Trojanisches Java-Applet
Facebook-App führt zum Malware-Download
Facebook entwickelt sich immer mehr zu einem Tummelplatz für Online-Betrüger und zu einer Malware-Schleuder. Ein Link zu einer vorgeblichen Facebook-App kann etwa zum Laden eines schädlichen Java-Applets führen, das Malware installiert.
Praktisch zum Tagesgeschäft gehören auf Facebook mittlerweile vor allem betrügerische Umfragen, an denen teilnehmen soll, wer ein bestimmtes Video sehen will. Solche nicht existierenden Videos werden immer wieder mit reißerischen Schlagzeilen propagiert (Stichwort: "OMG" - oh my god). Doch auch mit Apps lässt sich trefflich Schindluder treiben.
Der Antivirushersteller McAfee hat zum Beispiel eine nicht näher bezeichnete, vorgebliche Facebook-Anwendung entdeckt, deren Facebook-Seite auch ohne Installation einer App Schaden anrichten kann. Diese Seite richtet sich offenbar auf eine osteuropäische Zielgruppe, denn sie ist in kroatischer Sprache gehalten.
Wie Geok Meng Ong im Blog der McAfee Labs berichtet, wird beim Besuch der Seite ein digital signiertes Java-Applet geladen, das sich als "Sun_Microsystems_Java_Security_Update_6" vorstellt und vorgeblich von "Sun Java MicroSystems" stammen soll. Verdächtig ist daran zunächst lediglich, dass die Signatur nicht von einer vertrauenswürdigen Quelle verifiziert werden kann.
Erst wenn man in der Dialogbox zum Laden des Applets auf "More information" klickt, erfährt man, dass die Signatur mit einem nicht vertrauenswürdigen Zertifikat erstellt wurde und vor allem, dass das Applet nicht mit den für die Java-Sandbox üblichen Sicherheitsbeschränkungen ausgeführt würde.
Und so geschieht es dann auch: das Applet lädt eine EXE-Datei aus dem Internet und speichert sie auf dem Rechner des Opfers. Das dürfte ein reguläres Applet nicht. Die Datei landet als "NortonAV.exe" im Benutzerprofil (etwa C:\Users\username bei Vista und Windows 7) und wird dort ausgeführt.
Dabei handelt es sich um ein Trojanisches Pferd, das Passwörter ausspionieren soll. Gesammelte Passwörter sendet der Schädling über eine verschlüsselte Verbindung an ein Mail-Konto bei Google Mail. McAfee erkennt das Applet und die EXE-Datei ab Virendefinition DAT-6165 (12.11.2010) als "Generic PWS.tk!dldr" und "Generic PWS.tk".
12.11.10
Nach meiner Kenntnis können Java Applets nicht auf die Platte des Clients schreiben.
Sie sollten keine Verleumdung der Java Sprache betreiben und solche Falschmeldungen unterlassen.
Wie lautet denn Ihrer Meinung nach der Befehl mit dem die .exe Datei angeblich plaziert worden sein soll ?
Antwort schreiben
12.11.10
zertifikate lassen sich aber für kleines geld organisieren...
Antwort schreiben
13.11.10
Wer vertreibt denn solche Angebote ?
Und heißt das, daß ein sog. "zertifiziertes" Applet beliebig auf die Platte
schreiben kann ? Das darf doch wohl nicht wahr sein !!!
Antwort schreiben
13.11.10
desshalb wurde die geschichte mit dem zertifikat nachgeschoben.
die theorie ist folgende: der herausgeber des applets authentifiziert sich und sein applet mit dem zertifikat dem benutzer gegenüber und im gegenzug wird die sandbox weggelassen. das applet hat die selben zugriffsrechte wie der benutzer (also üblicherweise der admin)
nur leider kann halt jeder boon sein zertifikat entweder selber basteln oder sich halt eins kaufen -> das system ist broken by design.
Antwort schreiben
13.11.10
Offene Punkte :
1. wer hat die Zertifizierung erfunden ( noch SUN ? )
2. wer verkauft solchen nutzlosen und gefährlichen Blödsinn und macht Kohle damit ?
3. ist diese Zertifizierung in der Java API angelegt ?
Antwort schreiben
13.11.10
die geschichte ist noch auf suns mist gewachsen
nachdem das zertifikat über "handelsübliche" rsa schlüssel generiert wird: jede beliebige ca.
das beginnt bei der deutschen telekom, geht über microsoft und verisign und endet beim china internet network information center.
wirf mal einen blick in deine stammzertifikate. ist recht lustig wem man allen "vertrauen" soll/muss...
die zertifizierung hängt an der .jar datei, in der das applet steckt.
Antwort schreiben
14.11.10
Wo findet man die unter Windows 7 ?
Habe bisher mit Bestätigung von Zertifikaten nur im IE6 unter Windows CE
zu tun gehabt - unter Windows 7 sind die mir noch untergekommen...
Antwort schreiben
14.11.10
kurz über die chain of trust ("vertrauenskette"):
prinzipiell kann sich jeder selber ein zertifikat basteln. damit kann man z.b. seinen privaten ssl server füttern oder seine selbstgeschriebenen proggys signieren.
das problem ist offensichtlich: ich selber vertraue mir natürlich - und damit meinem selbst gebastelten zertifikat; aber würdest du einem unbekannten "harald katzler aus fischbach" trauen? eher nicht.
ich kann aber meinen ausweis nehmen und zur nächsten ca gehen (bzw meine daten da hin schicken) und mein selbstbau zertifikat mit deren stammzertifikat signieren lassen. damit bestätigt die ca, dass das zertifikat, das behauptet vom herrn katzler zu sein, auch tatsächlich mir gehört.
dieses signierte zertifikat ist dann (fast) genauso vertrauenswürdig wie das zertifikat der ca selber. ein browser, der das stammzertifikat vorliegen hat, wird die signatur prüfen und das zertifikat (so es zum server passt) akzeptieren.
ich könnte damit (theoretisch) auch selber schlüssel signieren.
der haken sind die stammzertifikate: bei denen beginnt die ganze vertrauenskette, denn die sind - logischerweise - selber nicht signiert! dem aussteller muss man "einfach so" vertrauen - und die zertifikate müssen lokal auf dem rechner vorliegen, damit die abgeleiteten zertifikate geprüft werden können.
ansehen kann man die stammzertifikate unter winxp mit ausführen -> mmc -> datei -> snap-in hinzufügen -> zertifikate. unter vertrauenswürdige stammzertifizierungsstellen
es gibt übrigens ab und zu übers windows update ein entsprechendes update. da kriegst du nicht nur die aktuellen zertifikate, sondern es werden ab und zu auch zertifikate wiederrufen (nicht vertrauenswürdig gemacht) wenn sie in die falschen hände gelangen oder einfach nur ablaufen.
Antwort schreiben