| |
Home / Weblog / April 2009
Analytiker-Tagebuch
Selbst ist der User: Trojan-Ransom.Win32.Blocker entfernen |
|
Oleg SaitzevDie Familie Trojan-Ransom.Win32.Blocker ist ein klassisches Beispiel für Erpressungs- und Betrugs-Malware. Bei der Installation auf dem Computer schreiben sich Schädlinge dieser Art in den Autostart, den Registry-Key [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], Parameter "Userinit", wodurch der Start des Betriebssystems blockiert wird. Sobald die Schädlinge die Kontrolle über den Start des Betriebssystems erlangt haben, öffnet sich ein Fenster, in dem der Anwender aufgefordert wird, eine SMS mit einem bestimmten Text an eine bestimmte Kurznummer zu senden. Im Gegenzug wird dem User die Übermittlung eines Codes versprochen, mit dessen Hilfe das Schadprogramm unschädlich gemacht und der Start des Computers entblockt werden soll.  Der Schädling Trojan-Ransom.Win32.Blocker selbst lässt sich relativ problemlos mit Hilfe von AVZ, AVPTool oder manuell aus dem Registry-Editor entfernen. Es gibt da allerdings noch ein Problem: Der Start des Computers ist blockiert und der Anwender erhält weder Zugriff auf den Arbeitsplatz noch kann er irgendwelche Programme oder Tools starten. Auch der abgesicherte Modus von Windows ist blockiert. Ich wollte nun gern wissen, ob tatsächlich alles so aussichtslos ist und ob der Anwender nicht doch auch ohne Spezialwerkzeuge, Live CD und besondere technische Kenntnisse etwas unternehmen kann. Nach verschiedenen Versuchen zeigte sich ein recht einfacher Algorithmus:
- Drückt man gleichzeitig die Windows-Taste und U auf der Tastatur, so öffnet sich das Fenster des Hilfsprogramm-Managers. Wie sich zeigte, hat es hohe Priorität und der Trojaner kann ihm nichts anhaben.
- Startet man nun in diesem Fenster die Bildschirmlupe, so öffnet sich ein Informationsfenstern mit einem Link auf die Microsoft-Website. Klickt man auf den Link, so wird der Internet-Explorer gestartet.
- Mit Hilfe des IE kann man nun alle nötigen Programme, wie z.B. AVZ oder AVPTool herunterladen und diese von der Festplatte des PC starten.
Nach dem Start des IE sollte man zunächst die wichtigsten Dinge erledigen, und zwar den Rechner desinfizieren, Logs und Quarantäne nach den Regeln der Foren von Kaspersky Lab und VirusInfo machen und die Schädlinge löschen .
|
MariaAls Spam-Analyst kommen ganz unterschiedliche Kuriositäten aus der ganzen Welt zu Gesicht. Gerade heute fand ich eine Nachricht mit einem Standardtext („Dieser Link wurde Ihnen von [Name] zugeschickt”) und einem Link, der anscheinend zur Online-Ausgabe Bild.de der Boulevardzeitung führt. 
Wenn der Nutzer/die Nutzerin nun auf diesen Link klickt, kommt er oder sie zu einer Website, die in Aufmachung und Inhalt der Site Bild.de sehr ähnlich ist. Der Text des verlinkten „Zeitungs“-Artikels ist allerdings ziemlich Aufsehen erregend: Zunächst handelt er von der Finanzkrise (wieder einmal!), bevor er dann zu einem etwas originelleren Thema übergeht: Sex sells! 
Das mag vielleicht nicht gerade neu erscheinen, aber der Trick dabei ist, dass dem Leser nicht mitgeteilt wird, wo er Pornos kostenlos herunterladen oder anschauen kann. Die Links in dem gefälschten Artikel (s.o.) führen zu echten Berichten über die Wirtschaftslage auf Bild.de, zu einer Standard-Pornosite sowie zu der unten aufgeführten Website. 
Betrachtungen über das Kido/Conficker-P2P-Netzwerk |
|
Georg WicherskiDurch eine Verhaltensanalyse des Kido-Netzwerks waren wir in der Lage, ein Programm zu entwickeln, mit dem wir einen grundlegenden Einblick in die Kommunikationswege der Schadsoftware über das P2P-System gewinnen konnten. Dieses Netzwerk wurde von dem Schädling in den letzten Wochen dazu benutzt, sich selbst mit Updates zu unterhalten. Über einen Beobachtungszeitraum von 24 Stunden haben wir 200652 eindeutige betroffene IP-Adressen identifiziert, d.h. weitaus weniger als die ursprünglich erwartete Zahl an Infektionen. Diese niedrigere Zahl ist hauptsächlich darauf zurückzuführen, dass das Peer-to-Peer-Netzwerk lediglich aus den neuesten Varianten des Conficker-Wurms gebildet wird, und dass lediglich ein Bruchteil der mit früheren Varianten befallenen Knoten mit diesen neuen Varianten aktualisiert wurde. Die globale Verbreitung des Wurms entspricht durchaus dem Bild, das mit der ursprünglichen Einschätzung der Infektionszahl gezeichnet wurde. In Hinblick auf die Peer-Zahl heben sich Brasilien und Chile deutlich ab: 
Allerdings scheint keine einzige Region auf der Welt von Infektionen verschont geblieben zu sein. Aufgrund der unterschiedlichen Auflösung der verwendeten GeoLocation-Datenbanken für IP-Adressen ist die Punktdichte in einem Land jedoch nicht repräsentativ für die Anzahl an Infektionen: 
Bei einem genaueren Blick auf die USA stellt man fest, dass in deren östlichen Staaten mehr P2P-Knoten laufen als im westlichen Teil: 
Eine interessante Tatsache, die wir durch die Beobachtung des Netzwerks herausfinden konnten, ist, dass es wegen der Größe der von jedem Knoten betriebenen Peer Caches sehr schnell möglich ist, den Kern des Netzwerks (der gut vernetzt ist) auszumachen. Innerhalb der ersten zwanzig Minuten stellten wir fest, dass 10,4% der gesamten Peer-Population nicht das exponentielle Wachstum aufwies, wie es im Falle kleinerer Peer Caches erwartet worden wäre: 
Daher ist anzunehmen, dass ein Knoten stabile Verbindungen aufrecht halten kann, sobald er einen anderen infizierten Knoten, der bereits mit dem Netzwerk verbunden ist, gefunden hat, und dass eine Separation des Netzwerks unwahrscheinlich ist. Allerdings scheint das Auffinden dieses ersten Knotens für einige Hosts relativ schwierig zu sein: So haben wir eine ganze Reihe Knoten ausgemacht, die mit keinem anderen Knoten verbunden waren.
Twitter-Würmer nicht die einzige Bedrohung |
|
Eine wirkliche Überraschung sind diese Würmer wohl kaum, denn der Micro-Blogging Dienst Twitter war gerade in letzter Zeit mit einer ganzen Reihe von Sicherheitsproblemen in die Schlagzeilen geraten.
Bei der Ausnutzung von Sicherheitslücken geht der Wurm auch nicht besonders raffiniert vor. Der Autor? Ein gelangweilter 17-jähriger, der über Ostern einfach nichts Besseres zu tun hatte.
Eine Geschichte wie diese lässt unweigerlich Erinnerungen an die Malware-Landschaft, wie sie vor zehn Jahren aussah, aufkommen: Auch der aktuelle Schädling ist eher lästig und will Aufsehen erregen, als dass er tatsächlich eine Bedrohung darstellt, denn bisher sind keine sensiblen Nutzerdaten gestohlen worden.
Als ich gestern die Vorgänge bei Twitter beobachtete, „hörte“ ich eine Menge Tweets über TwitZap. In der Annahme, dass es sich um einen Wurm handelt, stellte ich ein paar Recherchen an und stellte fest, dass dies keineswegs der Fall ist. TwitZap ist ein gesonderter Dienst mit einem netten „Weiterempfehlen“-Button, mit dem Twitter-Teilnehmer ein Status-Update posten können, und der Dienst so weiterempfohlen wird.
Was man zur Aktivierung tun muss? Einfach nur den Button anklicken, und ein entsprechendes Update wird an das Twitter-Konto gesendet!
Kido (Conficker): Ernüchterung |
|
Überall auf der Welt haben wir bereits den 2. April und das Internet funktioniert nach wie vor. Bis jetzt ist alles in Ordnung. Kido / Conficker / Downadup stand in dieser Woche wahrhaftig im Zentrum der Aufmerksamkeit. Doch wie die Mehrzahl der Experten vermutet hatte, passierte am 1. April gar nichts. Der ganze Lärm erinnerte mich an Sober, der eigenartigerweise nicht einmal beiläufig in den unzähligen Geschichtchen erwähnt wurde, die ich in den letzten Tagen gelesen habe. Vor etwas mehr als 3 Jahren trat eine Epidemie des Mailwurms Email-Worm.Win32.Sober.y auf (darüber schrieb damals Costin). Als Sober.у aktualisiert werden sollte, erstarrte die ganze Welt und wartete, genau wie heute. Und genauso wie heute passierte am ersten Tag absolut nichts. Es wird interessant sein zu beobachten, wo und wann die Parallelen zwischen Sober und Kido / Conficker beendet sind. Viele Massenmedien fragen, ob denn der zu erwartende aktualisierte Kido nur ein gewöhnlicher Scherz sein wird. Ich kann mit Sicherheit sagen: „Nein“. Doch sollten Gerüchte über die Verhaftung der Urheber des Wurms zu Ihnen gedrungen sein, dann war das leider wirklich ein Aprilscherz.
| |
