Polina

Omdat mensen weten dat ik mij steeds doodverveel, kreeg ik een berichtje in mijn IM client:

ICQ: 467439249
Hallo. Mijn naam is Polina. Ik ben naar Nederland komen studeren.
Ik zoek een vriend / seks-partner. Hij moet een goede man zijn, serieus, betrouwbaar, slim.
Als je mij wilt leren kennen, laat me weten. Je kunt ook gewoon mijn vriend blijven.
Mijn foto’s vind je op mijn homepage: w w w . a r c . n l
ALSJEBLIEFT, ALLEEN ERNSTIGE AANBIEDINGEN. KUSJES, POLINA

Aha, eindelijk iets te doen... ;-)

# telnet www.arc.nl 80
Trying 212.125.128.198...
Connected to www.arc.nl.
Escape character is '^]'.
GET / HTTP/1.1
host: www.arc.nl
HTTP/1.1 200 OK
Server: Roxen/BuGless
Last-Modified: Sun, 13 Jan 2008 21:31:07 GMT
ETag: "52fb2e114e0093dc8ed9c86ff50fd821"
Accept-Ranges: bytes
Content-Length: 86
Date: Mon, 14 Jan 2008 13:02:27 GMT
Connection: keep-alive
Content-Type: text/html
<script type="text/javascript">
window.location = "http://louse.ru/aes_fi/";
<script>

www. a r c .nl wordt dus onmiddellijk geredirect naar een Russische site.
Niet dat ik iets tegen Russen heb, maar als je dat bericht nog niet verdacht vond, begint het nu wel verdacht te worden...

# dig louse.ru
;; QUESTION SECTION:
;louse.ru.                      IN      A
;; ANSWER SECTION:
louse.ru.               1800    IN      A       65.27.5.6
louse.ru.               1800    IN      A       71.228.246.37
louse.ru.               1800    IN      A       79.116.41.60
louse.ru.               1800    IN      A       85.66.49.199
louse.ru.               1800    IN      A       210.6.255.41

En met 5 servers zijn ze precies klaar voor een heavy load...
Waarschijnlijk gehackte boxen.

Deze servers zijn netjes geografisch verspreid over verschillende tijdszones (werkuren) om deze site zo lang mogelijk up te houden.
Als 1 van deze servers down zou gaan, is er tijd genoeg om een andere server te vinden en de DNS up te daten.

Wegens de geografische verspreiding is het dus quasi onmogelijk om ze allemaal gelijktijdig down te brengen.

Het DNS domein werd pas in December 2007 geregistreerd.

De eerste pagina bevat een iframe van 1x1 pixel naar een counter en een aantal gewone frames.
De hoofdframe bevat:

# telnet 65.27.5.6 80
Trying 65.27.5.6...
Connected to 65.27.5.6.
Escape character is '^]'.
GET /aes_fi/index2_files/index.htm HTTP/1.1
HOST: louse.ru
HTTP/1.1 200 OK
Date: Mon, 14 Jan 2008 15:54:34 GMT
Server: Apache
Last-Modified: Mon, 14 Jan 2008 01:08:49 GMT
ETag: "83e77a-29f-51910a40"
Accept-Ranges: bytes
Content-Length: 671
Content-Type: text/html
Image gallery
<p align="center">
<a href="http://louse.ru/dl/iPIX-install_nl.exe">
<img src="/index_data/file1.jpg" /></a>
</p>
<br />
<p align="center">
<br />
Please be patient, it may take time for the image to download.
If you cannot see an image, you may need to
<a href="http://louse.ru/dl/iPIX-install_nl.exe" target="_blank">
download</a> the iPIX plug-in.
</p>
<p align="center">
<img src="/index_data/eyenavlogo-bglight.gif" width="105" height="28" />
</p>

Bingo, een .exe...

# md5sum iPIX-install_nl.exe
b559fda06bb1c8e9fc6e7e28cec38c56  iPIX-install_nl.exe

Als we deze .exe laten analyseren door virustotal.com, dan lijkt deze file suspicious te zijn voor 9 van de 32 anti-virus programma's:

http://www.virustotal.com/analisis/431d40f5f95e9757a89332fe24471b01

Dus waarschijnlijk ga je geen foto's te zien krijgen...

Ik heb deze executable doorgestuurd naar het Internet Storm Center van Sans (isc.sans.org) zodat zij dat verder kunnen analyseren. Ik heb daar namelijk geen verstand van...

OK, dan.
Damage control.

Als we arc.nl uit de lucht kunnen halen, of toch "herstellen", is er minder gevaar voor de mensen die dit bericht krijgen, dus zoeken we de ISP, nl. Cubic Circle, http://www.cuci.nl/

Helaas ziet de website er al erg onprofessioneel uit, dus dat wordt waarschijnlijk moeilijk.
Ook omdat niemand daar de telefoon opneemt: Niet de helpdesk, niet de technical contact. De administrative contact van arc.nl heeft een onbestaand telefoonnummer, enz...

Geweldig.
Die ISP is niets waard...