Wie Otto Normalo sein PC geklaut wurde

Seite 1 von 1
neuester Beitrag: 22.11.04 12:25
eröffnet am: 22.11.04 12:02 von: ruhrpott Anzahl Beiträge: 2
neuester Beitrag: 22.11.04 12:25 von: Willi1 Leser gesamt: 363
davon Heute: 1
bewertet mit 1 Stern

22.11.04 12:02
1

3051 Postings, 7237 Tage ruhrpottWie Otto Normalo sein PC geklaut wurde

Ist zwar viel Stoff, aber es lohnt sich. Quelle WWW.heise.de

Schädlingen auf der Spur, Teil 3

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.

Achtung: Die meisten Links im folgenden Text sind absichtlich nicht klickbar. Betrachten Sie das als Warnung...

Bevor wir unseren Kaninchenbau weiter erforschen, ein paar Anmerkungen:
Ich möchte mich bei allen, die dieser Exkursion folgen, für ihre Geduld bedanken. Es ist vermutlich schwer nachzuvollziehen, wie zeitaufwendig die Recherchen für diese kleinen Essays sind. Außerdem haben mich eine ganze Reihe von Dingen von der Arbeit an diesem Teil abgelenkt, wie Familie, Job und der übliche "Kram", der beim SANS ISC so anfällt: MS04-028, das Tool GDIScan, das das ISC in ein GDIScan Helpdesk umfunktioniert hat (sorry Leute!), die jährliche SANS Network Security in Vegas und so weiter... Bitte entschuldigen Sie also die lange Wartezeit; ich hoffe sie war es wert.

Nachdem das erledigt ist, gibt es zum Aufwärmen eine kurze Zusammenfassung der bisherigen Reise. Außerdem wär jetzt ein guter Zeitpunkt, nochmal die Toilette aufzusuchen und Bier und Chips bereitzulegen -- denn wenn wir einmal loslegen, gibt es keine Pausen mehr. Machen Sie ruhig -- ich warte...

Fertig? Gut! Auf geht's.

Im Anfang war Otto Normalo. Und Otto kaufte sich einen neuen Computer und ging damit ins Internet. Und mit seinem Computer surfte Otto, las E-Mail und hatte Spaß mit Spielen. Und Otto sah sich das Internet an und sah, dass es gut war.

Doch während Otto das Gute im Internet kannte, wusste er nicht um das Böse, das ebenfalls im Internet lebte. Und so patchte er nicht.

Dann, eines Tages, kam er unwissentlich an einen bösen Ort und Böses befiel seinen neuen Rechner.

Wie böse? SEHR böse:

Aus Schädlingen auf der Spur, Teil 1:

  1. Ottos Startseite wurde verändert. Sie zeigt nun auf:
    http://default-homepage-network.com/start.cgi?new-hkcu
  2. Ottos Standardsuchseite wurde umgebogen auf: http://server224.smartbotpro.net/7search/?new-hkcu
  3. Der Suchassistent wurde abgeschaltet.
  4. Dafür wurde "TV Media Display" installiert
  5. und addictivetechnologies.net beglückte Otto mit einer Datei, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C bezeichnet.

Und aus Schädlingen auf der Spur, Teil 2:

  1. Auf Geheiß der Malware von Addictive Technologies lud sich Ottos Rechner "Anweisungen" von F1Organizer.com herunter.
  2. Durch diese Anweisungen tauchten zwei neue "Favoriten" in Ottos Browser auf und zwei neue "Geschenke" wurden auf dem PC installiert (SplWbr.dll and ezbdlLs.dll.
  3. Die Installation von SplWbr.dll brachte den "Ad Destroyer and Virtual Bouncer" from SpyWare Labs, Inc. und die "TopRebates.com AutoTrack" Software auf Ottos Rechner.
  4. Die Installation von ezbdlLs.dll lud ein "Utility zum Downloaden und Upgraden von Software" von "ABetterInternet" nach -- ein Utility, das das Surfen im Internet "einfach, aufregend und persönlich" gestaltet, wie die netten Leute von "ezULA" versichern. Außerdem landete das Browser-Hijacking-Tool SAHAgent auf dem Rechner.
  5. Und schließlich wurde die Datei hp1.exe heruntergeladen und über einen .CHM-Exploit ausgeführt.

An der Stelle haben wir das letzte Mal aufgehört und ich versprach, dass hp1.exe ein schwerer Brocken wird. Also lassen Sie uns hp1.exe analysieren.

Hier gehts weiter

Und Seite 3

Schlussendlich

Ausgedacht ist oft viel schöner als die Wahrheit.
Deshalb verkauft sich die BLÖD-Zeitung wie Sau.
Vorteil: Das Denken wird einem abgenommen.
Nachteil: Das Denken wird einem abgenommen.

Viele Grüße

....................../´¯/)
....................,/¯../
.................../..../
............./´¯/'...'/´¯¯`·¸
........../'/.../..../......./¨¯
........('(...´...´.... ¯~/'...')
..........................'...../
..........''............. _.·´
..........................(
.............................

aus dem Ruhrpott

 

22.11.04 12:25

9950 Postings, 6507 Tage Willi1Ausgezeichnet!

   Antwort einfügen - nach oben