Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Vergiftetes DNS

Seite 5: Welche Domain-Namen wurden umgeleitet?

Inhaltsverzeichnis

Welche Domain-Namen wurden umgeleitet?

Wir haben einige Log-Dateien von zwei der Server des ersten Angriffs erhalten, die am 4.3. entdeckt wurde. Beachten Sie jedoch, dass die Maschinen kompromittiert waren, die Daten also nicht verlässlich sind. Diese Log-Dateien ergeben die folgende Statistik für drei Tage (2.-5.3.)

  • 1.304 Domain-Namen wurden entführt
  • 7.973.953 HTTP-Anfragen von 966 verschiedenen IP-Adressen
  • 75.529 eingehende E-Mails von 1.863 unterschiedlichen Mail-Servern
  • 7.455 fehlgeschlagene FTP-Logins von 635 IP-Adressen (95 Benutzernamen).
  • 7.692 versuchte IMAP-Logins (805 User, 411 IP-Adressen).
  • 2.027 versuchte Logins auf 82 verschiedenen Web-Mail-Servern.

Ein Administrator hatte uns am 4.3. eine Kopie seines vergifteten DNS-Caches geschickt. Allein für seine Site wurden 665 Hostnamen vergiftet. Da die gesamte .COM-Domain vergiftet war, wäre jeder Zugriff seiner Anwender auf einen Namen, der auf .COM endet, auf einen der feindlichen Server geleitet worden.

Die folgende Übersicht zeigt, welch weitreichende Konsequenzen ein solcher Angriff haben kann. Wichtig ist, dass auch E-Mail, FTP-Logins, HTTPS-Sitzungen und anderer Verkehr auf die bösartigen Server umgeleitet wurden. Es gibt zwar keine Anzeichen, dass der Angreifer E-Mails gelesen oder Passwörter gesammelt hat -- sicher kann man sich da jedoch nicht sein.

Bitte beachten Sie, dass die aufgeführten Firmen nicht von dem Angriff betroffen waren. Es ist jedoch durchaus möglich, dass ihre Kunden unwissentlich Login-Daten oder persönliche Informationen an die bösartigen Server übermittelt haben. Und eine letzte Anmerkung: Dies ist nur eine Liste der Domainnamen, die in einem einzigen Netz vergiftet wurden -- es hätte auch jeden anderen erwischen können.

Finanzen:
--------
americanexpress.com (credit cards)
citicards.com (credit cards)
billpay.quickbooks.com (financial software/services)
adp.com (data processing)
hrblockemail.com (financial services)
 
Firmen-Präsenzen
----------------
dhl-usa.com (global shipping)
fedex.com (global shipping)
walmart.com (retail)
samsclub.com (retail)
kraftfoods.com (food products)
averydennison.com (paper products, labels)
ppg.com (worlwide commercial products)
nortelnetworks.com (telecommunications)
potterybarn.com (retail)
weightwatchers.com (retail)
dressbarn.com (retail)
moviefone.com (online movie listings/purchase)
nascar.com (car racing)
officemax.com (retail office supplies)
verizonwireless.com (wireless telephone service)
qvc.com (retail)
 
Unterhaltung/Medien/News
------------------------
cnn.com
nbc.com
abc.com
fox.com
foxnews.com
espn.com
yahoofs.com
starwave.com (part of go.com)
hotjobs.com (job search)
chicagotribune.com
tribune.com
suntimes.com
wgnradio.com
businessweek.com
wired.com
randomhouse.com
imdb.com (online music database)
napster.com (online music)
musicmatch.com (online music)
allofmp3.com (online music)
audible.com (online music)
modblog.com (mobile blogging site)
entertainment.com
courttv.com
 
Hardware/Software
-----------------
trendmicro.com (anti-virus)
redhat.com (linux vendor)
msoffice.com
microsoftoffice.com
officeupdate.com
giantcompany.com (microsoft's new anti-spyware)
autodesk.com (AutoCAD)
realone.com
realplayer.com
emc.com (enterprise storage)
creative.com (consumer electronics)
lavasoftusa.com (personal firewalls)
tomshardware.com (pc hardware)
 
ISP/Hosting/Suche
------------------
msn.com
compuserve.com
realpages.com
geocities.com
hotbot.com
switchboard.com
cleanmail.com
webex.com
catalog.com
about.com
 
Gesundheit
----------
webmd.com (online medical advice)
lilly.com (pharmaceuticals)
questdiagnostics.com (medical testing)
 
Reisen
------
orbitz.com
sabre.com
tickets.com

Welche Web-Sites waren betroffen?

Ohne ausdrückliche Genehmigung veröffentlichen wir keine Namen von Betroffenen. Wir stellen lediglich allgemeine Informationen zusammen. Aufgrund der eingegangenen Berichte und der ausgewerteten Log-Dateien schätze ich vorsichtig, dass circa 500-1000 mittlere bis große Unternehmen betroffen waren.

Etwa zehn Firmen, die uns kontaktierten, hatten über 1000 Angestellte. Sie kommen aus unterschiedlichen Branchen (Banken, Industrie, Versicherungen, Telekommunikation). Interessanterweise sind die meisten Opfer in Nord- und Südamerika zu finden.

Welche Schädlinge wurden auf meinem System installiert, wenn ich die bösartigen Server besucht habe?

Die Web-Server des ersten und dritten Angriffs versuchten ein Spyware-Programm auf dem Rechner der Opfer zu installieren, indem sie eine Sicherheitslücke des Internet Explorer bei der Behandlung von Dateien mit animiertem Cursor ausnutzten. Diese Schwachstelle wurde am 11. Januar 2005 veröffentlicht, weitere Informationen dazu liefert:

http://www.microsoft.com/technet/security/Bulletin/MS05-002.mspx

Kurze Zeit nach Bekanntgabe der Schwachstelle wurde ein Proof-of-Concept-Exploit veröffentlicht. Der Angriff verwendete die Dateinamen aby.ani und abx22.ani. Virustotal identifiziert die ANI-Dateien als:

Kaspersky:   Trojan-Downloader.Win32.Ani.d
McAfee:      Exploit-ANIfile
BitDefender: Exploit.Win32.MS05-002.Gen

Diese ANI-Exploits versuchten eine der beiden Dateien abx_search.exe oder mhh.exe zu installieren, die gleich waren. Sie werden gemeldet als:

Kaspersky: AdWare.ToolBar.SearchIt.h
Panda: Adware/AbxSearch

Wenn Sie sich mit dieser Toolbar infiziert haben, sollten Sie sie mit Ihrem bevorzugten Anti-Spy/Adware-Programm aufspüren und entfernen.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten