Kommentare zu folgendem Beitrag: Zippyshare: Sharehoster verbreitet Malware, SSL-Zertifikat war abgelaufen
Das sieht nach einem perfiden Plan der Seuchenvögel aus ! Hat sich noch keiner mal gefragt, warum man bislang noch nichts davon gehört hat, dass ein Filehoster von einem Crypto-Trojaner betroffen war? Weil die Seuchologen nicht blöd sind - denn nichts ist einfacher, als einen großen Filehoster für sich, bei der massenhaften Verteilung neuer Malware, arbeiten zu lassen!
Deren Infrastruktur ist vorhanden, riesengroß und hat den klaren Vorteil, dass die potenziellen Opfer die Server völlig freiwillig ansteuern…
Bei Zippyshare sind seit ca. 2,5 Wochen folgende Infektionen aktiv:
- mod_Downloader.exe
- TES-IV_OBLIVION_4x_v.2.0_(Vanilla Remaster).exe
Dabei ist die erste Executable nur eine neue Benennung der ursprünglichen Exe!
Dies scheint allerdings nicht die eigentliche Schadsoftware zu sein, sondern nur ein vorbereitender Downloader, wie man nach einer kurzen Analyse direkt erkennen kann.
File Version Information
Copyright: Copyright © 2020 Kuzja80
Product: Upscaled textures 4x v.2.0 downloader
Description: Automatic Downloader
Original Name: mod_Downloader.exe
Internal Name: mod_Downloader.exe
File Version: 4.1.0.5
Comments: TES IV: OBLIVION Upscaled 4x v.2.0 (vanilla remaster)
Es stellt sich also die Frage, für was dieses Downloader-Modul final genutzt wird??
Ich danke dir für all die detaillierte Information. Wie gesagt, jetzt wäre drei Dinge interessant herauszufinden.
- was genau wird nachgeladen
- was ist der Sinn und Zweck des ganzen
- Betrifft es „nur“ die Download-Seite, oder auch die Uploads-Seiten bei ZS
PS: was sind Seuchenvögel?
Ist ja klar das Cannapower gegen Zippyshare schiesst, wenn man einen eigenen Filehoster hat, oder?
Das ist momentan noch ein wenig undurchsichtig anscheinend! Vielleicht auch ein Grund mehr, warum man zur Verbreitung Zippy nutzt. Es gibt nämlich irgendwie keine verwertbaren Samples zu dem nachgeladenen Müll - das liegt u.a. auch daran, da die User, die dort uppen und downen es vielleicht gar nicht merken werden, wenn sie beim downloader keine Alarmmeldung bekommen haben?!
Oder weil diese Verteilungsaktion ein groß angelegter „Feldtest“ ist für zukünftige Seuchenvogel-Aktionen…?!
Hybrid-Analysis vermutet, auf Grund der letzten Monate bei Zippyshare, dass eher so etwas final geladen werden soll:
ID: T1056
Sub-techniques: T1056.001, T1056.002, T1056.003, T1056.004
Tactics: Collection, Credential Access
Platforms: Linux, Network, Windows, macOS
Permissions Required: Administrator, SYSTEM, User, root
Data Sources: API monitoring, Binary file metadata, DLL monitoring, Kernel drivers, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, User interface, Windows Registry, Windows event logs
CAPEC ID: CAPEC-569
Contributors: John Lambert, Microsoft Threat Intelligence Center
Version: 1.2
Created: 31 May 2017
Last Modified: 21 October 2020
Und erfahrungsgemäß diese eine, der vier genannten Attack-IDs > ID: T1056.004
P.S.
Die berühmten Seuchenvögel sind laut Heinz Sielmann sehr scheu und kaum in der freien Wildbahn aufzufinden! Man würde aber direkt wissen, wenn man mit ihnen unbewußterweise Kontakt hatte!!
@labradev Merkwürdig, ausgerechnet Zippyshare ist aber einer der beiden Pflichthoster bei Cannapower. Wenn die etwas gegen die hätten, würden sie auf andere Freehoster setzen, oder nicht?
Müffelnde Fische und Seuchenvögel. Wenn das so weitergeht, können wir bald eine Zoohandlung aufmachen.
Also ich finde, es ist ein feiner Zug von Cannapower seine Nutzer zu warnen.
Ja, genauso sehe ich das auch.
Müffelnde Fische ??
Ich kenne nur die uralte Group „Fickende Fische im Fernsehen“ !!
Aber, ob die gemüffelt haben, kann ich dir beim besten Willen nicht beantworten…
Hier mal die aktuelle Liste der C&C Server, welche seit Anfang November in Betracht kommen könnten, für einen event. Download nach dem Zippyshare-Infect
Firstseen (UTC) | Host | Malware | Status | SBL | Network (ASN) | Country |
---|---|---|---|---|---|---|
2020-12-03 15:35:13 | 36.74.73.136 | TrickBot | - Online | Not listed | AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia | - ID |
2020-12-03 05:00:06 | 191.7.201.200 | TrickBot | Offline | Not listed | AS263327 ONLINE SERVICOS DE TELECOMUNICACOES LTDA | - BR |
2020-11-29 21:00:19 | 45.4.32.50 | Heodo | - Online | Not listed | AS266044 ROBERTO MANELLA AMOROSO - ME | - BR |
2020-11-29 21:00:16 | 202.79.24.136 | Heodo | - Online | Not listed | AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. | - KH |
2020-11-29 21:00:14 | 54.36.185.60 | Heodo | - Online | Not listed | AS16276 OVH | - FR |
2020-11-29 20:18:49 | 110.145.11.73 | Heodo | - Online | Not listed | AS1221 ASN-TELSTRA Telstra Corporation Ltd | - AU |
2020-11-29 20:15:49 | 190.251.216.100 | Heodo | Offline | Not listed | AS13489 EPM Telecomunicaciones S.A. E.S.P. | - CO |
2020-11-26 21:22:31 | 194.5.249.29 | TrickBot | Offline | Not listed | AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL | - RO |
2020-11-26 21:22:31 | 94.140.115.150 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-26 21:22:31 | 156.96.156.165 | TrickBot | Offline | SBL461359 | AS46664 VDI-NETWORK | - US |
2020-11-26 21:22:31 | 86.104.194.16 | TrickBot | Offline | Not listed | AS48874 HOSTMAZE HOSTMAZE | - RO |
2020-11-26 21:22:31 | 94.140.115.189 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-26 21:22:31 | 23.237.137.66 | TrickBot | Offline | Not listed | AS174 COGENT-174 | - US |
2020-11-26 21:22:31 | 195.123.240.108 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-26 21:22:31 | 185.234.72.75 | TrickBot | Offline | Not listed | AS30823 COMBAHTON combahton GmbH | - DE |
2020-11-26 21:22:31 | 185.163.45.140 | TrickBot | Offline | Not listed | AS39798 MIVOCLOUD | - MD |
2020-11-26 21:22:31 | 185.14.29.119 | TrickBot | Offline | Not listed | AS21100 ITLDC-NL | - NL |
2020-11-26 21:22:31 | 185.244.151.107 | TrickBot | Offline | Not listed | AS60117 HS | - RO |
2020-11-26 21:22:31 | 195.123.242.176 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-26 20:25:25 | 45.184.103.73 | Heodo | Offline | Not listed | AS269771 PRINTER-NET-SERVICE, C.A. | - VE |
2020-11-26 19:30:07 | 187.62.208.234 | TrickBot | Offline | Not listed | AS28165 Wireless Comm Services LTDA | - BR |
2020-11-23 19:42:18 | 45.12.110.179 | TrickBot | Offline | Not listed | AS35913 DEDIPATH-LLC | - US |
2020-11-23 19:42:18 | 94.140.114.99 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-23 19:42:18 | 212.8.251.21 | TrickBot | Offline | Not listed | AS60117 HS | - NL |
2020-11-23 19:42:18 | 192.119.171.218 | TrickBot | Offline | Not listed | AS55154 MADGEN-01 | - US |
2020-11-23 19:16:23 | 175.145.248.25 | Heodo | Offline | Not listed | AS4788 TMNET-AS-AP TM Net, Internet Service Provider | - MY |
2020-11-23 19:16:22 | 191.223.36.170 | Heodo | - Online | Not listed | AS8167 Brasil Telecom S/A - Filial Distrito Federal | - BR |
2020-11-23 01:53:56 | 108.21.72.56 | Heodo | Offline | Not listed | AS701 UUNET | - US |
2020-11-21 18:48:21 | 172.125.40.123 | Heodo | - Online | Not listed | AS7018 ATT-INTERNET4 | - US |
2020-11-21 18:48:21 | 185.201.9.197 | Heodo | - Online | Not listed | AS47583 AS-HOSTINGER | - DE |
2020-11-21 18:42:25 | 82.137.29.8 | Heodo | Offline | Not listed | AS8708 RCS-RDS 73-75 Dr. Staicovici | - RO |
2020-11-21 18:42:25 | 180.232.111.30 | Heodo | - Online | Not listed | AS9658 ETPI-IDS-AS-AP Eastern Telecoms Phils., Inc. | - PH |
2020-11-21 18:42:25 | 111.67.12.222 | Heodo | - Online | Not listed | AS55803 HOSTOPIA-AU Hostopia Australia Web Pty Ltd | - AU |
2020-11-21 00:47:55 | 74.128.121.17 | Heodo | Offline | Not listed | AS10796 TWC-10796-MIDWEST | - US |
2020-11-19 19:52:42 | 24.101.229.82 | Heodo | Offline | Not listed | AS27364 ACS-INTERNET | - US |
2020-11-19 19:37:11 | 24.69.65.8 | Heodo | Offline | Not listed | AS6327 SHAW | - CA |
2020-11-19 05:52:32 | 141.136.0.4 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-19 05:44:28 | 201.102.218.101 | Heodo | Offline | Not listed | AS8151 Uninet S.A. de C.V. | - MX |
2020-11-19 05:44:23 | 190.18.184.113 | Heodo | Offline | Not listed | AS10318 Telecom Argentina S.A. | - AR |
2020-11-18 16:47:09 | 161.0.153.60 | Heodo | Offline | Not listed | AS27800 Digicel Trinidad and Tobago Ltd. | - TT |
2020-11-18 16:46:48 | 103.229.72.197 | Heodo | - Online | Not listed | AS55660 MWN-AS-ID PT Master Web Network | - ID |
2020-11-17 19:54:29 | 51.75.222.163 | TrickBot | Offline | Not listed | AS16276 OVH | - FR |
2020-11-17 15:27:19 | 199.189.108.71 | TrickBot | Offline | Not listed | AS29854 WESTHOST | - US |
2020-11-17 14:48:49 | 162.212.158.135 | TrickBot | Offline | Not listed | AS11878 TZULO | - US |
2020-11-16 05:13:24 | 156.96.119.28 | TrickBot | Offline | SBL461359 | AS46664 VDI-NETWORK | - US |
2020-11-14 13:30:10 | 43.245.216.190 | TrickBot | Offline | Not listed | AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. | - KH |
2020-11-14 13:30:10 | 49.156.41.74 | TrickBot | Offline | Not listed | AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. | - KH |
2020-11-14 13:30:06 | 45.230.8.34 | TrickBot | Offline | Not listed | AS266710 Gimenez Pedro Santiago (Clorindaconectada) | - AR |
2020-11-13 20:27:34 | 156.96.62.82 | TrickBot | Offline | SBL461359 | AS46664 VDI-NETWORK | - US |
2020-11-13 18:32:27 | 91.200.103.217 | TrickBot | Offline | Not listed | AS30823 COMBAHTON combahton GmbH | - DE |
2020-11-13 18:07:29 | 94.140.115.229 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-13 18:07:29 | 91.200.103.193 | TrickBot | Offline | Not listed | AS30823 COMBAHTON combahton GmbH | - DE |
2020-11-13 18:07:28 | 144.172.64.26 | TrickBot | Offline | Not listed | AS8100 ASN-QUADRANET-GLOBAL | - US |
2020-11-13 07:24:54 | 181.165.68.127 | Heodo | - Online | Not listed | AS10318 Telecom Argentina S.A. | - AR |
2020-11-12 19:56:45 | 195.123.241.22 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-11 23:43:23 | 99.247.33.186 | Heodo | Offline | Not listed | AS812 ROGERS-COMMUNICATIONS | - CA |
2020-11-11 21:25:19 | 113.163.216.135 | Heodo | Offline | Not listed | AS45899 VNPT-AS-VN VNPT Corp | - VN |
2020-11-11 18:50:25 | 94.140.115.91 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-11 18:47:35 | 195.123.240.119 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-11 18:42:44 | 194.5.249.196 | TrickBot | Offline | Not listed | AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL | - RO |
2020-11-11 10:53:47 | 195.123.241.222 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-10 13:28:20 | 195.123.241.226 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-09 19:48:23 | 195.123.240.40 | TrickBot | Offline | Not listed | AS204957 GREENFLOID-AS | - US |
2020-11-09 19:38:42 | 94.140.115.99 | TrickBot | Offline | Not listed | AS43513 NANO-AS | - LV |
2020-11-09 16:44:20 | 189.55.48.40 | Heodo | Offline | Not listed | AS28573 CLARO S.A. | - BR |
2020-11-08 19:08:15 | 41.231.225.139 | Heodo | Offline | Not listed | AS2609 TN-BB-AS Tunisia BackBone AS | - TN |
2020-11-08 02:04:18 | 208.74.26.234 | Heodo | Offline | Not listed | AS32584 I-NETLINK | - CA |
2020-11-08 02:04:16 | 190.146.92.48 | Heodo | Offline | Not listed | AS10620 Telmex Colombia S.A. | - CO |
2020-11-08 02:04:10 | 5.2.212.254 | Heodo | Offline | Not listed | AS8708 RCS-RDS 73-75 Dr. Staicovici | - RO |
2020-11-07 21:26:18 | 110.39.162.2 | Heodo | - Online | Not listed | AS38264 WATEEN-IMS-PK-AS-AP National WiMAX/IMS environment | - PK |
2020-11-07 21:26:17 | 86.127.212.235 | Heodo | Offline | Not listed | AS8708 RCS-RDS 73-75 Dr. Staicovici | - RO |
2020-11-07 21:26:15 | 181.120.72.110 | Heodo | Offline | Not listed | AS23201 Telecel S.A. | - PY |
2020-11-07 17:55:58 | 37.221.70.250 | Heodo | Offline | Not listed | AS49121 INFTELE-AS | - CZ |
2020-11-07 17:46:51 | 79.110.52.103 | TrickBot | Offline | Not listed | AS9009 M247 | - NL |
2020-11-07 06:55:50 | 66.85.183.5 | TrickBot | Offline | Not listed | AS20454 SSASN2 | - US |
2020-11-07 06:55:50 | 91.200.102.21 | TrickBot | Offline | Not listed | AS30823 COMBAHTON combahton GmbH | - DE |
2020-11-07 06:55:50 | 51.81.112.135 | TrickBot | Offline | Not listed | AS16276 OVH | - US |
2020-11-07 06:55:50 | 194.5.249.176 | TrickBot | Offline | Not listed | AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL | - RO |
2020-11-07 05:05:29 | 185.163.47.157 | TrickBot | Offline | Not listed | AS39798 MIVOCLOUD | - MD |
2020-11-07 02:39:49 | 186.146.229.172 | Heodo | - Online | Not listed | AS10620 Telmex Colombia S.A. | - CO |
2020-11-07 01:40:24 | 94.52.168.188 | Heodo | Offline | Not listed | AS48161 NG-AS Sos. Bucuresti - Ploiesti nr. 42-44 | - RO |
2020-11-06 20:18:20 | 78.125.252.112 | Heodo | Offline | Not listed | AS8228 CEGETEL-AS | - FR |
2020-11-06 20:00:28 | 81.241.22.161 | Heodo | Offline | Not listed | AS5432 PROXIMUS-ISP-AS | - BE |
2020-11-06 20:00:28 | 27.78.27.110 | Heodo | Offline | Not listed | AS7552 VIETEL-AS-AP Viettel Group | - VN |
2020-11-06 20:00:28 | 27.82.13.10 | Heodo | Offline | Not listed | AS2516 KDDI KDDI CORPORATION | - JP |
2020-11-06 00:38:19 | 5.2.182.7 | Heodo | Offline | Not listed | AS8708 RCS-RDS 73-75 Dr. Staicovici | - RO |
2020-11-06 00:38:15 | 80.15.100.37 | Heodo | - Online | Not listed | AS3215 France Telecom - Orange | - FR |
2020-11-05 19:40:19 | 98.150.169.135 | Heodo | Offline | Not listed | AS20001 TWC-20001-PACWEST | - US |
2020-11-05 19:40:15 | 12.184.217.101 | Heodo | Offline | Not listed | AS7018 ATT-INTERNET4 | - US |
2020-11-05 19:40:14 | 109.116.245.80 | Heodo | Offline | Not listed | AS30722 VODAFONE-IT-ASN | - IT |
2020-11-05 19:40:13 | 51.89.36.180 | Heodo | - Online | Not listed | AS16276 OVH | - GB |
2020-11-05 19:00:00 | 177.85.167.10 | Heodo | Offline | Not listed | AS52743 Twister Soft Net Ltda | - BR |
2020-11-05 19:00:00 | 186.188.212.201 | Heodo | Offline | Not listed | AS18809 Cable Onda | - PA |
2020-11-05 18:59:02 | 74.75.104.224 | Heodo | - Online | Not listed | AS11351 TWC-11351-NORTHEAST | - US |
2020-11-05 18:54:13 | 154.127.113.242 | Heodo | Offline | Not listed | AS37358 BITCO | - ZA |
2020-11-05 13:48:14 | 221.161.206.22 | Heodo | Offline | Not listed | AS4766 KIXS-AS-KR Korea Telecom | - KR |
2020-11-05 13:48:10 | 82.208.149.146 | Heodo | Offline | Not listed | AS6830 LIBERTYGLOBAL Liberty Global (formerly UPC Broadband Holding, aka AORTA) | - RO |
2020-11-03 22:12:14 | 190.147.84.191 | Heodo | Offline | Not listed | AS10620 Telmex Colombia S.A. | - CO |
2020-11-03 16:47:43 | 190.7.217.90 | Heodo | Offline | Not listed | AS27876 American Data Networks | - CR |
2020-10-29 19:16:38 | 181.120.29.49 | Heodo | - Online | Not listed | AS23201 Telecel S.A. | - PY |
wenn ich den JDownloader einsetze bin ich davor erstmal sicher oder sind die heruntergeladenen Dateien auch in irgend einer Weise infiziert?
Es geht nur um den eigentlichen Besuch der Webseite. Den Virenscanner würde ich so oder so drüber laufen lassen, nach dem Download…
Das würde ja dann bedeuten, dass nicht nur sämtliche Zippyshare-Server vollst. verseucht wären, sondern auch, dass zig Millionen Files dort im einzelnen hätten infiziert werden müssen! Kaum vorstellbar! Dann wäre nämlich der Dienst selber völlig wertlos und wäre schon lange abgeschaltet worden!
Bei Files, die Filme, Serien und Musik etc. enthalten würde das noch funktionieren. Aber bei Spielen und Programmen, welche mit Patch / Crack ausgeliefert werden, ist das wohl kaum zu empfehlen!
Bei dieser Art von Dateien wird ein Scanner immer etwas finden, was ihm nicht gefällt und den Crack oder Patch entweder vollständig löschen bzw. seine Funktion zerstören!! Also eher kontraproduktiv bei diesen Files!
CannaPower warnt immer noch:
Wir schalten Uploads auf Zippyshare wieder frei, aber bitte beachten:
Wer von Zippyshare downloaded, sollte unbedingt ein Downloadtool benutzen (z. B. JDownloader). [seit 13.12.2020]