Server von StreamZ seit Tagen offline

Hoster Streaminghoster
1

Seit einigen Tagen wird man beim Streaming-Hoster StreamZ auf eine andere Adresse weitergeleitet. Da steht dann

We currently have server problems. Please understand.

So langsam kocht die Gerüchteküche, was da los ist. Ich habe von einem der Betreiber leider nichts erhalten, was ich zitieren darf. Wir hatten die Jungs ja mal im Oktober 2020 im Interview.

Bei Wjunction gab’s wohl die Forderung, unzählige Postings zu löschen. Was ist da los?

2

Auch wurden die Links auf bekannten Warezseiten wie bs und kinox von StreamZ entfernt, ich frage mich auch was los ist. Ich denke vermutlich dass das ACE/MPA dran gekreigt hat, aber das ist auch nur ein Gerücht.

3

FINGER BLOSS WEG DAVON - SOFORT :bangbang: :bangbang: :bangbang:

Wenn ihr die alten Domains anwählt, erfolgt im Hintergrund eine Umleitung, die für alle erstmal so ausschaut, als würde im Browser der Host anstatt der Domain aufgerufen, weil das DNS schrott ist…!!

Siehe:

1
1928×576 23.5 KB

oder:

grafik
grafik1018×697 24 KB

Für den PR0N-Stream Bereich hatten die auch noch → amateur-streamz.t0
immer un Betrieb.
Im selben Cluster befanden sich auch deren Mail-Server „gut versteckt“! Habe mal über Solarwinds eine Mail-Ser ver Analyse angeschmissen.

Das kam dabei raus:

2
21251×302 16 KB

Und in den dedizierten Clustern unseres „verstorbenen“ Registrars standen noch eine Menge Büchsen, um deren CDN mit Power zu versorgen!

Also alles was mit Register.t0 zu tun hat oder hatte, könnte man nun mal physisch als verloren betrachten!! Seitdem ist die Firma komplett in Auflösung und Chaos begriffen - StreamZ war bestimmt ein größerer Kunde, die hatten aber noch genügend andere, die denen nun auf der Matte stehen…

So denn, weiter gehts mit:

StreamZ

Habe die URL mal über Hybrid-Analysis gejagt…ich konnte aber wegen Zeitmangel nur die gröbsten Analyse-Tools nutzen, hat trotzdem fast 24 Min. gedauert !!

0
01413×319 26.1 KB

Das über mir poppte danach dann als erstes mit auf!

General
Creates mutants
details
"\Sessions\1\BaseNamedObjects\Local\!BrowserEmulation!SharedMemory!Mutex"
"\Sessions\1\BaseNamedObjects\Local\VERMGMTBlockListFileMutex"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_FILEMAPSWITCH_MUTEX_3180"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_HASHFILESWITCH_MUTEX"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_DOWNLOAD_MUTEX"
"\Sessions\1\BaseNamedObjects\Local\ZonesCacheCounterMutex"
"\Sessions\1\BaseNamedObjects\Local\ZonesLockedCacheCounterMutex"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IE_EarlyTabStart_0xdf4_Mutex"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_ConnHashTable<3180>_HashTable_Mutex"
"\Sessions\1\BaseNamedObjects\{5312EE61-79E3-4A24-BFE1-132B85B23C3A}"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IESQMMUTEX_0_303"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IESQMMUTEX_0_331"
"\Sessions\1\BaseNamedObjects\{66D0969A-1E86-44CF-B4EC-3806DDDA3B5D}"
"Local\InternetShortcutMutex"
"Local\!BrowserEmulation!SharedMemory!Mutex"
"{5312EE61-79E3-4A24-BFE1-132B85B23C3A}"
"IsoScope_c6c_IE_EarlyTabStart_0xdf4_Mutex"
"Local\ZonesLockedCacheCounterMutex"
"IsoScope_c6c_IESQMMUTEX_0_331"
"IsoScope_c6c_ConnHashTable<3180>_HashTable_Mutex"
source
Created Mutant
relevance
3/10
Installation/Persistence
Dropped files
details
"~DF9338587A7EE741EA.TMP" has type "data"- Location: [%TEMP%\~DF9338587A7EE741EA.TMP]- [targetUID: 00000000-00003180]
"5VDFM7JQ.htm" has type "HTML document ASCII text"- Location: [%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\37NU00GP\5VDFM7JQ.htm]- [targetUID: 00000000-00002692]
"_B1495B43-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"RecoveryStore._88B090C0-D917-11E7-B67B-080027A49DD6_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"imagestore.dat" has type "data"- Location: [%LOCALAPPDATA%\Microsoft\Internet Explorer\imagestore\3mt7jhv\imagestore.dat]- [targetUID: 00000000-00003180]
"~DFD52FD20F36917484.TMP" has type "data"- Location: [%TEMP%\~DFD52FD20F36917484.TMP]- [targetUID: 00000000-00003180]
"~DFF9A365F1A0E7DF3B.TMP" has type "data"- Location: [%TEMP%\~DFF9A365F1A0E7DF3B.TMP]- [targetUID: 00000000-00003180]
"RecoveryStore._B1495B41-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"favicon_2_.ico" has type "MS Windows icon resource - 1 icon 16x16 2 colors"- [targetUID: N/A]
"_B8E79ED4-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"~DF3D28B51CDC1D088F.TMP" has type "data"- Location: [%TEMP%\~DF3D28B51CDC1D088F.TMP]- [targetUID: 00000000-00003180]
"urlref_httpuser8289.gfq349fn34n3q4n.net" has type "HTML document ASCII text with very long lines"- [targetUID: N/A]
source
Extracted File
relevance
3/10
ATT&CK ID
T1105 (Show technique in the MITRE ATT&CK™ matrix)
Network Related
Found potential URL in binary/memory
details
Pattern match: "http://user8289.gfq349fn34n3q4n.net/"
Pattern match: "http://user8289.gfq349fn34n3q4n.net"
Heuristic match: "http___u_,er8_89.gfq349fn34n3q4n.net/"
source
String
relevance
10/10


Network Related

* [Found potential URL in binary/memory](https://hybrid-analysis.com/sample/205a339afe8357e0ac39675a83dd6f34900786e23eb0d338f860a34e5226597b/6404761f7b4c82cacc00277a#signature-ee8357e421efee19e1610c7bc6b56378)

details
Pattern match: "http://user8289.gfq349fn34n3q4n.net/"
Pattern match: "http://user8289.gfq349fn34n3q4n.net"
Heuristic match: "http___u_,er8_89.gfq349fn34n3q4n.net/"
source
String
relevance
10/10

Najaaa…mehr ging noch nicht in so kurzer Zeit! Es ist auch erst Sonntag :rofl: :rofl:

Da StreamZ nunmal definitiv ein großer Kunde für DEDIS / VPS / KVMs für Docker war und kein 08/15-Kunde der Fraktion → Ey, ich brauch mal nen VPS mit 10er ssd und 8gb ram - wenns geht für unter 2 Euro…
…werden sich die beiden Unternehmen wohl gut gekannt haben in der Vergangenheit. Dieser doch sehr ominöse Todesfall und parael der plötzliche, überraschende Tod des Streamers plus der Malware-Aktionen / Funde / Überreste etc. könnten einem morgen glatt ne ganze 50m Rolle Alufolie kaufen lassen… :bangbang: :bangbang: :bangbang:

Bitte dran denken, nicht mehr auf der Status-Site rumzuturnen…da wird auf jeden Fall etwas gedropped, was noch keiner so wirklich auf dem Schirm hat :slight_smile:

4

@VIP D.h. Schadsoftware meinst Du jetzt, oder was meinst Du mit „gedropped“?

5

0
01413×319 26.1 KB

Naja, was sonst?!? Sonst wäre es auch nicht in MITRE eingetragen!

https://hybrid-analysis.com/sample/205a339afe8357e0ac39675a83dd6f34900786e23eb0d338f860a34e5226597b

6

Bin morgen auf den Weg in die nächste Supermarkt um mir frischen Alufolien zu besorgen, damit ich Aluhüte und Aluflugzeuge baue. :joy: :rofl:

7

Hier gibts ausserhalb der Stadt ne riesige Aluminium-Schmelze, täglich um die 450 Tonnen Alu verarbeitet und herstellt!
Ich denke, ich werde einfach mal in so ne glühende Pfanne springen…!! :+1: :bangbang: :warning: :wc:

BTW:

Diese URL inklusive ihrer Drops →

  • First Submission
    2023-02-28 23:10:21 UTC

  • Last Submission
    2023-03-04 04:34:05 UTC

  • Last Analysis
    023-03-04 04:34:05 UTC

8

Alu ist giftig, pass auf dich auf und schütze dich mit Atemmaske.

9

44_ff6a1f601b83a53edd93882c1fb5d5bf
hühner22

10

Erst kamen doch haufenweise lustiger Tiervideos. Ausgezahlt haben soll man aber wohl kurz davor noch lt. Wjtunction.

11

Okay, dann bin ich ja froh, dass ich keines der üblichen Betriebssysteme benutze, was als Angriffsziel dient.

Okay, ich habe daraus mal eine News gebastelt. Hier geht es weiter.