Voor diegene die analyserapportjes willen bekijken:
http://anubis.iseclab.org/?action=result&task_id=168b83af38c592694a5656c608ba58aee&format=html#idp355568
http://www.threatexpert.com/report.aspx?md5=3caf161d12e776fe4a686edccf5dc9e5
Vanavond eens kijken of er verder wat mee kan.
Er zitten iig wat hardcoded urls in:
hxxp://www.vanderburgbol.nl/site/img/p6.jpg
hxxp://www.kantoorstempels.nl/external/kfm/get.php?id=1912&forcedownload=1
hxxp://flurtbook.com/module/z5.jpg
p6.jpg en z5.jpg zijn de Tor clients die worden binnen gehaald.
Verder lijkt er ook nog het een en ander aan gecodeerde strings in te zitten: http://pastebin.com/3ATCnZKk
Na het starten van het virus (wat eruit ziet als een PDF document, door het logo van acrobat reader en RTLO) krijgt de gebruiker een pop-up met een 'waarschuwing' dat er iets mis is gegaan, waardoor de gebruiker verder geen argwaan zal krijgen als die de executable opent: http://imgur.com/hCT9b
Een scan met Malware Bytes levert niks op, maar HitmanPro detecteert de malware wel.
Onder Start >> All programs >> Startup, staat een snelkoppeling ("Configuration") naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2273\conhostd.exe"
Tor draait via: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
En eerlijk gezegd zie ik wel een overeenkomst met de KLPD spear phishing aanval via CVE-2012-1723 die toen net uit was, want draai ik dat vorige virus dan vind ik onder Startup een snelkoppeling (MSupdate) naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2272\juschedq.exe"
Het lijkt me dus sowieso wel voor de hand liggend dat beide aanvallen van dezelfde virusschrijvers afkomstig zijn.
- De mappen waarin de malware wordt geplaatst zijn zo goed als identiek.
- In beide gevallen wordt de naam verandert in de naam van een bekend proces + 1 letter (nuon: conhostd.exe, klpd: juschedq.exe)
- In beide gevallen hebben de snelkoppelingen in de Startup folder een naam die afkomstig is van Windows (nuon: Configuration, klpd: MSupdate)
- In beide gevallen Tor hidden services als C&C servers.
- Beide malware exemplaren laten via exact hetzelfde commando op dezelfde poort de Tor client benaderen, namelijk met: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
- In beide gevallen gaat het waarschijnlijk om gehackte websites waarop de malware gehost wordt. (overigens is proquestincasso.com gisteren geregistreerd)
- En beide aanvallen zijn/waren gericht tegen Nederlandse bedrijven, consumenten, etc
Lijken me genoeg overeenkomsten :)
Overigens waarschuwt Nuon zelf ook op hun eigen website voor deze phishing: http://nieuws.nuon.nl/nuon/nepfactuur-over-nuon-in-omloop-betaal-niet
Edit zoveelste:
Overigens haal ik uit de netwerkdump nog een domein: bothbe.org, dit domein is 4 november 2012 geregistreerd en op dit moment niet actief, maar misschien is het een back-up domein.
Om de zoveel tijd wordt er een POST aanvraag verstuurd naar bothbe.org/ct3.php, de data die wordt verzonden is helaas versleuteld.
En nog een url uit de netwerkdump, dit keer via de dns query's: CnnPausing.net, 4 november 2012 geregistreerd en op dit moment draait er nog helemaal niks op.
Kortom de extra websites:
http://www.bothbe.org/ct3.php
http://www.cnnpausing.net/ct3.php
En er kwamen ook nog wat websites voorbij:
"urs.microsoft.com"
"pnrws.skype.com"
"c.brightcove.com"
"codecs.microsoft.com/isapi/ocget"
"activex.microsoft.com/objects/ocget"
"6waves.com/server"
"safebrowsing.clients.google.com"
en als laatste (niet een website): "gateway.messenger/gateway/gateway.dll"
Dus misschien een keylogger ofzoiets?
Geen hardcoded urls van de hidden services helaas, ze worden gegenereert, dus daar kunnen we weinig mee:
http://pastebin.com/Jw8QqcaM