[HaBo]

Hobo

Anzeige

Hallo Community,
ich habe mich hier registriert, und hoffe dass mein Post hier richtig untergebracht ist. Ich selbst programmiere auch, und werde hier gelegentlich vielleicht etwas beitragen können, aber ich hoffe hier solche zu erreichen, die vielleicht ein Testing-Environment am Start haben oder sich direkt mit der Analyse einer exe-Datei befassen können - Daher die Wahl dieses Unterforums.
ACHTUNG! ANHANG vermutlich VIRUS!
Also:

Ich surfe die ganze Nacht im Internet, weil ich zZt Schlaf Probleme habe. Evtl. wäre es hier sinnvoll wenn ich jemandem meine Browser-History gebe, wg. verdächtiger Sites, da war vielleicht der eine oder andere infizierte Blog dazwischen - wer weiß.

Dann suche ich auf Google mit folgendem Suchwort: "Bartlemud" - das ist so eine Art Vorläufer des heutigen Online MMORPGS auf Text-Basis und ich wollte mehr darüber wissen. Das erste Ergebnis, leicht nachvollziehbar erscheint ganz oben: Richard A. Bartle: Players Who Suit MUDs

Von Norton das grüne OK- Symbol daneben, dass die Seite OK ist. (Ich habe Norton Internet Security 2010 am laufen).

Ich klicke bei Google drauf, und jetzt kommts: Anstatt dass das Suchergebnis an Start kommt, passiert folgendes:

Google Chrome (mein Browser) lädt eine zip Datei herunter, und zwar google_bartlemud.zip

Ich muss sagen, dass in diesem Moment bei mir vielleicht 3 Sicherungen gleichzeitig nicht geschaltet haben, jedenfalls habe ich die Datei geöffnet, und die darinliegende Datei google_bartlemud.exe ausgeführt.

Norton hat kurz danach unzulässiges Verhalten dieser Datei erkannt und blockiert. Ich habe die Datei danach mit Norton gescannt, und von Norton erfahren, dass bisher 5 (!) Leute aus der Community diese Datei benutzt haben. Da hat man schon das Gefühl, dass es eine gezielte Attacke ist oder? (Bundestrojaner ?)


Nja, jedenfalls bin ich mir weder sicher, ob Norton alles nötige getan hat, um diese Datei zu bremsen - wenn es sich um ein neuartiges Exploit handelt, dann ist da ja nix garantiert, und zweitens:

Wie zum Teufel konnte sich dieser Download auf den stinknormalen Weblink des ersten Google Suchergebnisses kleben? Welche sicherheitslücke wurde da ausgenutzt?

Google Chrome sagt mir, die Datei wurde runtergeladen von: http://www.google.de.query.446341551...EAskdEFFScY0wn

Geht das über Cookies? Ein Chrome Exploit? Weiß jemand wie sowas geht? Hat eine Seite, die ich vorher besucht habe, das vielleicht induziert?

Ich habe die Datei hier in den Anhang gestellt, also nicht runterladen, wenn ihr nicht wisst, was ihr tut.
Es würde mich freuen, wenn jemand mal eine Analyse machen würde, was für Methoden in der Datei sind, und was die so machen.


Datei-Infos:

Dateibeschreibung: Canon BJ Mini Printer Driver
Typ: Anwendung
Datei-Version: 0.3.0.0
Produktname: Microsoft Windows Operating System
Produktversion: 5.2.3790.1224
Copyright: Microsoft Corporation. All rights reserved.
Größe: 304 KB
Originaldateiname: CNB7000.DLL

Angehängte Dateien

google_bartlemud.zip (269,7 KB, 6x aufgerufen)

Tsjuder

Hallo ;-),
das wird wohl an dem Webserver liegen der dahinter steckt. Hab ein bisschen in der VM rumexperimentiert und festgestellt, dass es nur einmal pro IP klappt. Wenn ich die Pakete jetzt richtig überflogen haben steht in der Antwort des Servers einfach nur eine neue "Location". Wenn die automatische Weiterleitung aktiviert ist wirst du einfach auf diese neue Location geschickt, also auf eine neue URL. Die neue URL hat das selbe nochmal gemacht und dann landest du bei deiner Datei. Das ganze klappt auch nur wenn man über Google den ersten Link anklickt.

Also meine Vermutung: Der HTTP Server schaut sich deine IP an, guckt ob der Referer entsprechend für Google gesetzt ist (sendet der Browser automatisch mit, wenn man es nicht ausschaltet) und anschließend wirst du zu der Seite weitergeleitet (auch hier muss man automatische Weiterleitung an haben).

Wenn man die Datei selbst startet öffnet sich der Browser mit einer Werbeinternetseite in einer mir nicht verständlichen Sprache. Sah grob aus wie spanisch oder italienisch...sowas in der Richtung. Die Datei löscht sich anschließend auch selbst.

Es wird aufjedenfall nichts gutes sein, da meine ziemlich begrenzten Kenntnisse mit einem Debugger wenigstens herausgefunden haben, dass dort Code gecryptet ist. Leider bin ich nicht in der Lage mehr herauszufinden, also was die Datei macht abgesehen von einer Werbeseite öffnen und sich selbst zu löschen. VirusTotal hatte auch nur 2 oder 3 Treffer.

Hier wird sich aber bestimmt jemand finden, der sich das genauer angucken kann und vielleicht kann er meine OllyDBG Kenntnisse dann auch noch vernünftig erweitern, so dass ich es auch nochmal zum Nachvollziehen herausfinden kann, was das Programm sonst so macht.

Hobo

Ja, vielen Dank erstmal für diese Antwort.

Verstehe ich das dann richtig, dass der erste Weblink wenn man Bartlemud eingibt, der Ausgang der Geschichte ist?

Und das lässt sich reproduzieren?
Dann kann ich ja erstmal davon ausgehen, dass es sich um keinen persönlichen Angriff handelt.


Wenn das Programm eine Werbeseite öffnet und sich danach selbst zerstört, und dafür extra vom Benutzer runtergeladen und ausgeführt werden muss, ist es wohl der dümmste Virus von dem ich je gehört habe.

Aber dieses Prozedere extra noch zu crypten wäre ja... noch dümmer.

Also kann man wohl annehmen, dass da noch mehr im Code versteckt ist.

enkore

Besorg dir mal DBAN (Deriks Boot And Nuke) < DBAN Download | Darik's Boot And Nuke > und kopier das mit Unetbootin oder dem Universal USB Installer auf nen USB-Stick oder brenne die ISO auf eine CD. Vorher eventuell noch mit Knoppix o.ä. Daten sichern, dann die Windowspartition und alle zu dem Zeitpunkt verbundenen Laufwerke vollständig löschen.
Standardvirenverdachtsprozedur halt^^

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Tsjuder

Ja. Wenn es nicht gerade gewollt ist von dieser Seite, dann scheint die Seite wohl selbst befallen zu sein von einem Virus.

Da ich das ganze in einer "cleanen" VM gemacht, wo ich lediglich einige Debugger Tools + Firefox drauf habe: Ja!

Wie gesagt meine letzten Ausflüge mit OllyDBG sind schon wieder etwas länger her und mehr konnte ich mit meinem Kenntnisstand nicht herausfinden. Ich könnte noch ein wenig in den "verdächtigen" WinAPI Befehlen rumstochern, aber dazu hab ich leider in den nächsten 2 Wochen nicht wirklich die Zeit, daher überlasse ich es mal lieber jemanden mit mehr Ahnung.

Wenn dir jemand genaueres dazu sagen könnte, könntest du sicherlich nachschauen, ob dein System nun befallen ist oder nicht. Da sich die Datei bei dir wohl nicht gelöscht hat bedeutet das zumindestens, dass sie nicht bis zum Ende des Programms gelaufen ist, aber man müsste natürlich wissen, was und vorallem wo die Datei was anrichtet um dein System ohne formatieren zu bereinigen bzw. festzustellen ob es überhaupt befallen ist.


EDIT: Da ich gerade die 5 min Zeit habe, wo ich online bin: Hab das befallene System nochmal gestartet bei jedem Starten von Windows XP begrüsst einem erstmal 3 Werbeinternetseiten. Die Sprache ist übrigens Französisch . Im Autostart konnte ich aber nichts finden. Keine Ahnung wo und wie sich das Ding einnistet.