Seite 3: Steuerdaten

Inhaltsverzeichnis

Steuerdaten

Nachdem Ottos Computer diese "Steuerdaten" heruntergeladen hatte, nahm er auf auf TCP Port 8010 Kontakt mit "http://www.mastermind.com/a?l=PeAyF1sgrZYw&i=aaa.bbb.ccc.ddd" auf (wobei aaa.bbb.ccc.ddd wieder die IP-Adresse von Ottos Rechner war). Als Antwort bekam er drei Zeilen mit Daten: "2", "US", "0".

Das passt zu den Länderkennungen, die bereits an ein paar Stellen in den entschlüsselten Daten aufgetaucht waren. Offenbar reagiert der Schädling unterschiedlich, je nachdem, in welchem Land sich die infizierte Maschine befindet. Das Skript auf www.mastermind.com nimmt eine IP-Adresse entgegen und liefert die zugehörige Länderkennung. Die anderen beiden Codes ("2" und "0") steuern wohl andere Teile des Schädlings.

Sofort nachdem er die Länderkennung von mastermind.com erhalten hatte, kontaktierte Ottos Computer "http://bins2.media-motor.net/soft/mm20.ocx" und lädt, installiert und registriert ein 61.440-Byte großes OCX (Anm. des Übersetzers: OLE Control Extension, eine veraltete Form von ActiveX-Controls, also Programmen, die anderen Programmen Dienste bereitstellen). Ersten Tests zufolge handelt es sich dabei um eine OCX-Version von hp1.exe. Es enthält die gleichen Zeichenketten und scheint diesselben Funktionen bereitzustellen. Ich schätze, es fungiert als fest installierte ("resident") Version von hp1.exe.

Und weiter geht's: Als nächstes holt hp1.exe von "http://bins2.media-motor.net/soft/loads/8-24.exe" ein ausführbares Programm mit 40.960 Byte. Dessen Name "8-24" leitet sich vom Datum des Downloads, dem 24. August, ab.

Gemäß des Marschbefehls in der entschlüsselten Steuerdatei wendet sich Ottos Rechner nun an "http://www.avatarresources.com/dist/ast_4_mm.exe" und lädt dort ein weiteres, 129.152-Byte-großes Programm herunter. Dann geht es zu "http://bins2.media-motor.net/soft/MediaMotor25.exe" und holt dort ein Programm mit 9,056 Byte.

Beide Dateien werden gestartet und MediaMotor25.exe beginnt unverzüglich einen weiteren Download von "http://64.7.220.98/downloads/IeBHOs.dll", der sich als ein Browser Helper Object (BHO, 129.536 Byte) für den Internet Explorer entpuppt. IeBHOs.dll ist ein bekannter Bestandteil der Adware von "e2give". Weil es im Internet Explorer installiert und damit im Wesentlichen Bestandteil des Browsers wurde, ist es in der idealen Position, Ottos Surfziele zu protokollieren und Aufrufe von bestimmten Seiten so umzuändern, dass Provisionen an e2give fließen. Gemäß e2gives Web-Site spendet die Firma einen Teil aller Einnahmen durch solche Einkäufe an das e2give Wohltätigkeitsnetz. Damit ist es natürlich völlig legitim, dass sie ihre Software auf Ottos Rechner ohne dessen Einverständnis installieren. (Ja, das war Sarkasmus).

Die Datei ast_4_mm.exe von avatarresources.com ist ein Wise-Installations-Programm (Anm. des Übersetzers: Das Wise Installation System ist ein Software-Installations-Paket). Während der Installation telefoniert es nach Hause, um die netten Leute von avatarresources wissen zu lassen, dass es eine neue Heimat gefunden hat:

"http://www.avatarresources.com/count/count.php?&mm2_us&mm2_new_nocpr"

Die Wise-Installation hat eine eigene Download-Engine, die die Site mit dem interessanten Namen "www.wenksdisdkjeilsow.com" kontaktiert und dort die URL "http://www.wenksdisdkjeilsow.com/config/?v=5&n=mm2&i=" aufruft. Trotz einiger Fehler die das erzeugt, schickt sie weitere Konfigurationsinformationen. (Hey Leute, wenn ihr euch schon die Mühe macht, das alles aufzusetzen, dann setzt wenigstens die Rechte auf eure Skripte richtig...)

566
<br />
 
Warning:  SAFE MODE Restriction in effect. 
The script whose uid is 500 is not allowed to access
/usr/local/psa/home/vhosts/wenksdisdkjeilsow.com/httpdocs
/config/log owned by uid 10011 in /usr/local/psa/home
/vhosts/wenksdisdkjeilsow.com/httpdocs/config/index.php
on line 24<br /><br />
Warning:  fopen("/usr/local/psa/home/vhosts
/wenksdisdkjeilsow.com/httpdocs/config/log", "a") -
Inappropriate ioctl for device in /usr/local/psa
/home/vhosts/wenksdisdkjeilsow.com/httpdocs
/config/index.php on line 24<br />
 
<br />
Warning:  fputs(): supplied argument is not a
valid File-Handle resource in /usr/local/psa
/home/vhosts/wenksdisdkjeilsow.com/httpdocs/config/index.php
on line 25<br />
<br />
Warning:  fclose(): supplied argument is not a
valid File-Handle resource in /usr/local/psa
/home/vhosts/wenksdisdkjeilsow.com/httpdocs/config/index.php
on line 26<br />
 
[URLS]
2,http://tt2.avres.net/tt/remove_spyware.exe
2,http://tt2.avres.net/tt/curgsi.exe
3,http://searchlocate.com/toolbar/searchlocate.exe
 
[VERSION]
5
 
[PROGRAM URL]
http://www.wenksdisdkjeilsow.com/files/ast_5_main.exe
 
[ID]
ArKJ9t9HzRnbf0GineJhq
 
[PRIORITY]
1,http://tt2.avres.net/tt/cpr_mm2.exe
2,http://tt2.avres.net/tt/ab1.exe
3,http://tt2.avres.net/tt/tvm_bundle.exe
4,http://tt2.avres.net/tt/cpr_mm2.exe
 
0

Das ist einfach miserabel programmiert: Wenn ihr eine Datei öffnet, MÜSST ihr überprüfen, ob die zurückgelieferten Handles auch gültig sind... verdammt ... das ist Programmierer-Einmaleins. Aber ich schweife ab...

Schauen Sie da oben! Ich seh noch mehr URLs, die zu ausführbaren Dateien führen. Ich frag mich, was da wohl passiert...

Egal ... wir kommen langsam zum Ende der verschlüsselten Liste und Ottos Computer holt sich noch eine Datei von "http://ups.roings.com/soft/unstall.exe." Das ist anscheinend ein Uninstall-Programm in Visual Basic mit 45.056 Bytes. Es zielt allerdings nur auf ein paar Dateien, die hp1.exe direkt installiert hatte.

Aber beinah hätten wir vergessen, dass im Hintergrund noch eine Wise-Installation läuft. Und Sie haben richtig geraten -- die lädt fleißig nach:

"http://tt2.avres.net/tt/cpr_mm2.exe" (270,415 bytes)
"http://tt2.avres.net/tt/ab1.exe" (500,869 bytes)
"http://tt2.avres.net/tt/tvm_bundle.exe" (53,738 bytes)
"http://tt2.avres.net/tt/cpr_mm2.exe" (270,415 bytes - ????????)

Ja, Sie haben richtig gesehen. Das holt tatsächlich zweimal die selbe Datei. (Es muss sich wohl um einen besondere Charaktereigenschaft von Leuten mit ausgeprägten moralischen Defiziten handeln, dass sie gleichzeitig clever und dumm sein können. Manchmal ziehen die Autoren solcher Programme wirklich erstaunliche Sachen aus dem Hut -- nur um dann gleich darauf wieder etwas unglaublich dämliches zu machen. Stetigkeit, Jungs, Stetigkeit...)