Tatort Internet: Angriff der Killervideos
„Hast du den Rechner schon wieder kaputt gemacht? Er spielt das Video einfach nicht ab!“ Es war ein langer Tag und eigentlich hab ich keine Lust auf Fehlersuche. Aber wenn sie diesen Ton anschlägt, springt der Admin lieber. Und der Admin zu Hause bin nun mal ich.
- Sergei Shevchenko
Irgendwie kann ich aber nicht so recht glauben, dass die Ursache auf unserem PC zu suchen ist. Vielleicht ist ja das Video selbst kaputt. Im Quelltext der immer noch offenen Webseite findet sich ein <Object>-Tag mit einem Link zu einer SWF-Datei – also einem Video im Shockwave-Flash-Format, das sich im Web weitgehend durchgesetzt hat. Da die URL schon recht komisch aussieht, schwant mir Übles und ich lade es für weitere Untersuchungen auf meinen Rechner herunter.
Für ein SWF-File ist die Datei mit gerade mal 846 Bytes ziemlich klein. Da lässt sich nicht allzu viel Sinnvolles unterbringen. Obwohl es eine Multimedia-Datei ist, werfe ich wie üblich als erstes einen Blick mit dem Hex-Editor darauf. Gerade wenn eigentlich nur rohe, unleserliche Daten zu erwarten sind, geben eventuell trotzdem vorhandene Strings oft nützliche Hinweise.
So auch hier: Was hat ein Verweis auf die Windows-Bibliothek urlmon.dll in einer Flash-Datei zu suchen? In Kombination mit der ebenfalls sichtbaren URL und dem Dateinamen c:\6123t.exe erzählt das schon fast die ganze Geschichte – jedenfalls wenn man mal ein paar Exploits analysiert hat.
Die Müdigkeit ist verflogen, jetzt will ich es genau wissen. Von meinen letzten Experimenten mit Flash erinnere ich mich noch an die SWFTools, die mir damals gute Dienste geleistet haben. Sie lassen mich auch diesmal nicht im Stich. Der Befehl
swfdump -D -d -u exploit.swf
verrät mir als erstes, dass es sich um eine Datei im Flash-Format 9 handelt – aktuell ist Version 10. Doch das hat noch nichts zu bedeuten, denn Flash ist rückwärtskompatibel und Version 9 wird immer noch häufig eingesetzt. Dahinter folgen die sogenannten Tags mit den eigentlichen Inhalten. Weiter unten sehe ich, dass Pfadangabe, URL und der Verweis auf die Bibliothek Bestandteil eines Blocks mit der Bezeichnung DEFINEBITSJPEG sind. JPEG? Wer’s glaubt!
Meine Aufmerksamkeit wecken die nächsten beiden Datenblöcke:
[056] 40 SCENEDESCRIPTION
=> 99 b4 8e a0 08 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 43
[056] 12 SCENEDESCRIPTION
=> 01 00 e5 9c ba e6 99 af 20 31 00 00
Eine SCENEDESCRIPTION aus lauter 0x20-Zeichen? Der Datentyp 0x56, also dezimal 86, sagt mir nichts, deshalb ziehe ich die Beschreibung des SWF-Dateiformats zu Rate, die Adobe zum Glück öffentlich verfügbar gemacht hat. Typ 86 steht für DefineSceneAndFrameLabelData und enthält „Daten für Szenen und Rahmen eines MovieClips“. Also Verwaltungsinformationen für ein Flash-Filmchen, die hauptsächlich aus 0x20-Zeichen bestehen. Ja, nee, is klar! Ich wittere eine Spur – das seh ich mir genauer an.
