Heimcomputer als Webproxy für Sexangebote missbraucht
Ein neuer Trojaner namens Migmaf befällt Computer und startet einen Webproxy um für Pornoseiten zu werben.
Die New York Times berichtet über den neuen Trojaner Migmaf, der PCs von Internetbenutzern infiziert. Er installiert und startet einen Webproxy, der Anfragen an einen Master-Server umleitet, auf dem für diverse Sexseiten geworben wird.
Der Proxy arbeitet als Reverse-Proxy, wird also nur als Relay zwischen dem eigentlichen Webserver und dem Client benutzt. Betreiber solcher Server gehen damit der Gefahr aus dem Weg, von ISPs rausgeworfen zu werden, wenn sie zum Beispiel illegale Inhalte anbieten. Nur die aufgerufene Domäne kann nachvollzogen werden, da der Proxy direkt mit dem Server kommuniziert, -- somit wird die Verbindung zum Server verschleiert. Die Betreiber bieten ihre Seiten unter verschiedenen Domänennamen an.
Um die Entdeckung dubioser Aktivitäten des PCs zu erschweren, wird jeder befallene Computer nur für zehn Minuten als Proxy verwendet. Auf einigen Systemen wird ein spezieller DNS-Server gestartet, der die Auflösung der Domain-Namen zu den IP-Adressen vornimmt und alle 10 Minuten zwischen befallenen Systeme umschaltet. Der Trojaner, der auf den Seiten von LURHQ eingehend analysiert wurde, erkennt auch, ob er auf einem System installiert ist, welches über eine schnelle Internetverbindung verfügt und meldet dies an einen Kontrollserver. Darüberhinaus läßt sich der Proxy auch zum Versenden von Spam verwenden.
Der Sicherheitsexperte Richard M. Smith hat sich der Sache angenommen und beobachtet seit dem 5. Juli die Aktivitäten des Trojaners. Bereits über 2000 IP-Adressen mißbrauchter PCs will er registriert haben, die meisten im Adressraum von AOL.COM. Einige diese Revers-Proxys sollen auch benutzt worden sein, um die gestern gemeldeten gestohlenen PayPal-Daten weiterzuleiten.
Wie der Trojaner, sich derzeit verbreitet ist unklar, da er keine eigenen Mechanismen zu Verbreitung in sich trägt. Vermutet wird, dass eine Variante von W32/Sobig.E den Trojaner Huckepack transportiert. Migmaf sitzt im Windows-Systemverzeichnis als ausführbare Datei mit dem Namen wingate.exe. (dab)
