Schädlingen auf der Spur, Teil 5
Seite 6: Schädlingen auf der Spur, Teil 5
Ist das nicht nett? Ich liebe es, wie die nicht mal mehr versuchen, den Schein zu wahren. Mit Variablennamen wie "Trojan_Path" erübrigen sich wenigstens Diskussionen über angeblich "harmlose Marktforschungs-Tools".
A pro pos Trojan_Path -- schauen wir doch mal, was wir da am anderen Ende finden. Die Datei divx.exe ist ein Win32-Programm mit 21536 Bytes. Ein kurzer Blick enthüllt schnell, dass das Programm mit FSG gepackt ist, einen kaputten PE-Header und einen kleinen, ziemlich verbogenen MZ-Header aufweist. Schon wieder versucht jemand, etwas zu verstecken.
Gepackte und verstümmelte Programme sind auch nur Widrigkeiten, die einem ernsthaften Versuch sie auszupacken, nicht viel entgegenzusetzen haben. Denn wie die "Verschlüsselung", die wir gerade "geknackt" haben, tragen sie den Schlüssel zu ihrem Geheimnis mit sich. Mit ein bisschen Trickserei geben sie ihr Geheimnis preis. FSG ist da keine Ausnahme und mit ein bisschen Fummelei konnte ich auch divx.exe auspacken. Dabei entdeckte ich einige interessante Dinge.
Beim Start kopiert sich divx.exe als winldra.exe in den Ordner \Windows\system32, legt dort einige DLL-Dateien ab und setzt einen Autostart-Schlüssel in der Registry, um beim Systemstart aktiviert zu werden (HKLM\Software\Microsoft\Windows\CurrentVersion\Run). Die DLLs benutzt das Programm um sich in den Windows-Hook CBTProc einzuklinken. Das ist ein dubioses Windows-feature für Computer Based Training, über das ein Prozess beobachten kann, was im aktiven Fenster passiert.
Microsoft schreibt dazu: "Das System ruft diese Funktionen auf, bevor es ein Fenster aktiviert, erzeugt, vernichtet, minimiert, maximiert, bewegt oder seine Größe verändert; bevor es System-Kommandos beendet; bevor es Maus- oder Tastatureingaben aus der Message Queue entfernt; bevor es den Tastaturfokus setzt; oder bevor es die Message Queue des Systems synchronisiert. Ein computergestütztes Trainingsprogramm (CBT) benutzt diesen Hook, um vom System nützliche Benachrichtigungen zu erhalten."
"Nützliche Benachrichtigungen" also... Stimmt! Ziemlich nützlich, wenn du ein Virus bist. Mit diesem Zugriff überwacht das Programm zum Beispiel den Zugang zu diversen Banken-Seiten:
cbonline.co.uk
new.egg.com
anbusiness.com
my.if.com
co-operativebank.co.uk
abbeynational.co.uk
smile.co.uk
commerzbank.com
cbksec.com
westlb.de
westlbmarkets.net
adig.de
ebase.com
dresdner-privat.de
teledata.de
diba.de
schwaebisch-hall.de
bayernlb.de
bfg.de
seb.de
cashbox.de
1822direkt.com
internet-filiale.net
comdirect.de
diraba.de
dab-bank.com
dit.de
fraspa1822.de
haspa.de
gad.de
gallinat.de
helaba-trust.de
heller-bank.de
ikb.de
lbb.de
lrp.de
lbbw-direkt.de
lbbw.de
leonberger.de
wuestenrot.de
nordlb.de
olb.de
rwg.de
rbgarrel.de
rb-graefo.de
paffrather.de
rb-pfaffenhofen-roth.de
raiba-nu-wh.de
santander.de
sparda-hh.de
sparda.de
spk-marne.de
izb.de
lzo.com
naspa.de
osgv.de
neumarkt-direkt.de
sskduesseldorf.de
sskm.de
suedwestlb.de
ammerland.de
borkenervb.de
vilstal.net
hsbc.co.uk
sparkasse
skodabank.de
volkswagenbank.de
bmwbank.de
Des weiteren sind da noch einige Tricksereien mit Servern von citibank.de, die ich allerdings noch nicht ganz durchschaue.
Nebenher korrigiert das Programm alle Rechenfehler des Benutzers, während er die Seiten benutzt. (Nein, ich wollte nur sehen, ob Sie noch aufpassen.) In Wahrheit schneidet das Programm alle Eingaben auf diesen Seiten mit und versendet die via E-Mail. Und das protokolliert es auch noch in einem Registry-Eintrag:
HKCU\Software\SARS\mailsended = 1
Nett, oder? Außerdem spielt es in altbekannter Manier mit der Hosts-Datei des Systems herum und leitet eine beträchtliche Zahl von Adressen bekannter Antivirus-Firmen auf die Loopback-Adresse um.
Zur Information: Als ich anfing, mit diesem Schädling rumzuspielen, hab ich in an alle wichtigen AV-Hersteller geschickt, sodass er bald über deren Signatur-Dateien entdeckt werden sollte. Des weiteren versuchen wir, die bösartigen Seiten still zu legen.
Wenn ich in Anbetracht dieser Erkenntnisse die Geschichte von SJLNMJ nochmal überdenke, komme ich zu dem Schluss, dass die tatsächlich Hilfe brauchten: Hilfe, um Zugang zu meinem Online-Banking-Konto zu erlangen. Ich hab damit meine Lektion gelernt: Anderen zu helfen ist dumm. Die Diebe und Gauner dieser Welt missbrauchen unsere Hilfsbereitschaft nur, um sie gegen uns zu benutzen. DEN Fehler mach ich nicht nochmal.
Hey! Schau mal dort! Da ist dieser Typ in Nigeria, der einen Weg sucht, 50000 US-Dollar außer Landes zu schaffen. Alles was er dazu braucht, ist ein bisschen Hilfe ...
ju
