Heute hab ich eine interessantes Beispiel für die Verbreitung von Malware über Webseiten gefunden. Da ich die eingesetzten Techniken recht interessant fand wollte ich es an dieser Stelle kurz vorstellen.
Verhalten
Die Angreifer haben zuerst die eigentliche URL mit Hilfe eines URL-Verkürzungsdienstes unkenntlich gemacht. Anschließend wurde diese URL auf einer vertrauenswürdigen Webseite versteckt. Beim klick auf den Link wurde auf einen weitere Seite umgeleitet, die nach einer Überprüfung der Referer Angabe im HTTP Header eine weitere Umleitung vornahm. Stimmt der Referrer nicht wurde auf eine unbedenkliche Seite weitergeleitet, stimmt er jedoch so gelangt man auf einer gefälschten Webseite.
Weil sich das ganze nach einer relativ kurzen Analyse gut nachvollziehen lässt habe ich ein kleines Video vom eigentlichen Vorgang gemacht. Zu sehen ist, dass die Webseite drei unterschiedliche Oberflächen zurück gibt. Bei einer wird die Malware direkt als Download angeboten, bei den anderen beiden wird erst ein Virus-Scan simuliert. Das folgende Video zeigt das Verhalten der Webseite.
[hana-flv-player video="/wp-content/uploads/2010/07/malware.flv" width="640" height="480" description="Malware" player="4" autoload="false" autoplay="false" loop="false" autorewind="true" /]
Schutz/Vorbeugung
Einen hundertprozentigen Schutz wird es natürlich nie geben. In gewisser Weise kann man sich jedoch gegen solche Webseite schützen. So kann zum Beispiel JavaScript komplett deaktiviert werden oder zum Beispiel mit Hilfe des NoScript AddOn für den Firefox nur auf den Seiten erlaubt werden, denen man selbst vertraut.
Was auch immer passiert. Wichtig ist, dass man nicht in Panik gerät und unüberlegt handelt. Besser zweimal darüber nachgedacht oder jemanden gefragt, der sich besser damit auskennt, als vorschnell gehandelt. Zur Sicherheit kann natürlich jederzeit ein lokaler Virus-Scan auf dem betroffenen System durchgeführt werden.
Malware
Die angebotene Malware wurde nach einer Überprüfung auf VirusTotal.org von nur 2 Virus-Scannern erkannt. Nach einer weiteren Analyse in einer Sandbox lässt sich jedoch sagen, dass sich die Software ins System einnistet und anschließend von weiteren nicht vertrauenswürdigen Seiten versucht weitere Programme nachzuladen.
Links
- VirusTotal.org (deutsch)
- NoScript AddOn (deutsch)
- Firefox (deutsch)