Anatomie einer Spammail
Bei der LUG Jena hatten wir kürzlich eine Diskussion über Spammails und Viren. Der Grund war, dass ich die untenstehende E-Mail erhielt. Das ist mal kein alltäglicher Spam. Vielmehr wird hier versucht, mir Malware unterzuschieben. Ich will mal versuchen, die Details hier aufzuschreiben.
Zunächst werfen wir einen Blick auf die E-Mail. Die Received:-Zeilen geben Aufschluss über den Weg der E-Mail. Üblicherweise geht man vom Empfänger zum Absender vor. Der Computer mit dem Namen MeinRechner hat die E-Mail von jengate.thur.de entgegen genommen. Der Rechner mit dem Namen demokritos1.cytanet.com.cy hat die E-Mail dort eingeliefert. Dessen IP-Adresse war 195.14.130.192. Der Rechner, mit dem alles begann, nannte sich selbst charmex.ovh.net. Seine IP-Adresse war 94.23.84.123 und die löste zu dem Namen mail.charmex.net auf.
Wie schon zu vermuten ist, löst die Adresse charmex.ovh.net nicht auf. Die IP-Adresse und der richtige Hostname bringen da schon mehr. Der Domainname wurde von Charmex International aus Barcelona registriert. Wie man in untenstehendem StreetView-Ausschnitt sieht, ist das wohl eine richtige Firma mit Sitz in einer dnsmap sagte mir später, dass es die Namen {ftp,mail,smtp,webmail,www}.charmex.net gibt. In der Tat antworten ProFTPd, Apache, Postfix, Courier usw. an den entsprechenden Ports. Der Apache ist auch der Meinung, dass er aus einer Debian-Distribution stammt. Denn ein curl -I http://www.charmex.net/ führt unter anderem zu der Ausgabe Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g . Robtex zeigt eine ganze Menge zu DNS-Kram an. Auch zu Charmex wusste es einiges zu berichten.
Der folgende Host demokritos1.cytanet.com.cy ist derzeit in zwei RBLs zu finden. Die komplette Domain ist auch bei rfc-ignorant gelistet. Genauere Informationen findet ihr wieder bei Robtex: zum Domainnamen und zur IP-Adresse.
Wenn man den Header-Zeiler glauben darf, wurde die Software The Bat! eingesetzt. Die Version stammt schon aus den Anfangsmonaten von 2005. Die Software kann man kaufen oder testen. Die Testversionen haben normalerweise enen bestimmten String und bei der gekauften ist theoretisch der Käufer registriert. Bei einer derart alten Version vemute ich jedoch, dass man auf dem Wege nicht mehr den wirklichen Besitzer finden würde.
Der Name des Empfängers ist zwar Schall und Rauch und kann leicht gefälscht werden. Dennoch stolperte ich über Namen. Der kann zwar bedeutungslos sein. Jedoch stimmt der mit dem russischen Namen ?????? überein.
Die Message-ID ist nicht vom Programm The Bat! erzeugt worden. Denn die Versionen bis mindestens 4 erzeugen ein Muster ZUFALLSWERT.DATUM@DOMAIN. Der Wert nach dem Punkt ist eindeutig kein Datum. Nun habe ich etwa 140.000 Mails nach einer Message-ID dieser Form durchsucht. Interessanterweise taucht das Muster nur bei Spammails und erst ab April 2011 auf. Viele dieser E-Mails behaupten von The Bat! verfasst worden zu sein. Ich vermute, dass der Mailer positive Punkte bei Spamerkennungssoftware bringt.
Ziemlich am Ende des Kopfes der E-Mail stehen die Zeilen:
MIME-Version: 1.0
Content-Type: text/plain;
charset=“utf-8”
Content-Transfer-Encoding: 8bit
Diese passen nicht so recht ins Bild. Die meisten Mailprogramme, die ich kenne, erzeugen je nach dem Inhalt eine andere Zeile. In dieser Kombination habe ich es bisher nur von Skripten gesehen. Daher nehme ich an, dass auch diese E-Mail von einem Skript erzeugt wurde.
Im Header könnte man noch weiter herum orakeln. Aber wenden wir uns lieber dem Text der E-Mail zu. Die Anrede wurde klein geschrieben. Ein weiterer Hinweis auf ein Skript. Denn der Rest der E-Mail hat korrekte Groß- und Kleinschreibung. Wenngleich sich die E-Mail liest, als wäre sie durch den Babelfisch gejagt worden.
Das Interessanteste am Text ist natürlich die URL hxxp://cdmirandes.com/.bestellen/Orden.zip. Ich habe absichtlich hier ein xx reingeschrieben. Wer sich die Datei herunterladen will, soll es wirklich wollen. Die Inhalte sind nicht für jeden Rechner gesund. 
Ich habe die URL an Virustotal weitergereicht. Nach dem URL-Scan erkannte nur TrendMicro die Seite als Malware-Seite. Der Rest der Virenscanner meldet diese auch heute noch als „clean“. Die Datei Orden.zip hat knapp 180 kB. Das erste Ergebnis von Virustotal war gemischt. Etwa ein Ein Sechstel aller Virenscanner erkannte irgendetwas Böses an der Datei. Mittlerweile erkennt die Mehrzahl der Scanner die Datei als eine Abart des Zeus- Trojaners. Vier Tage nach meinem ersten Scan lag die Erkennungsrate bei knapp 70%. Heute (zwei Wochen danach) sind 81% der Virenscanner der Meinung, dass es Malware ist. Die Jotti-Virenscanner liefern ein ähnliches Bild. Hier wird wieder klar, wie sehr oder wenig man sich auf einen Virenscanner verlassen kann.
Damit kann man auf die Löschtaste drücken und die E-Mail ins Nirvana schicken. Oder man übergibt die Datei an Seiten wie ThreatExpert, CWSandbox oder anderen und schaut nach, was der Trojaner so anstellt. ThreatExpert führt die Software in einer virtuellen Maschine aus und macht vorher und hinter einen Schnappschuss. Damit werden Änderungen an Dateien, der Registry uvm. sichtbar. Für die ausführbare Datei ergab sich folgende Analyse. Eine wesentliche tiefergehende Analyse liefert der Report von CWSandbox. Hier ist auch zu sehen, dass die Datei eine Netzwerkverbindung aufnehmen wollte. Von dem Hostnamen swarsdf45432.com sollte die Datei cfg1.bin abgerufen werden. Leider findet sich unter dem Namen nichts mehr. Er klingt für mich auch nach Fast Flux. Jedoch findet sich auch eine IP-Adresse 94.60.122.90. Unter der Adresse läuft ein Apache und einige weitere Software. Ein Versuch, die Datei abzurufen, endete mit Fehler 503. Damit stelle ich auch meine Rechercheversuche ein. Aber der geneigte Forscher kann sicher an der einen oder anderen Stelle ansetzen und noch ein wenig mehr herausfinden. Viel Spass!
Continue reading "Anatomie einer Spammail"
