Manchmal bekomme ich auch E-Mails mit Fragen zum Thema Malware. Da fragt mich jemand ob die Malware (ein umfangreiches JavaScript), die er via Google-Bildersuche untergeschoben bekam, etwas mit SQL-Injection zutun haben könnte. Ohne ein Beispiel parat zu haben, vermutete ich:
Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?
Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.
Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.
Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)
(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)
Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)
In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.
Aber nun zum Verbreitungsweg.
Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.
Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:
- PHP-Script des Blogs wird aufgerufen.
http://opfer.tld/15.php?q=zeuch
[REFERRER] http://www.google. - Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
- Eine
ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.
Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.
Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains
http://www.utrace.de/?query=npbtfqxt.ce.ms
http://www.utrace.de/?query=vzaynvro.ce.ms
http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.
Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.
Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.
Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.
Link in der Bildersuche von Google:
http://www.google.de/imgres
?imgurl=http://xyz.imageshack.us/zeuch.png
&imgrefurl=http://opfer.tld/15.php?q=zeuch&page=7
(...)Es wurde ein vorhandenes Bild mit der Seite des Opfers verbunden.
Der Link zum rumänischen Server:
http://npbtfqxt.ce.ms/in.cgi
?seoref=http%3A%2F%2Fwww.google.de%2Fimgres(...)
¶meter=$keyword
&se=$se
(...)Der Angreifer verwendet wahrscheinlich ein gut funktionierendes Script für SEO-Spam, ohne allerdings deren SEO-Features zu nutzen, weshalb beispielsweise das
$keyword noch in dem Link zu finden ist.Ohne die Lücke in der Google-Suche, die Links indexiert die es so nicht gibt bzw. offensichtlich nicht koscher sind, hätte es der Angreifer ungleich schwerer, seine Malware unter das Volk zu bringen.
Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.
Update: 12.05.2011 – 15:56 Uhr
Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.