mój System Administrator.
Mail napisany w języku angielskim i jest typową próbą nakłonienia użytkownika do infekcji własnego systemu operacyjnego złośliwym oprogramowaniem. To co mi się w mailu podoba to swoiste dopasowanie adresu URL, pod którym znajdziemy przekierowanie do właściwego już pliku. Schemat w tym przypadku wygląda mniej więcej tak:
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.www-administrators.com/core/id=ID_CZYLI_LICZBA-TWOJ@ADRES_EMAIL-patchID2_CZYLI_LICZBA.exe
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.webmin-1.net/core/id=ID_CZYLI_LICZBA-TWOJ@ADRES_EMAIL-patchID2_CZYLI_LICZBA.aspx
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.mailserver-update.net/mail/id=ID_CZYLI_LICZBA-TWOJ@ADRES_EMAIL-patchID2_CZYLI_LICZBA.aspx
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.db-one.net/mail/id=ID_CZYLI_LICZBA-TWOJ@ADRES_EMAIL-patchID2_CZYLI_LICZBA.exe
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.servadmin.net/core/id=ID_CZYLI_LICZBA-TWOJ@ADRES_EMAIL-patchID2_CZYLI_LICZBA.exe
Przy czym oczywiście parametry są dopasowane do docelowego adresu e-mail. Data rzekomej aktualizacji ustawiana jest na 3 dni przed dniem otrzymania wiadomości co zapewne ma przyśpieszyć proces zarażania się, podobnie zresztą jak zwiększanie wiarygodności poprzez umieszczenie adresu domeny z maila w adresie strony.
Tematy wiadomości to: Attention – Important Notification, Attention: Server Upgrade, Mail server upgrade. Nagłówek From ustawiony został na domenę docelowego adresu e-mail. Nagłówki programu pocztowego bywały różne: Microsoft Office Outlook, Build 11.0.5510/ Microsoft Outlook Express 5.00.2314.1300/ The Bat! (v2.00.9) Educational/ The Bat! (v2.11) Personal. Przykładowe adresy IP, z których rozsyłane były wiadomości wskazują na duża rozpiętość czyli typowy botnet: 99.246.2.160, 125.13.97.98, 20.205.52.180, 40.226.35.66.
Wszystkie domeny wskazują na ten sam adres IP: 113.105.152.213
Schemat natomiast jest wszędzie taki sam. Nasze połączenie jest przekierowywane do pliku wykonywalnego na zasadzie:
http://updates.ADRES_DOMENY_Z_ADRESU_EMAIL.secure.mailserver-update.net/patch.exe
Sam plik uzyskał wynik skuteczności VirusTotal na poziomie: 7 / 41
c007f25d28eaf7d344591df0f24d461e patch.exe
Po wpisaniu czystej nazwy domeny w przeglądarkę otrzymujemy standardową stronę domową systemu hostingowego DirectAdmin z godziną założenia: Wed Oct 21 01:47:25 2009 (świeżość :)
4 domeny zostały utworzone 2009.10.18, natomiast jedna (www-administrators.com) 8 dni później: 2009.10.26. Z tej domeny otrzymałem ostatnią wiadomość.
Pobieżne poklikanie po necie doprowadziło mnie jeszcze do domen:
adm-db.com
adm-db.com
besthostingbox.com
cedns.ru
cert-services.com
dotnamehost.net
newmobiletelecom.com
nix-systems.net
w-w-w-admins.com
webmin-1.com
webmin-1.com
www-admins.net
xsystem-solutions.com
Domeny te zostały założone 5 – 25 października co wskazuje ewidentnie na świeżą akcję. Adres IP należy do AS4134 CHINA-TELECOM China Telecom.
I kilka wpisów z bazy WHOIS:
Domain name: WWW-ADMINISTRATORS.COM
Name Server: ns1.newmobiletelecom.com
Name Server: ns2.newmobiletelecom.com
Creation Date: 2009.10.26
Expiration Date: 2009.10.26
Status: DELEGATED
Registrant ID: HXDOJ4S-RU
Registrant Name: Irina A Koshkova
Registrant Organization: Irina A Koshkova
Registrant Street1: ulica Entuziastov, d.7 kv.1
Registrant City: Nizhniy Tagil
Registrant State: Sverdlovskaya obl.
Registrant Postal Code: 622000
Registrant Country: RU
Administrative, Technical Contact
Contact ID: HXDOJ4S-RU
Contact Name: Irina A Koshkova
Contact Organization: Irina A Koshkova
Contact Street1: ulica Entuziastov, d.7 kv.1
Contact City: Nizhniy Tagil
Contact State: Sverdlovskaya obl.
Contact Postal Code: 622000
Contact Country: RU
Contact Phone: +7 343 3700122
Contact E-mail: malt@freemailbox.ru
Domain name: SERVADMIN.NET
Name Server: ns1.freehostex.com
Name Server: ns2.freehostex.com
Creation Date: 2009.10.18
Updated Date: 2009.10.21
Expiration Date: 2010.10.18
Status: DELEGATED
Registrant ID: JAW6GPS-RU
Registrant Name: Aleksei V Viniayev
Registrant Organization: Aleksei V Viniayev
Registrant Street1: Morskoy pr. d.1B kv.5
Registrant City: Severodvinsk
Registrant State: Arkhangelskaya obl.
Registrant Postal Code: 164500
Registrant Country: RU
Administrative, Technical Contact
Contact ID: JAW6GPS-RU
Contact Name: Aleksei V Viniayev
Contact Organization: Aleksei V Viniayev
Contact Street1: Morskoy pr. d.1B kv.5
Contact City: Severodvinsk
Contact State: Arkhangelskaya obl.
Contact Postal Code: 164500
Contact Country: RU
Contact Phone: +7 8182 217202
Contact E-mail: obeys@infotorrent.ru
Registrar: ANO Regional Network Information Center dba RU-CENTER
Domain name: DB-ONE.NET
Name Server: ns1.freehostex.com
Name Server: ns2.freehostex.com
Creation Date: 2009.10.18
Updated Date: 2009.10.21
Expiration Date: 2010.10.18
Status: DELEGATED
Registrant ID: ID3LJNU-RU
Registrant Name: Andrei V Vozhlak
Registrant Organization: Andrei V Vozhlak
Registrant Street1: 7 Kirpichnyi zavod d.9 kv.1
Registrant City: Omsk
Registrant State: Omskaya obl.
Registrant Postal Code: 644047
Registrant Country: RU
Administrative, Technical Contact
Contact ID: ID3LJNU-RU
Contact Name: Andrei V Vozhlak
Contact Organization: Andrei V Vozhlak
Contact Street1: 7 Kirpichnyi zavod d.9 kv.1
Contact City: Omsk
Contact State: Omskaya obl.
Contact Postal Code: 644047
Contact Country: RU
Contact Phone: +7 3812 337882
Contact E-mail: yam@ml3.ru
Registrar: ANO Regional Network Information Center dba RU-CENTER
I na koniec treść wiadomości:
Attention!
On October 22, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.
This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location.
That’s all.
Jeden komentarz do
7 listopada, 2009 o godzinie 00:57
Bardzo solidny artykuł!