heise online Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Tatort Internet: Angriff der Killervideos

Tatort Internet: Angriff der Killervideos

Hintergrund 04.08.2010 11:19 Uhr Sergei Shevchenko
Inhaltsverzeichnis
  1. Tatort Internet: Angriff der Killervideos
  2. Bit-Schubser
  3. Null-Zeiger
  4. Ein Bilderrätsel
  5. Auf einer Seite lesen

„Hast du den Rechner schon wieder kaputt gemacht? Er spielt das Video einfach nicht ab!“ Es war ein langer Tag und eigentlich hab ich keine Lust auf Fehlersuche. Aber wenn sie diesen Ton anschlägt, springt der Admin lieber. Und der Admin zu Hause bin nun mal ich.

Irgendwie kann ich aber nicht so recht glauben, dass die Ursache auf unserem PC zu suchen ist. Vielleicht ist ja das Video selbst kaputt. Im Quelltext der immer noch offenen Webseite findet sich ein <Object>-Tag mit einem Link zu einer SWF-Datei – also einem Video im Shockwave-Flash-Format, das sich im Web weitgehend durchgesetzt hat. Da die URL schon recht komisch aussieht, schwant mir Übles und ich lade es für weitere Untersuchungen auf meinen Rechner herunter.

Für ein SWF-File ist die Datei mit gerade mal 846 Bytes ziemlich klein. Da lässt sich nicht allzu viel Sinnvolles unterbringen. Obwohl es eine Multimedia-Datei ist, werfe ich wie üblich als erstes einen Blick mit dem Hex-Editor darauf. Gerade wenn eigentlich nur rohe, unleserliche Daten zu erwarten sind, geben eventuell trotzdem vorhandene Strings oft nützliche Hinweise.

So auch hier: Was hat ein Verweis auf die Windows-Bibliothek urlmon.dll in einer Flash-Datei zu suchen? In Kombination mit der ebenfalls sichtbaren URL und dem Dateinamen c:\6123t.exe erzählt das schon fast die ganze Geschichte – jedenfalls wenn man mal ein paar Exploits analysiert hat.

Die Müdigkeit ist verflogen, jetzt will ich es genau wissen. Von meinen letzten Experimenten mit Flash erinnere ich mich noch an die SWFTools, die mir damals gute Dienste geleistet haben. Sie lassen mich auch diesmal nicht im Stich. Der Befehl

swfdump -D -d -u exploit.swf 

verrät mir als erstes, dass es sich um eine Datei im Flash-Format 9 handelt – aktuell ist Version 10. Doch das hat noch nichts zu bedeuten, denn Flash ist rückwärtskompatibel und Version 9 wird immer noch häufig eingesetzt. Dahinter folgen die sogenannten Tags mit den eigentlichen Inhalten. Weiter unten sehe ich, dass Pfadangabe, URL und der Verweis auf die Bibliothek Bestandteil eines Blocks mit der Bezeichnung DEFINEBITSJPEG sind. JPEG? Wer’s glaubt!

Meine Aufmerksamkeit wecken die nächsten beiden Datenblöcke:

[056] 40 SCENEDESCRIPTION 
=> 99 b4 8e a0 08 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 43
[056] 12 SCENEDESCRIPTION
=> 01 00 e5 9c ba e6 99 af 20 31 00 00

Eine SCENEDESCRIPTION aus lauter 0x20-Zeichen? Der Datentyp 0x56, also dezimal 86, sagt mir nichts, deshalb ziehe ich die Beschreibung des SWF-Dateiformats zu Rate, die Adobe zum Glück öffentlich verfügbar gemacht hat. Typ 86 steht für DefineSceneAndFrameLabelData und enthält „Daten für Szenen und Rahmen eines MovieClips“. Also Verwaltungsinformationen für ein Flash-Filmchen, die hauptsächlich aus 0x20-Zeichen bestehen. Ja, nee, is klar! Ich wittere eine Spur – das seh ich mir genauer an.

Vorherige 1 2 3 4 Nächste

Mehr zum Thema

  • Adobe
  • Adobe Flash
  • Malware
  • Tatort Internet
  • Trojaner

Forum bei heise online: Tatort Internet

Teile diesen Beitrag

https://heise.de/-1047129 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Cisco (div. Produkte)

Update

Fake-Shop täuscht PS5-Kunden

Update
c't Magazin

QNAP NAS TS-231 (u.a.)

Citrix Hypervisor

Eigenwerbung
Online-Konferenz am 21. April: Mastering Websecurity

Moderne Webanwendungen sicher gestalten

Lernen Sie auf der Online-Konferenz am 21. April, wie Sie Security-Risiken für Ihre Webanwendungen erkennen und absichern. Profitieren Sie bis zum 9. April von unserem Frühbucher-Rabatt und sparen Sie 50 €!

Anzeige
Anzeige
  • Online-Konferenz: Kotlin-Wissen für Entwickler
  • Couchbase – Plattform für Ihre Daten!
  • Wie und womit arbeiten Data-Science-Experten?
  • User-Accounts effektiv schützen mit MFA & YubiKeys
  • Transformation im Supermarkt – aus der Praxis!
  • Success Story (+Demo): Patch-Management in Praxis
  • Sichere Videokonferenzen im Unternehmen
  • Sicherheit in der Cloud ohne Leistungsverluste
  • Verständliche Video-Zusammenarbeit am Arbeitsplatz
  • Moderne SD-WANs: Den Datenverkehr klug leiten
Artikel

Windows: REvil-Trojaner trickst abgesicherten Modus aus

Eigentlich soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner macht ihm damit den Garaus.

53 Kommentare

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

18 Kommentare mit Video

Neueste Forenbeiträge

  1. Desinfect, wie komme ich an eine aktuelle Version
    Ich wollte das Heft kaufen, doch der Heise Link zum Shop funktioniert nicht, bzw. desinfect wird nicht zum Kauf angeboten. Wie komme ich an…

    Forum:  Desinfect

    martin0815100 hat keinen Avatar
    von martin0815100; Freitag, 18:00
  2. Re: Desinfect im Netz ( PXE - NFS - SAMBA bzw. SMB mit CIFS )
    Sorry, ist "einfach" auf Android Tablet unter Edge losgeschrieben incl. copy/paste auch unter Android ... Beitrag sieht auf Tablet ok aus - ich…

    Forum:  Desinfect

    rmarquar hat keinen Avatar
    von rmarquar; Freitag, 14:26
  3. APP.5.2.A7 Migration von Exchange-Systemen
    Cmdr_Archer schrieb am 14.10.2017 02:40: Täusch ich mich, oder bieten nicht die Baussteine im neuen Grundschutz genau das? Du gehst also zum…

    Forum:  IT-Grundschutz: BSI schließt Modernisierung ab

    root (1) hat keinen Avatar
    von root (1); Donnerstag, 03:54
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien