Anti Rootkit

It’s a later news that a new worm is spreading via MSN messenger since May.5. It sends out the message about the animation of Bush in Spanish,such as “mira esta animacion de bush :P”, and a file “bush.exe” will be downloaded from a link. These links seem to have been closed now. AV vendors have already detected it.

http://videosgratis.gratishost.com/bush.exe
http://animacionesflash.gratishost.com/bush.exe

The size is 122,880 bytes, written by VB, Kaspersky detects it as IM-Worm.Win32.VB.au.

Alias:
Win32/VB.NKS [NOD32], Win32.Worm.VB.AU [Bit Defender], Worm.VB-110 [ClamAV], W32/MSNDiablo.A.worm [Panda Software], W32/Culler-D [Sophos]

McAfee VirusScan SuperDAT

http://www.mcafee.com/apps/downloads/security_updates/superdat.asp

These two days,variants of Trojan-Downloader.Win32.Nurech are very activity,they have been masquerading as various German organizations,and spreading via spams.

Today,we received a variant which pretends to be from Quelle.de.Be careful please!

The spam is as the following:
======
From: info@odenwald-quelle.de (like this address)
Subject: Ihre Quelle.de Rechnung
Body:
Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom 06.03.2007 um 13:20 Uhr:

Vorgangs-ID: 375845526323
Verarbeitungscode: ART 7020524793830363857114551856247271572

Kundennummer: 928253628
——————————————————————————

Sehr geehrte Quelle Kunde,

vielen Dank für Ihre Bestellung bei www.quelle.de.

Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.

die Gesamtsumme fär Ihre Rechnung beträgt: 930,32 Euro (incl. Versandspesen: EUR 5,95)
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

Zahlungswunsch: Bankeinzug
Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
Verifikationsbericht finden Sie im Anhang dieser E-Mail.
Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH

Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
http://www.quelle.de/extern.cgi?id=375845526323

Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html

Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
und die Signatur zu prüfen.

Ihr Quelle Online Team

——————————————————————————

Wir bedanken uns nochmals für Ihre Bestellung.
Schauen Sie doch bald wieder einmal bei www.quelle.de vorbei.

Bestätigungs-ID: 928253628 (für interne Zwecke)

Stempelkarte
Jetzt anmelden & profitieren!

http://www.quelle.de/extern.cgi?id=375845526323

Attachment: Quelle_Rechnung_nqan288n.rar
======
In the .RAR file, there is a double extention file "Quelleu6dDenfi64in.pdf.exe".

The size is 16,896 bytes, Kaspersky detects it as Trojan-Downloader.Win32.Small.cig.

Upon execution, it will download some files:

http://releaseforlife.com/images/index3.txt
http://invitech.net/images/buttons/index3.txt
http://intercitiprojects.com.au/images/index3.txt
http://grantc.com/images/index3.txt
http://starcleaningservice.com.au/images/index.txt
http://northernsoulclub.com/Images/index.txt
http://graceinthedesert.org/images/photo_page/index2.txt
http://floorsovertexas.com/images/index2.txt

Microsoft has released Advance Notification for June 2007.

As while, a trojan spam is masquerating as Microsoft Security Update now. The content of spams is about Security Update for Internet Explorer. Of course, it’s a trojan, Kaspersky detects it as Trojan-Downloader.Win32.Agent.avk.

The spams are as the following:

From: “MSIE Update” security14@microsoft.com
Subject: Microsoft Security Update
Body:

Microsoft Security Bulletin MS06-31

Cumulative Security Update for Internet Explorer (145677125)

Published: June 3, 2007

Version: 1.0

Summary

Who should read this document: Customers who use Microsoft Windows

Impact of Vulnerability: Remote Code Execution

Maximum Severity Rating: Critical

Recommendation: Customers should apply the update immediately.

Security Update Replacement: This bulletin replaces several prior security updates. See the frequently asked questions (FAQ) section of this bulletin for the complete list.

Internet Explorer for Microsoft Windows XP Service Pack 2 – Download the update

Revisions:

V1.0 (June 3, 2007): Bulletin published

The malicious url:
http://amyberman.com/updatems06

The size of trojan is 8,704 bytes, packed with UPX 2.0, MD5 hash is 1884cae661e902d3414b12adf38e4e2b

Some days ago, we reported that Zhelatin worm masqueraded as Greeting card spams. Today, we receive new spams which masquerade as Ecard. Be careful please.

The spams are as the following:

Subject: You’ve received a postcard from a family member!
Body:
Good day.

Your family member has sent you an ecard from .hk.

Send free ecards from .hk with your choice of colors, words and music.

Your ecard will be available with us for the next 30 days. If you wish to keep
the ecard longer, you may save it on your computer or take a print.

To view your ecard, choose from any of the following options:

——–
OPTION 1
——–

Click on the following Internet address or
copy & paste it into your browser’s address box.

http://.hk/?6727482ac12896caca43e29

——–
OPTION 2
——–

Copy & paste the ecard number in the “View Your Card” box at
http://.hk/

Your ecard number is
6727482ac12896caca43e29

Best wishes,
Postmaster,
.hk

*If you would like to send someone an ecard, you can do so at
http://.hk/