Spaghetti-Code schaufelt Adware auf den PC
Nach einer verwirrenden Verkettung von Malware, die andere Malware herunter lädt, findet sich schließlich unter anderem auch Adware auf dem Rechner.
Diejenigen, die versuchen mit Malware Geld zu verdienen, nutzen offenbar immer mehr ganze Ketten von Malware. Ein treffendes Beispiel aus Italien schildert Eric Chien von Symantec im Security Response Blog des Antivirus-Herstellers.
Wie so oft beginnt die Kette mit Spam-artig verbreiteten Mails, die Links auf dubiose Websites enthalten. Wer den Links folgt, landet auf Seiten, die je nach verwendetem Browser unterschiedliche Methoden einsetzen, um dem Besucher das erste Stück Software aufzudrängen. Bei Benutzern des Internet Explorers wird ein nicht mehr ganz taufrischer Exploit im Media-Player-Plugin (MS06-006) eingesetzt. Firefox-Benutzern wird automatisch ein Download-Dialog für eine Datei namens "www.google.com" präsentiert.
Diese erste Programmdatei enthält eine DLL-Komponente, die als BHO (Browser Helper Object) im Internet Explorer registriert wird. Diese lädt eine scheinbare GIF-Datei, die eine verschlüsselte EXE-Datei enthält. Das BHO entschlüsselt und startet dieses Programm - es enthält wiederum zwei EXE-Dateien, nennen wir sie einfach "Nummer 3" und "Nummer 4". Die Nummer 3 benutzt die Windows-Komponente EFS (Encrypted File System), um sich zu verstecken.
Nummer 4 hingegen ist eine Variante der Adware "LinkOptimizer", die während der Web-Nutzung Werbe-Popups anzeigt. Sie benutzt Nummer 3, um im Internet nach Updates von sich zu suchen. Eine ältere Variante von Nummer 3 setzt auf ADS (Alternate Data Streams), ebenfalls ein Feature des Windows-Dateisystems NTFS, um sich zu verbergen. Zudem werden in der Datei enthaltene Klartext-Zeichenketten mit dem RC4-Verfahren verschlüsselt.
Eric Chien nennt diese Malware-Kette die "Spaghetti-Gefahr" - nicht weil sie sich gegen Italiener richtet, sondern weil die Programme jede Menge unnötigen Programm-Code enthalten. Der soll wohl dazu dienen, die Analyse der Programme durch Virenforscher zu erschweren.
Die ganze Geschichte dreht sich um die Website gromozon.com, die mit einem einfach Trick geschützt werden soll: Die Startseite verkündet, die Website sei geschlossen - mit Gruß vom Abuse-Team. Sie ist jedoch weiterhin aktiv. Die mutmaßlich dahinter steckende Tätergruppe hat eine ganze Reihe weiterer Domains registriert, deren Namen auch in Programmdateien auftauchen. Websites sind unter diesen Domain-Namen jedoch meist nicht erreichbar, eine führt gar zu einer Regierungs-Website.
