Schädlingen auf der Spur, Teil 4

Inhaltsverzeichnis

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.

Schädlingen auf der Spur Teil 1, Teil 2, Teil 3

Während unseres Streifzugs durch das heimtückische Strandgut, das das Internet auf Otto Normalos Rechner gespült hatte, erhielt ich hunderte von Leserbriefen, die im Wesentlichen eine Frage stellten:

"Tom, wer sind diese Leute?"

(Ok ... eigentlich hab ich EINE E-Mail bekommen und die hat sich über meine Weitschweifigkeit beschwert. Betrachten Sie das oben als "künstlerische Freiheit")

Also anstatt mich kopfüber in die Analyse von noch mehr Code zu stürzen, möchte ich heute einen kleinen Abstecher machen und mal sehen, was ich über die Leute herausfinden kann, die uns all diese so aktiven "Geschenke" bescheren. Wer profitiert davon, Ottos Rechner so durcheinander zu bringen?

Das neue Ziel erfordert auch neue Methoden -- eine freundlichere, softere Herangehensweise. Ich werde den Geek-Faktor ein bisschen reduzieren und mir einen Urlaub von der harten Code-Analyse gönnen. Um das zu feiern, hab ich meine neuen Garfield-Hausschuhe angezogen (kleine Kinder; Vatertag; keine Wahl; bitte fragen Sie nicht weiter ...) und bin bereit loszulegen. Zur Abrundung will ich diesem Teil auch einen Untertitel geben:

Schädlingen auf der Spur 4: Entspannen in flauschigen Pantoffeln

(Sorry, ich konnte nicht widerstehen)

Ok ... sehen wir mal, was wir rausfinden...

Wenn Sie von Anfang an dabei waren, ist Ihnen vielleicht etwas Seltsames aufgefallen. Nachdem Sie gelesen haben, was mit Ottos Computer passiert ist, hat Sie vielleicht das merkwürdige Gefühl beschlichen, dass da etwas Größeres dahinter steckt -- wie bei einem Puzzle, bei dem noch einige Teile fehlen, sodass Sie das Gesamtbild nicht erkennen können.

So ging es mir jedenfalls. Da war "etwas", das sich während dieser ganzen Reise langsam in meinem Unterbewusstsein herauskristallisiert hat und erst kürzlich an die Oberfläche drang. Da ist es:

In Teil 1:

1. Otto ruft "yahoogamez.com" auf und ihm wird eine Anzeige von aim4media.com präsentiert.
2. Die enthält einen IFRAME, der mynet-MML.html von 205.236.189.58 lädt.
3. mynet-MML.html enthält ein Skript, das hp2.htm von 69.50.139.61 lädt.
4. hp2.htm vergewaltigt Ottos Computer mit einem CHM-Exploit, der den originellen Namen hp2.chm trägt.
5. hp2.chm holt sich aus dem Netz (bemerken Sie das Muster?) hp2.exe.
6. hp2.exe installiert "TV media display" auf Ottos Rechner.

In Teil 2:

1. Ein Ausflug auf Ottos neue Startseite (die auf "http://default-homepage-network.com" gesetzt wurde -- niemand kann behaupten, diese Typen wären kreativ, wenn es um Namen geht) zeigt die Warnung, dass Ottos Rechner eventuell mit Spyware infiziert sei (Ach, sag bloß!).
2. In der Warnungsseite "newspynotice.htm," haben wir verwürfeltes JavaScript entdeckt, das auf einen IFRAME verwies, mit dem Namen (Halt: Falls Sie das nur überfliegen, sollten Sie jetzt aufpassen. Denn das ist wichtig ...) "hp1.htm" von 69.50.139.61.
3. hp1.html zieht Ottos Rechner mit einem CHM-Exploit eins über, das (wie originell!) hp1.chm heißt.
4. hp1.chm holt aus dem Netz eine Datei namens (erkennen Sie das Muster wieder?) hp1.exe

Hey ... HEY ... HEY! Was zum Teufel geht da ab?

Offenbar haben die Typen, die mynet-MML.html auf 205.236.189.58 gesetzt haben und die von newspynotice.htm auf "http://default-homepage-network.com" den gleichen, unterentwickelten Einfallsreichtum beim Benennen ihrer Dateien.

Oder so ähnlich ...

B-I-N-G-O!

Deshalb ist es unser Ziel für heute, zu versuchen, Verbindungen zwischen "http://default-homepage-network.com", 205.236.189.58, und 69.50.139.61 herzustellen.

Na gut, wo sollen wir anfangen?

Eine DNS-Anfrage löst den Namen "default-homepage-network.com" in die Adresse 205.236.189.57 auf.

B-I-N-G-O!

Sehen wir mal nach, wer diesen Netzbereich administriert:

Block: 205.236.189.0 - 205.236.189.255
Service Telematique Service Internet de Montreal
6187A Louis Veuillot
Montreal, QC  H1M2N8
Canada

Und wie passt dann 69.50.139.61 da rein? Sie benutzen eine andere IP-Adresse, um den Ball ins Rollen zu bekommen, aber warum einen anderen Server?

Block: 69.50.139.0 - 69.50.139.127
OMEGABYTE Computer Corporation
205 West Ninth Street, Suite 201
Austin, TX  78701

Ein kurzer Blick auf die Web-Seite von Omegabyte zeigt uns die ersten Spuren zu einer Antwort: Omegabyte ist ein Web-Hoster. Es sieht so aus, als ob unsere "kanadischen" Freunde bei "default-homepage-network.com" sich einen Server in Texas gemietet haben. Aber warum?

Auf meinem Ausflug ins Spyware-Land habe ich eines gelernt: In dieser sich ständig ändernden Landschaft gibt es nur sehr wenige statische Größen. Der Kampf gegen Spyware folgt denselben "Regeln" wie der gegen Viren: Der, der sich am schnellsten anpasst, überlebt. Wer ein ruhendes Ziel bietet, wird ausgefiltert, blockiert oder "wegsigniert". Mittlerweile sind viele der Sites, die ich in dieser Serie erwähnt habe, keine Spyware-Fallen mehr. Sie wurden ausrangiert, als sie keinen Nutzen mehr brachten. Aller Wahrscheinlichkeit gehören die beiden Systeme in Kanada und Texas nur harmlosen Hostern, deren Netzwerkanbindung benutzt wurde.

Es sieht so aus, als haben die Leute in der Spyware-Industrie von den Spammern gelernt und nutzen Wegwerf-Accounts und Hosting-Dienstleister für ihre dreckige Arbeit. Und haben wir einen Server auf die schwarze Liste gesetzt, sind sie genau wie die Spammer längst zu einem anderen weitergezogen.

Domainnamen

Doch während sich IP-Adressen ständig ändern, bleiben die Domainnamen gleich ... Was können wir also über "default-homepage-network.com" rausfinden?

Die Domain ist registriert auf:

Seismic Entertainment Productions, Inc.
11 Farmington Road
Rochester, NH 03867

und ein bisschen Suchen nach "Seismic Entertainment Productions, Inc." führt auf:

http://www.ftc.gov/os/caselist/0423142/0423142.htm

Das ist ein Dokument mit dem Titel "Bundeshandelskammer, Kläger, gegen Seismic Entertainment Productions, Inc., SmartBot.net, Inc., und Sanford Wallace, Beklagter, US Bezirksgericht New Hampshire" ("Federal Trade Commission, Plaintiff, v. Seismic Entertainment Productions, Inc., SmartBot.net, Inc., and Sanford Wallace, Defendants., United States District Court, District of New Hampshire")

Wer schon mal mit Anti-Spam-Aktivitäten zu tun hatte, wird bei dem Namen "Sanford Wallace" bestimmt sehr hellhörig. Sanford "der Spam-König" Wallace hat eine sehr bunte Vergangenheit: Seine Firma Cyber Promotions war das Ziel von vielen Anti-Spam-Kampagnen in den späten 90ern. Doch angeblich hat sich der alte "Spamford" so um die Jahrtausendwende gewandelt und wurde seriös.

Anscheinend aber nicht so ganz ...

Es sieht so aus, als hätte Herr Wallace einen Rückfall gehabt, der ihm ein bisschen Ärger mit den US-Wettbewerbshütern der Federal Trade Commission (FTC) wegen "betrügerischer Wettbewerbspraktiken" eingebracht hat.

Wenn Sie die auf der FTC-Site verlinkte Klageschrift lesen

http://www.ftc.gov/os/caselist/0423142/041012comp0423142.pdf

sehen Sie, dass viele der Untaten derer Wallaces Firma "Seismic Entertainment Products, Inc." beschuldigt wird, in "Schädlingen auf der Spur" dokumentiert sind. Die Klage erwähnt auch eine zweite Firma von Mr. Wallace, passthison.com, die ebenfalls im zweiten Teil der Serie vorkommt.

Der Klage der FTC zufolge haben die Aktivitäten des früheren Spam-Königs ihn ins Fadenkreuz von Ermittlungen gebracht, die "Vertragsauflösung und die Rückerstattung unrechtmäßig erzielter Gewinne" zur Folge haben können.

Also mir persönlich wäre es ein paar Geldscheine wert, das mit der "Rückerstattung unrechtmäßig erzielter Gewinne" zu sehen.

Wer sind diese Leute?

Doch zurück zu der Frage am Anfang dieses kleinen Abstechers: "Wer sind diese Leute?"

Zumindest in diesem Fall können wir einem der Typen, die unsere Rechner mit Spyware zuschütten, mit einem mutmaßlichen Namen versehen (und einem mutmaßlichen Gesicht, wenn Sie so wollen: http://www.annonline.com/interviews/970522/biography.html)

Irgendwie überrascht es nicht sonderlich, beim Umdrehen dieses Steins einen "bekehrten" Spammer darunter zu finden. Wer von Spam ins Spyware-Geschäft wechselt, muss keine große ethische Kluft mehr überwinden -- es genügt ein kleiner Schritt über eine Bodenritze. Individuen mit einer verkrüppelten Moral, in der Profit alles andere überwiegt, fühlen sich offenbar in beiden Gebieten zu Hause. Ihr Charakterdefizit führt zu einer kompletten Missachtung von Eigentumsrechten. Für sie ist es nicht Ihr Mail-Eingang, Ihre Bandbreite oder Ihr Computer wenn sie einen Weg finden, etwas an Ihren Schutzvorrichtungen vorbeizuschmuggeln. Zu einer anderen Zeit an einem anderen Ort wären sie Wegelagerer, Veruntreuer oder Trickbetrüger.

Deshalb nominiere ich hiermit den "Spam-König" Wallace in Anbetracht der Jahreszeit für den ersten jährlichen "ISC Schäbiger Truthahn"-Preis, weil er (vermutlich) sowohl ein armseliger Spammer als auch ein dreckiger Spyware-Lieferant ist. Hoffentlich verbringt er einige Zeit in einem gestreiften Anzug.

Ich verspreche, dass ich im nächsten Teil weniger predigen werde und mich wieder der konkreten Analyse von Schadprogrammen widme. In der Zwischenzeit behalte ich den FTC-Fall im Auge und halte Sie auf dem Laufenden, falls etwas passiert.

Bevor ich mich wieder verabschiede und die Arbeit an Teil 5 beginne, will ich noch eine Herausforderung loswerden: Im Lauf dieser Artikel habe ich diverse Seitenhiebe an die Leute verteilt, die hinter diesem Mist stehen, der unsere Computer heimsucht. Ich hab ihre Fähigkeiten und ihre Moral in Frage gestellt und ich stehe hinter jedem verdammten Wort, das ich geschrieben habe. Falls du früher oder immer noch in der Spyware-Industrie arbeitest -- ich weiß ihr Typen lest das hier -- und dich traust vorzutreten (anonym oder nicht), um über das zu diskutieren, was ihr da treibt, nimm bitte Kontakt mit mir auf über das Kontakformular des ISC:

http://isc.sans.org/contact.php.

Hey Spamford! Lust auf einen Chat?

---

ju

weiter zu Teil 5 (ju)