Schädlingen auf der Spur, Teil 3
Im dritten Teil der Serie illustriert Tom Liston, dass auf einem ungepatchten System ein einziger falscher Klick genügt, damit megabyteweise Software installiert wird. Und die macht, was sie will.
Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.
Achtung: Die meisten Links im folgenden Text sind absichtlich nicht klickbar. Betrachten Sie das als Warnung...
Bevor wir unseren Kaninchenbau weiter erforschen, ein paar Anmerkungen:
Ich möchte mich bei allen, die dieser Exkursion folgen, für ihre Geduld bedanken. Es ist vermutlich schwer nachzuvollziehen, wie zeitaufwendig die Recherchen für diese kleinen Essays sind. Außerdem haben mich eine ganze Reihe von Dingen von der Arbeit an diesem Teil abgelenkt, wie Familie, Job und der übliche "Kram", der beim SANS ISC so anfällt: MS04-028, das Tool GDIScan, das das ISC in ein GDIScan Helpdesk umfunktioniert hat (sorry Leute!), die jährliche SANS Network Security in Vegas und so weiter... Bitte entschuldigen Sie also die lange Wartezeit; ich hoffe sie war es wert.
Nachdem das erledigt ist, gibt es zum Aufwärmen eine kurze Zusammenfassung der bisherigen Reise. Außerdem wär jetzt ein guter Zeitpunkt, nochmal die Toilette aufzusuchen und Bier und Chips bereitzulegen -- denn wenn wir einmal loslegen, gibt es keine Pausen mehr. Machen Sie ruhig -- ich warte...
Fertig? Gut! Auf geht's.
Im Anfang war Otto Normalo. Und Otto kaufte sich einen neuen Computer und ging damit ins Internet. Und mit seinem Computer surfte Otto, las E-Mail und hatte Spaß mit Spielen. Und Otto sah sich das Internet an und sah, dass es gut war.
Doch während Otto das Gute im Internet kannte, wusste er nicht um das Böse, das ebenfalls im Internet lebte. Und so patchte er nicht.
Dann, eines Tages, kam er unwissentlich an einen bösen Ort und Böses befiel seinen neuen Rechner.
Wie böse? SEHR böse:
Aus Schädlingen auf der Spur, Teil 1:
1. Ottos Startseite wurde verändert. Sie zeigt nun auf:
http://default-homepage-network.com/start.cgi?new-hkcu
2. Ottos Standardsuchseite wurde umgebogen auf: http://server224.smartbotpro.net/7search/?new-hkcu
3. Der Suchassistent wurde abgeschaltet.
4. Dafür wurde "TV Media Display" installiert
5. und addictivetechnologies.net beglückte Otto mit einer Datei, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C bezeichnet.
Und aus Schädlingen auf der Spur, Teil 2:
6. Auf Geheiß der Malware von Addictive Technologies lud sich Ottos Rechner "Anweisungen" von F1Organizer.com herunter.
7. Durch diese Anweisungen tauchten zwei neue "Favoriten" in Ottos Browser auf und zwei neue "Geschenke" wurden auf dem PC installiert (SplWbr.dll and ezbdlLs.dll.
8. Die Installation von SplWbr.dll brachte den "Ad Destroyer and Virtual Bouncer" from SpyWare Labs, Inc. und die "TopRebates.com AutoTrack" Software auf Ottos Rechner.
9. Die Installation von ezbdlLs.dll lud ein "Utility zum Downloaden und Upgraden von Software" von "ABetterInternet" nach -- ein Utility, das das Surfen im Internet "einfach, aufregend und persönlich" gestaltet, wie die netten Leute von "ezULA" versichern. Außerdem landete das Browser-Hijacking-Tool SAHAgent auf dem Rechner.
10. Und schließlich wurde die Datei hp1.exe heruntergeladen und über einen .CHM-Exploit ausgeführt.
An der Stelle haben wir das letzte Mal aufgehört und ich versprach, dass hp1.exe ein schwerer Brocken wird. Also lassen Sie uns hp1.exe analysieren.
