Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?
Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/
Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):
Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?
Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.
Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannt und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime lässt sich ja auch nicht direkt über den Browser installieren.
was mich daran beunruhigt ist, dass avast das scheinbar nicht erkennt, oder interpretiere ich den dritten screenshot falsch?
Comment by mcfrog — 17. März 2008 @ 19:21
Ich denke, das siehst Du richtig.
Das File wurde vor mir schon von jemand anderem an Virustotal geschickt und lediglich anhand der MD5-Prüfsumme identifiziert.
Insbesondere wenn bei Virustotal ein aktuelles Patterndatum steht, also 16.03.2008 dann wird der noch nicht erkannt. Allerdings werden alle Samples an alle Virenscannerhersteller mit diesem Ergebnis weitergeleitet, ich erwarte also, daß Avast den Trojaner mit dem nächsten Update dann auch erkennt.
Mein Antivir mit Pattern vom 14.03.2008 erkennt den Trojaner Downloader auch nicht, das Update vom 16.03.2008 erkennt ihn dann.
Comment by Christian — 17. März 2008 @ 20:29
Schade, die Seite ist schon down. Interessant finde ich, dass der Text unter dem Plugin-Symbol in deutscher Sprache ist. Das ist ja fast schon sophisticated.
Comment by Andreas — 18. März 2008 @ 11:12
Ich könnte mir vorstellen, daß die schlau genug sind die Spracheinstellungen des Browsers auszuwerten um dann unterschiedliche Bilder auszuliefern. Wir werden uns vermutlich damit abfinden müssen, daß da inzwischen clevere Teams zu Werke gehen. Das ist längst organisierte Kriminalität.
Comment by Christian — 18. März 2008 @ 14:03
@mcfrog, ich habe gestern Nacht noch das Verhalten von Antivir auf meinem Rechner zuhause dokumentiert. Da hängt es wirklich von der jeweiligen Patterndefinition ab, ob das File als Trojaner erkannt wird oder nicht.
Comment by Christian — 18. März 2008 @ 14:36
Bei dem Tempo, das die Gangs vorlegen, haben wir in ein bis zwei Jahren perfekt nachgemachte Seiten, die man praktisch nicht mehr erkennen kann. Es ist immerhin noch nicht so lange her, dass Phishing-Seiten am extrem schlechten Deutsch identifizierbar waren …
Ich denke, da kommt einiges auf uns zu.
Comment by Andreas — 18. März 2008 @ 15:11
Die spannende Frage ist doch … welche Gegenmaßnahmen können wir ergreifen? Sollen wir in Zukunft jede Webseite nur noch über einen Filterdienst aufrufen, der uns vor mögliche Phishing- und Schadseiten schützt aber dafür unser gesamtes Nutzungsverhalten protokolliert? Sollen wir mehr Zeit in die Sensibilisierung der Nutzer stecken? Nützt das überhaupt was? Ich bin mir nicht so recht im Klaren, was sinnvoll und effizient dagegen getan wird. Und ich denke jetzt nicht in meinem Wissensniveau sondern z.B. in dem meiner Eltern. Soll ich ihnen das Internet verbieten?
Comment by Christian — 18. März 2008 @ 15:52
Kommentare gesperrt wegen Spam
Comment by Christian — 12. August 2008 @ 00:53