Schädlingen auf der Spur, Teil 4
In diesem Teil der Serie beschäftigt sich Tom Liston vornehmlich mit der Frage "Wer steckt hinter dem Ganzen" und stößt dabei auf einen alten Bekannten vieler Anti-Spam-Aktivisten.
Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.
Schädlingen auf der Spur Teil 1, Teil 2, Teil 3
Während unseres Streifzugs durch das heimtückische Strandgut, das das Internet auf Otto Normalos Rechner gespült hatte, erhielt ich hunderte von Leserbriefen, die im Wesentlichen eine Frage stellten:
"Tom, wer sind diese Leute?"
(Ok ... eigentlich hab ich EINE E-Mail bekommen und die hat sich über meine Weitschweifigkeit beschwert. Betrachten Sie das oben als "künstlerische Freiheit")
Also anstatt mich kopfüber in die Analyse von noch mehr Code zu stürzen, möchte ich heute einen kleinen Abstecher machen und mal sehen, was ich über die Leute herausfinden kann, die uns all diese so aktiven "Geschenke" bescheren. Wer profitiert davon, Ottos Rechner so durcheinander zu bringen?
Das neue Ziel erfordert auch neue Methoden -- eine freundlichere, softere Herangehensweise. Ich werde den Geek-Faktor ein bisschen reduzieren und mir einen Urlaub von der harten Code-Analyse gönnen. Um das zu feiern, hab ich meine neuen Garfield-Hausschuhe angezogen (kleine Kinder; Vatertag; keine Wahl; bitte fragen Sie nicht weiter ...) und bin bereit loszulegen. Zur Abrundung will ich diesem Teil auch einen Untertitel geben:
Schädlingen auf der Spur 4: Entspannen in flauschigen Pantoffeln
(Sorry, ich konnte nicht widerstehen)
Ok ... sehen wir mal, was wir rausfinden...
Wenn Sie von Anfang an dabei waren, ist Ihnen vielleicht etwas Seltsames aufgefallen. Nachdem Sie gelesen haben, was mit Ottos Computer passiert ist, hat Sie vielleicht das merkwürdige Gefühl beschlichen, dass da etwas Größeres dahinter steckt -- wie bei einem Puzzle, bei dem noch einige Teile fehlen, sodass Sie das Gesamtbild nicht erkennen können.
So ging es mir jedenfalls. Da war "etwas", das sich während dieser ganzen Reise langsam in meinem Unterbewusstsein herauskristallisiert hat und erst kürzlich an die Oberfläche drang. Da ist es:
In Teil 1:
- Otto ruft "yahoogamez.com" auf und ihm wird eine Anzeige von aim4media.com präsentiert.
- Die enthält einen IFRAME, der mynet-MML.html von 205.236.189.58 lädt.
- mynet-MML.html enthält ein Skript, das hp2.htm von 69.50.139.61 lädt.
- hp2.htm vergewaltigt Ottos Computer mit einem CHM-Exploit, der den originellen Namen hp2.chm trägt.
- hp2.chm holt sich aus dem Netz (bemerken Sie das Muster?) hp2.exe.
- hp2.exe installiert "TV media display" auf Ottos Rechner.
In Teil 2:
- Ein Ausflug auf Ottos neue Startseite (die auf "http://default-homepage-network.com" gesetzt wurde -- niemand kann behaupten, diese Typen wären kreativ, wenn es um Namen geht) zeigt die Warnung, dass Ottos Rechner eventuell mit Spyware infiziert sei (Ach, sag bloß!).
- In der Warnungsseite "newspynotice.htm," haben wir verwürfeltes JavaScript entdeckt, das auf einen IFRAME verwies, mit dem Namen (Halt: Falls Sie das nur überfliegen, sollten Sie jetzt aufpassen. Denn das ist wichtig ...) "hp1.htm" von 69.50.139.61.
- hp1.html zieht Ottos Rechner mit einem CHM-Exploit eins über, das (wie originell!) hp1.chm heißt.
- hp1.chm holt aus dem Netz eine Datei namens (erkennen Sie das Muster wieder?) hp1.exe
Hey ... HEY ... HEY! Was zum Teufel geht da ab?
Offenbar haben die Typen, die mynet-MML.html auf 205.236.189.58 gesetzt haben und die von newspynotice.htm auf "http://default-homepage-network.com" den gleichen, unterentwickelten Einfallsreichtum beim Benennen ihrer Dateien.
Oder so ähnlich ...
