Sandro Feuillet
Legendäres Mitglied
Heise Security hat einen sehr interessanten Artikel von einem Mitarbeiter des Internet Storm Center (ISC) publiziert. Dieser Mitarbeiter ist mit einem ungepatchten WindowsXP mit IE ins Internet gesurft. Was sich dabei alles automatisch auf seinem Computer installiert hat und welchen affiliates das nützt ist sehr eindrücklich nachzulesen.
Der Artikel ist relativ lang, aber auf jeden Fall lesenswert. Am Anfang surft der Tester auf eine Einzige falsche Internetseite, folgendes fängt er sich in den ersten zwei Teilen der Dokumentation ein:
Achtung, Links sind absichtlich deaktiviert da gefährlich, anklicken auf eigene Verantwortung!
QUOTE
Aus Schädlingen auf der Spur, Teil 1:
1. Ottos Startseite wurde verändert. Sie zeigt nun auf:
h*tp://default-homepage-network.com/start.cgi?new-hkcu
2. Ottos Standardsuchseite wurde umgebogen auf: h*tp://server224.smartbotpro.net/7search/?new-hkcu
3. Der Suchassistent wurde abgeschaltet.
4. Dafür wurde "TV Media Display" installiert
5. und addictivetechnologies.net beglückte Otto mit einer Datei, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C bezeichnet.
Und aus Schädlingen auf der Spur, Teil 2:
6. Auf Geheiß der Malware von Addictive Technologies lud sich Ottos Rechner "Anweisungen" von F1Organizer.com herunter.
7. Durch diese Anweisungen tauchten zwei neue "Favoriten" in Ottos Browser auf und zwei neue "Geschenke" wurden auf dem PC installiert (SplWbr.dll and ezbdlLs.dll.
8. Die Installation von SplWbr.dll brachte den "Ad Destroyer and Virtual Bouncer" from SpyWare Labs, Inc. und die "TopRebates.com AutoTrack" Software auf Ottos Rechner.
9. Die Installation von ezbdlLs.dll lud ein "Utility zum Downloaden und Upgraden von Software" von "ABetterInternet" nach -- ein Utility, das das Surfen im Internet "einfach, aufregend und persönlich" gestaltet, wie die netten Leute von "ezULA" versichern. Außerdem landete das Browser-Hijacking-Tool SAHAgent auf dem Rechner.
10. Und schließlich wurde die Datei hp1.exe heruntergeladen und über einen .CHM-Exploit ausgeführt.
Wer heute noch mit dem Internetexplorer surft kann genausogut mit Sommerreifen im Winter fahren oder Russisches Roulette spielen.
Der Artikel ist relativ lang, aber auf jeden Fall lesenswert. Am Anfang surft der Tester auf eine Einzige falsche Internetseite, folgendes fängt er sich in den ersten zwei Teilen der Dokumentation ein:
Achtung, Links sind absichtlich deaktiviert da gefährlich, anklicken auf eigene Verantwortung!
QUOTE
Aus Schädlingen auf der Spur, Teil 1:
1. Ottos Startseite wurde verändert. Sie zeigt nun auf:
h*tp://default-homepage-network.com/start.cgi?new-hkcu
2. Ottos Standardsuchseite wurde umgebogen auf: h*tp://server224.smartbotpro.net/7search/?new-hkcu
3. Der Suchassistent wurde abgeschaltet.
4. Dafür wurde "TV Media Display" installiert
5. und addictivetechnologies.net beglückte Otto mit einer Datei, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C bezeichnet.
Und aus Schädlingen auf der Spur, Teil 2:
6. Auf Geheiß der Malware von Addictive Technologies lud sich Ottos Rechner "Anweisungen" von F1Organizer.com herunter.
7. Durch diese Anweisungen tauchten zwei neue "Favoriten" in Ottos Browser auf und zwei neue "Geschenke" wurden auf dem PC installiert (SplWbr.dll and ezbdlLs.dll.
8. Die Installation von SplWbr.dll brachte den "Ad Destroyer and Virtual Bouncer" from SpyWare Labs, Inc. und die "TopRebates.com AutoTrack" Software auf Ottos Rechner.
9. Die Installation von ezbdlLs.dll lud ein "Utility zum Downloaden und Upgraden von Software" von "ABetterInternet" nach -- ein Utility, das das Surfen im Internet "einfach, aufregend und persönlich" gestaltet, wie die netten Leute von "ezULA" versichern. Außerdem landete das Browser-Hijacking-Tool SAHAgent auf dem Rechner.
10. Und schließlich wurde die Datei hp1.exe heruntergeladen und über einen .CHM-Exploit ausgeführt.
Wer heute noch mit dem Internetexplorer surft kann genausogut mit Sommerreifen im Winter fahren oder Russisches Roulette spielen.