Seite 4: Während das alles passiert ...

Inhaltsverzeichnis

Während das alles passiert ...

Während das alles passiert, bleibt auch hp1.exe nicht untätig. (Sie erinnern sich an die Datei? Das ist die, mit der wir heute angefangen haben.) Sie telefoniert nach Hause, um den Typen bei roing.com zu versichern, dass im Malware-Land alles ok ist, dass es alles, was ihm aufgetragen wurde, erledigt hat und dass es einen großen "digitalen Klaps auf den Rücken" verdient hat:

"http:// logs.roings.com/log3.php?c={D358D17F-0D1A-4A98-A98D-810B01216183} &what=newinstall&aff=bigs104&country=US&ocx18=1&myexe=1&avatar=1&e2give=1"

"Seht her, was ich gemacht habe! Ich hab "ocx18", (mm20.ocx), "myexe" (8-24.exe), "avatar" (ast_4_mm.exe) und "e2give" (MediaMotor25.exe) auf dem Rechner dieses armen Trottels installiert. Seid ihr nicht stolz auf mich?"

Da will natürlich der Wise-Installer nicht zurückstehen und telefoniert ebenfalls schnell nach Hause, um die dort wissen zu lassen, dass auch er seinen Job gut gemacht hat:

"http://www.avatarresources.com/count/count.php?&mm2cpr_new"

Und was ergibt das Ganze jetzt?

Auf Ottos Computer wurden so viele tolle und aufregende "Zusätze" installiert, dass ich langsam den Überblick verliere. Sehn wir mal nach: Da sind jetzt gleich zwei "Provisions-Manager" (SAHAgent und e2give), einiges Zeug von avatarresources.com und ein paar Dateien von tt2.avres.net. Und es kommt noch mehr -- glauben Sie mir.

Zur Erinnerung: Das alles ist das Ergebnis nur EINES Besuchs einer Website mit einer nicht-gepatchten Maschine.

Falls Sie mal jemandem erklären müssen, was ihm passieren kann, wenn er sein System nicht patcht, zeigen Sie ihm nur diese Liste mit dem Zwischenstand (und ich zähl da nur ausführbare Inhalte):

hp2.exe (16,384 bytes)
tvmupdater4bp5.exe (195,072 bytes)
AtPartners.dll (96,256 bytes)
SplWbr.dll (454,656 bytes -- entpackt drei Dateien mit 892,288 bytes)
ezbdlLs.dll (151,040 bytes -- entpackt vier Dateien mit 314,880 bytes)
hp1.exe (49,152 bytes)
mm20.ocx (61,440 bytes)
8-24.exe (40,960 bytes)
MediaMotor25.exe (9,056 bytes)
ast_4_mm.exe (129,152 bytes)
IeBHOs.dll (129,536 bytes)
cpr_mm2.exe (270,415 bytes)
ab1.exe (500,869 bytes)
tvm_bundle.exe (53,738 bytes)
und natürlich cpr_mm2.exe (270,415 bytes) nochmal...

Die beschämende Gesamtsumme (bisher.. da kommt noch einiges):

Heruntergeladen: 15 Dateien mit 2.428.141 Byte
Installiert: 20 Dateien, die 3.029.613 Byte auf der Platte belegen.

Und ich hab zweifellos noch ein paar übersehen...

Zu Beginn des zweiten Teil von "Schädlingen auf der Spur" hab ich behauptet, dass Ottos PC ihm nicht mehr gehört. Mit über 2 MByte Software, die ohne seine Erlaubnis heruntergeladen, ausgeführt und installiert wurde, kann man wohl zweifellos behaupten, dass Otto nicht mehr der Herr im Haus ist. Aber wer ist es dann?

Im nächsten Teil will ich zum Ende kommen und die Software, die da auf Ottos PC installiert wurde, etwas genauer unter die Lupe nehmen, um mehr über die herauszufinden, die unsere Systeme und Netze täglich mit einer Flut von Spyware und Adware attackieren. Bleiben Sie dran – das wird lustig.

zu Teil 4

---

http://www.labreatechnologies.com