Als hxxp://85.255.113.4/dl/adv557.php op een niet gepatchde Windows computer
wordt geopend in IE dan worden er enkele trojans gedownload en geinstalleerd
(dit is een understatement) .
IP 85.255.133.4 is in IP space van Esthost.com. Esthost.com is een
twijfelachtige ISP. Uit onverdachte hoek heb ik vernomen dat deze ISP uit
Estland niet of nauwelijks aan het verstand kon/kan worden gebracht dat
proxy hijacken vanuit Atrivo.com IP space toch echt volgens de Amerikaanse
wet verboden is (Esthost.com neemt diensten van Atrivo.com af in Amerika).
Ook voor 85.255.133.4 is Atrivo.com de upstream provider:
$ whois -h whois.cymru.com 85.255.113.0/24
ASN | IP | Info | Name
27595 | 85.255.113.0 | /24 | ATRIVO-AS - Atrivo
Een traceroute vanaf een adres in Canada:
7 p5-0.core02.sfo01.atlas.cogentco.com (66.28.4.134) 45.188 ms [...]
8 g0-1.na21.b003070-1.sfo01.atlas.cogentco.com (66.250.9.6) [...]
9 Intercage.demarc.cogentco.com (38.112.11.238) 45.029 ms [...]
10 85.255.113.4 (85.255.113.4) 45.342 ms 45.327 ms 66.693 ms
Intercage.com is een naam die Atrivo.com gebruikt. Misschien begrijpt
Esthost.com ook niet dat het hosten van exploits en trojans in Amerika
tegen de wet is?! 85.255.133.4 behoort vrijwel zeker tot een server in de
VS.
Merk op dat iframedollars.biz is/was gehost op IP 85.255.113.2 .
Waarschijnlijk is dit dezelfde bende die eerder verantwoordelijk was voor
de grootscheepse besmetting via googkle.com / toolbarpartner.com /
web-free-hosting.net in mei 2005.
Hoe dan ook. Hieronder is http in urls vervangen door hxxp.
Nomenclature van de trojans door Kaspersky.com.
Het openen van hxxp://85.255.113.4/dl/adv557.php op een niet gepatchde
Windows computer leidt tot installatie van ondermeer de volgende trojans:
(alleen trojans gehost op IP 85.255.113.4 zijn hieronder vermeld; in
werkelijkheid worden er nog meer trojans geinstalleerd)
hxxp://85.255.113.4/dl/adv557/sploit.anr
[ sploit.anr - infected by Trojan-Downloader.Win32.Ani.c ]
hxxp://85.255.113.4/dl/adv557/x.chm
[ x.chm/load.exe - infected by Trojan-Downloader.Win32.Tibs.h
x.chm/x.htm Suspicion: Exploit.HTML.CodeBaseExec ]
hxxp://85.255.113.4/dl/loadadv557.exe
[ loadadv557.exe - infected by Trojan-Downloader.Win32.Tibs.h ]
hxxp://85.255.113.4/troys/kl.txt
[ kl.txt - infected by Backdoor.Win32.Haxdoor.de ]
hxxp://85.255.113.4/troys/ms1.txt
[ ms1.txt - infected by Trojan-Downloader.Win32.Agent.ho ]
hxxp://85.255.113.4/troys/ms2.txt
[ ms2.txt - infected by Trojan-Dropper.Win32.Microjoin.u ]
hxxp://85.255.113.4/troys/ms3.txt
[ momenteel niet gedetecteerd door Kaspersky. Het lijkt erop dat ms3.txt een
proxy zal openen of installeren ]
hxxp://85.255.113.4/troys/ms4.txt
[ ms4.txt - infected by Trojan-Downloader.Win32.Wirefall.gen ]
hxxp://85.255.113.4/troys/newdial.txt
[ currently not detected by Kaspersky]
hxxp://85.255.113.4/troys/paydial.txt
[ geen trojan of virus, maar een URL van een dialer op
hxxp://650.dapfeed.com/X.exe ]
hxxp://85.255.113.4/troys/paytime.txt
[ paytime.txt - infected by Trojan.Win32.Startpage.zl ]
hxxp://85.255.113.4/troys/tibs.php
[ tibs.php - infected by Trojan-Downloader.Win32.Delf.dg ]
hxxp://85.255.113.4/troys/tool1.txt
[ momenteel niet gedetecteerd door Kaspersky.com; deze trojan laadt (oa)
additionele malware van IP 213.21.215.186]
hxxp://85.255.113.4/troys/tool2.txt
[ tool2.txt - infected by not-virus:Hoax.Win32.Renos.l Dit programma
"waarschuwt" voor spyware en adverteert www.spysheriff.com op IP
69.50.170.83 ]
hxxp://85.255.113.4/troys/tool3.txt
[ tool3.txt - infected by Trojan-Proxy.Win32.Mitglieder.dq ]
hxxp://85.255.113.4/troys/hosts.txt
[ Deze file wordt gekopieerd naar de lokale hosts file van Windows, zodat
bepaalde pagina's niet meer bereikbaar zullen zijn. De inhoud:
127.0.0.3 n-glx.s-redirect.com
[...]
127.0.0.3 www.iframe.biz
127.0.0.3 iframe.biz
127.0.0.3 www.newiframe.biz
127.0.0.3 newiframe.biz
[...]
127.0.0.3 toolbarpartner.com
127.0.0.3 www.toolbarpartner.com
[ domeinen weggehaald want het lijkt erop dat het spamfilter van supernews
op tilt slaat door deze lijst. In deze posting staan alle domeinen:]
<11flmoi...@corp.supernews.com>
]
----------------------------------------------
$ whois 85.255.113.4
inetnum: 85.255.112.0 - 85.255.127.255
netname: EstHost
descr: Inhoster hosting company
descr: OOO Inhoster, ul.Antonova 5, Kiev, 03186, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: ab...@inhoster.com
remarks: Network problems to: n...@inhoster.com
remarks: Peering requests to: pee...@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered
organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: NON-REGISTRY
remarks: *************************************
remarks: * Abuse contacts: ab...@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: sup...@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
ref-nfy: sup...@ydav.com
ref-nfy: sup...@inhoster.com
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered
person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered
person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20� Solomenskaya street. room 201.
address: UA
phone: +357 99 117759
e-mail: sup...@fwebhost.com
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered
--
feike
> IP 85.255.133.4 is in IP space van Esthost.com.
[...]
> Intercage.com is een naam die Atrivo.com gebruikt. Misschien begrijpt
> Esthost.com ook niet dat het hosten van exploits en trojans in Amerika
> tegen de wet is?! 85.255.133.4 behoort vrijwel zeker tot een server in de
> VS.
Correctie: 85.255.133.4 -> 85.255.113.4
--
feike
> hxxp://85.255.113.4/troys/ms3.txt
> [ momenteel niet gedetecteerd door Kaspersky. Het lijkt erop dat ms3.txt een
> proxy zal openen of installeren ]
Clam kent 'm ook niet.
M4
--
Redundancy is a great way to introduce more single points of failure.
>> hxxp://85.255.113.4/troys/ms3.txt
>> [ momenteel niet gedetecteerd door Kaspersky. Het lijkt erop dat ms3.txt
>> [ een
>> proxy zal openen of installeren ]
> Clam kent 'm ook niet.
Kaspersky.com detecteert hem nu als:
ms3.txt - infected by Backdoor.Win32.Small.gv
Ik hem zelf ook bekeken. Indien uitgevoerd als executable vraagt ms3.txt een
paar gegevens op. Ondermeer de naam van de computer en (waarschijnlijk) de
naam van de gebruiker. Op een random poort wordt een proxy geopend. De
lokatie van die random poort en naam van de computer/gebruiker worden
vervolgens iedere 5 minuten aan IP 195.225.176.x op TCP poort 7777
doorgegeven met een voor mij onbekend protocol (maar in de binary code zijn
wel bepaalde zaken als poort, computernaam etc herkenbaar) . Kaspersky
heeft het over een backdoor; die heb ik nog niet kunnen opmerken. Misschien
werkt de proxy ook als backdoor.
Er kwamen twee IP adressen van Atrivo.com de trojaned proxy testen. Een
adres daarvan kan ik direct relateren aan een bekende spammer Peter S. te
St. P. Het andere IP adres heeft op moment van schrijven tot nog toe
248.997 spamberichten gedumpt (en dat terwijl ik zijn bandbreedte naar mijn
honeypot al aardig heb beperkt) . Geen enkel spambericht is daadwerkelijk
verstuurd, alles komt op een lokale harde schijf. Deze spammer adverteert
MP3 spelers en porno via een redirect op geocities.com . Op de webserver
van het spammende IP adres vond ik trouwens ook nog een paar interessante
zaken. Ondermeer een versie van andere malware *voor* dat ie behandeld is
met "CryptPE1" en het programma CryptPE1 zelf. Dit programma comprimeert en
"encrypt" kennelijk de malware en zorgt ervoor dat er niet al te veel ascii
strings meer zichtbaar zijn in de versie die wordt verspreid. Het aardige
was dat ik de "encrypte" malware al eerder ergens anders was tegengekomen
(en ook had uitgeprobeerd) en dat ik nu dus ook de niet encrypte versie
heb, met allerlei interessante ascii strings.
--
feike