Mit einem Dropper in den Krieg ziehen

Wer schon immer mal seinen PC in einem Cyberkrieg zur Verfügung stellen wollte, hat nun die Gelegenheit dazu: Auf der Webseite http://help-israel-win.tk sucht eine angebliche Gruppe von Studenten nach Helfern im Kampf gegen die Hamas.

Nach eigenen Angaben bezweckt die Seite:

We created a project that unites the computer capabilities of many people around the world.
Our goal is to use this power in order to disrupt our enemy’s efforts to destroy the state of Israel.

Man müsse nur eine Datei herunterladen, ausführen und schon nehme man Teil am virtuellen Kampf.

Um was handelt es sich bei dem Download namens „PatriotInstaller.exe“ (MD5: f0afdb4d5450ff6e738c367331cafce0) wirklich? Bei Virustotal stufen vier Scanner die Datei als „suspicious“ beziehungsweise als „Dropper“ ein. Ein Dropper hat die Fähigkeit, beliebige weitere Dateien aus dem Internet herunterzuladen und auszuführen. Was man sich mit dem Download also einhandelt, ist völlig offen.

Eine Analyse mit CWSandbox liefert weitere Informationen. Auffällig ist, dass der Dropper versucht, mit der Microsoft-Webseite Kontakt aufzunehmen und das Dot-Net-Framework herunterzuladen. Außerdem tauchen in dem Report verdächtige Dateinamen wie „rasacd.sys“ auf. Das steht für „RAS Automatic Connection Driver“ und ist vermutlich die Komponente zur Fernsteuerung des PCs.

Ein anderer Dateiname in dem Report — „modern-wizard.bmp“ — taucht bei Google wiederholt im Zusammenhang mit Spyware-Infektionen auf. Vermutlich gehört die Datei zu einem Dropper-Baukasten, zu welchem ist allerdings nicht klar. Es hätte mich auch gewundert, wenn die „Studenten“ selbst eine Software programmiert und nicht nur einen Dropper zusammengeklickt hätten. Ich würde jedenfalls die Finger davon lassen.

Fünf gefährliche Sicherheitsmythen

Erik Larkin hat eine Liste der fünf gefährlichsten Sicherheitsmythen erstellt:

  • Pickelige Virenautoren löschen am liebsten Daten und formatieren Festplatten. Das war vielleicht mal so. Heutige Virenschreiber wollen vor allem eines: Geld verdienen.

    Today, it’s all about cash – and lots of it. If there’s a way to use evil software to make money, whether it means taking over a PC to send pharmacy-advertising spam, or stealing financial logins and credit card info, or even hacking game accounts, it’s out there in some form.

  • Hauptsache ich habe ein gutes Antivirenprogramm, dann passiert mir schon nichts. Falsch. Kein Scanner kann alle Gefahren kennen. Signatur-basierte Erkennung kommt immer mehr an ihre Grenzen.

    A good security program will help a good deal, but no program can catch everything. Antivirus companies are locked into a constant battle with the bad guys, who put all their effort into staying one step ahead of antivirus detection with a flood of new techniques and programs.

  • Gefährliche Webseiten und E-Mails lassen sich leicht erkennen. Heute leider nicht mehr. Schadcode wird auf seriösen Seiten eingebettet oder per manipuliertem Banner verbreitet. Auch die Weißheit, dass Phishing-Mails immer am schlechten Deutsch zu erkennen sind, dürfte mittlerweile überholt sein.

    These days crooks like nothing more than to find a security flaw in a benign but vulnerable site and use the flaw to insert hidden attack code. Once in place, that hidden snippet will scan for security flaws on your PC any time you view the page.

    Your trained eye can likely spot the majority of e-mail attacks, and you may even get a good chuckle out of some of the clumsy grammar and spelling. But not every attack e-mail is easy to spot.

  • Patchen nur, wenn etwas nicht mehr funktioniert nach dem Motto „Never change a running system“. Viele Updates schließen Sicherheitslücken, die gezielt angegriffen werden. Wer zum Beispiel mit einem älteren Flash-Player oder Adobe Reader surft, muss mit PC-Infektionen rechnen, auch wenn er Firefox nutzt.

    These days, a recommended patch is often, even usually, meant to close a security hole.

  • Das Internet ist zu gefährlich, ich lass die Finger davon. Irre sollte man sich natürlich auch nicht machen lassen.

    Yes, you can get nailed. But that shouldn’t stop you from venturing online, any more than the potential for getting the flu should prevent you from ever leaving your house. If you know the risks and prepare for them adequately, you can weight the odds heavily in your favor and confidently enjoy what the Web has to offer.

Die Liste lässt sich natürlich noch erweitern. So halte ich etwa Desktop-Firewalls für überschätzt. Der Applikations-Schutz, der eine Kommunikation von Trojanern nach außen verhindern soll, lässt sich relativ leicht aushebeln.

Was kann man also machen, um den eigenen PC abzusichern? Kurz gesagt: Windows aktuell halten, installierte Anwendungen zum Beispiel mit Secunia PSI aktuell halten, Thunderbird und Firefox (inklusive Adblock Plus und Noscript) verwenden, Virenscanner nicht vergessen (eventuell ergänzt durch eine verhaltensbasierte Erkennung durch Threat Fire Free oder Mamutu), Downloads vor dem ersten Ausführen bei Virustotal checken, Firewall im Router nutzen, Dateiendungen anzeigen, Benutzerkontensteuerung unter Vista nicht deaktivieren, Backups machen (zum Beispiel automatisiert mit Mozy), sichere Passwörter verwenden und vor allem einen kühlen Kopf bewahren und nicht überall draufklicken. Hab ich noch etwas vergessen?

Anmerkung: Die Verlinkung im Sicherheitsmythen-Artikel ist fehlerhaft. Auf Seite 3 gelangt mit direkt mit diesem Link.

Hacker-Tricks mit Google-Referern

Das Kaspersky-Blog berichtet über einen kleinen, aber feinen neuen Hacker-Trick: Dabei verändern die Angreifer eine gehackte Web-Seite so minimal, dass der Betreiber fast keine Chance hat, die Manipulation zu bemerken.

Statt umfangreiche neue Inhalte hinzuzufügen, bauen sie einen kleinen Zusatz ein, der eine Abfrage nach dem Referer enthält. Kommt der Besucher der Webseite über Google, wird er auf eine andere Seite weitergeleitet, die Schadcode verbreitet oder Werbung für eine Rogue Anti-Spyware beziehungsweise andere Scareware macht.

Regelmäßige Besucher und der Seitenbetreiber kommen ja meist nicht über Google und bemerken die Manipulation so eine ganze Weile nicht.

Sunbelt berichtet zufällig gerade über ein aktuelles Beispiel, bei dem dieser Trick anscheinend auch angewandt wurde. Allerdings springt hier jetzt Google selbst ein und warnt den eventuellen Besucher vor einem Klick auf das Suchergebnis.

google1

google2

Vmware-Appliance für Forensiker

Rob Lee vom SANS Institute, einem auf IT-Security spezialisierten Schulungshaus, hat die Version 1.2 der „SANS Sift Workstation“ veröffentlicht. Dabei handelt es sich um einen virtuellen Linux-PC für die Vmware-Plattform, der bei forensische Analysen helfen soll:

The SANS SIFT Workstation is a VMware Appliance that is preconfigured with all the necessary tools to perform a forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats.

Als Betriebssystem kommt Fedora zum Einsatz, auf dem folgende Tools zusätzlich installiert wurden:

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

Zum Download der 1,4 GByte großen virtuellen Maschine ist eine Registrierung auf der SANS-Seite notwendig. Praktisch ist das „Cheat-Sheet“ (PDF), das für Forensiker wichtige Kommandozeilenbefehle auf zwei Seiten übersichtlich auflistet.

Ausgepackt benötigt der virtuelle PC dann knapp 5 GByte Platz. Wer den Vmware-Player noch nicht installiert hat, findet ihn hier.

sift-workstation

Username ist „root“, das Passwort lautet „forensics“. Da es sich bewusst um den System-Admin-Account handelt, muss man im nächsten Fenster auf „Continue“ klicken.

sift-workstation2

Und so sieht die Oberfläche der virtuellen Maschine dann aus:

sift-workstation4

Die Vmware-Tools sind bereits vorinstalliert. Die Netzwerkeinstellungen stehen auf „Host-only“, das bedeutet, dass der virtuelle PC nur mit dem Wirts-System über das Netzwerk kommunizieren kann. Wer die SIFT Workstation mit dem Internet verbinden will, muss dazu das Netzwerk-Icon unten rechts im Player anklicken und „Bridged“ auswählen und danach die Netzwerkverbindung innerhalb des virtuellen Systems neu starten.

Wenn man jetzt beispielsweise eine externe Festplatte per USB an den Wirt anschließt, wird sie automatisch innnerhalb der virtuellen Maschine gemountet. Man kann nun mit den mitgelieferten Tools ein dd-Image erstellen oder gleich auf die Suche nach verborgenen Daten gehen. Allerdings fehlt eine tiefergehende Dokumentation, das SANS Institute will mit seinen Schulungen ja schließlich Geld verdienen.

Dubiose PDF-Dokumente untersuchen

Nachtrag zum Beitrag über die CWSandbox: Der kostenlose Online-Dienst protokolliert nun auch, was passiert, wenn man ein möglicherweise verseuchtes PDF-Dokument mit der veralteten Version 8.1.1 des Acrobat Readers öffnet.

Dieser Beispiel-Report der CWSandbox zeigt beispielsweise, dass das verseuchte PDF Exploit.Win32.Pidief.ae unter anderem die Datei „wuweb.exe“ erzeugt, startet und wieder löscht, die Datei „service.exe“ erzeugt und startet, aber nicht löscht, und dass ein Kontaktversuch zu einem Server in Singapur erfolgt.

Ledertasche für den Toshiba NB100

Frecherweise legt Toshiba dem NB100 nicht einmal eine billige Plastiktasche bei, mit der man das Mini-Notebook beim Transport schützen könnte. Bei meiner Suche nach einer geeigneten Lösung bin ich auf eine Ledertasche von PDAir aus Hong Kong gestossen:

Man kann diese Ledertasche entweder direkt bei PDAir bestellen oder man sucht sich einen Händler bei Ebay, der nach Deutschland liefert. Ich habe mich für letzteres entschieden, weil man so für die Zahlung Paypal zwischenschalten kann und die Kosten praktisch identisch sind. Nach etwa zehn Tagen Lieferzeit ist die Tasche nun eingetroffen und passt tatsächlich wie angegossen zum NB100.

Etwas dubios finde ich das Angebot der bislang einzigen NB100-Ledertasche bei Amazon. Sie könnte von den Fotos her zwar ebenfalls von PDAir zu sein, aber zum einen ist der Preis mit 69 Euro im Verhältnis viel zu hoch, zum anderen ist diese Tasche angeblich sowohl für den NB100 als auch für den Eee-PC 1000 geeignet. Diese beiden Geräte sind aber unterschiedlich groß! Außerdem sind die Lüftungsschlitze und die diversen Steckbuchsen vermutlich kaum an den gleichen Stellen.

NB100: Rechte Ordnerleiste bearbeiten

Kleiner Tipp zum NB100-11R von Toshiba: Das auf dem Mini-Notebook installierte „Ubuntu Netbook Remix“ (UNR) zeigt rechts eine Reihe von vordefinierten Ordnern an. Klickt man darauf, landet man im entsprechenden Verzeichnis. Aber wie ändert oder ergänzt man diese Einträge?

Ganz einfach: Die Verknüpfungen sind Lesezeichen im Gnome-Browser Nautilus. Um sie zu bearbeiten, klickt man auf einen der Ordner, um Nautilus zu öffnen, und findet die Links dann unter dem Menüpunkt „Lesezeichen“. Neue Verknüpfungen hängt Nautilus ans Ende der Liste an. Mit „Lesezeichen bearbeiten“ lässt sich die Reihenfolge dann noch verändern. Ich habe zum Beispiel den Ordner „Downloads“ hinzugefügt.

Bruce Schneier im CBS-Interview

Im zweiten Anlauf lese ich jetzt gerade noch einmal „Beyond Fear“ von Bruce Schneier. Das Buch, das bereits vor ein paar Jahren erschienen ist, beschäftigt sich ausführlich mit den Fragen, wie man Sicherheit erreicht, was man dafür aufgeben muss und wie oft (absichtlich oder unabsichtlich) nur vorgetäuscht wird, mehr Sicherheit zu erreichen.

Aus dem Buch:

Unfortunately, many countermeasures are ineffective. Either they do not prevent adverse consequences from the intentional and unwarranted actions of people, or the trade-offs aren’t simple worth it. Those who design and implement bad security don’t seem to understand how security works or how to make security trade-offs. They spend too much money on the wrong kinds of security. They make the same mistakes over and over. And they’re constantly surprised when things don’t work out as they’d intended.

Die Nachrichtensendung 60 Minutes von CBS hat Schneier interviewt und seine Thesen im Kontrast zu verschiedenen Sicherheitsmaßnahmen gesetzt:

„Netbook“ ist eine Marke von Psion

Der eine oder andere kann sich vielleicht an einen etwas größeren Tastatur-PDA von Psion Teklogix namens „Netbook“ erinnern. Das Gerät war kein großer Erfolg und so ist die Produktion bereits vor ein paar Jahren eingestellt worden. Mittlerweile ist das Unternehmen auf Industrie-PDAs spezialisiert.

Das Problem ist, dass Psion seit damals für den Begriff „Netbook“ verschiedene Markenrechte besitzt und zumindest in Großbritannien nun damit begonnen hat, diese Rechte auch durchzusetzen: Erste Website-Betreiber haben einen Brief von einer Anwaltskanzlei erhalten, in dem ihnen eine Frist von drei Monaten gesetzt wird, den Begriff „Netbook“ nicht mehr zu verwenden.

Ob und wie Psion diese Rechte nun auch in Deutschland durchsetzen wird, ist nicht bekannt. Ebenfalls unklar ist, warum Psion kleinen Site-Betreibern ans Bein pinkelt und sich nicht gleich mit Intel anlegt. Der Chip-Hersteller hat den nun strittigen Begriff „Netbook“ ein paar Monate nach dem Erfolg des ersten Eee-PCs eingeführt.

Möglich ist allerdings, dass schon längst im Hintergrund Diskussionen zwischen den Unternehmen laufen, über die einfach noch nichts bekannt geworden ist. Wie auch immer, man muss leider damit rechnen, dass einschlägige Abmahnanwälte auch hier zu Lande eine neue Goldgrube wittern.

Zattoo auf dem Toshiba NB100 installieren

Wie schon auf dem Acer Aspire One habe ich den Internet-TV-Player Zattoo auch auf dem Toshiba NB100-11R installiert. Das geht erfreuerlicherweise relativ einfach, obwohl Toshiba das LPIA-basierte (Low-Power Intel architecture) „Ubuntu Netbook Remix“ (UNR) verwendet. Ein Repackage wie auf dem Mini 9 von Dell ist nicht nötig.

Zuerst muss man das aktuelle .deb-Paket für Ubuntu 8.04 von der Zattoo-Webseite herunter laden. Danach öffnet man ein Fenster des Datei-Managers Nautilus, navigiert zum Download-Ordner, klickt mit der rechten Maustaste auf die herunter geladene Datei und wählt „Mit GDebi Paket-Installer öffnen“ aus. Im Paket-Installer klickt man dann rechts oben auf den Button „Paket installieren“. Gdebi lädt noch drei weitere benötigte Pakete herunter und installiert diese zusammen mit Zattoo. Sobald das abgeschlossen ist, kann man den Paket-Installer wieder schließen.

Prinzipiell kann man Zattoo jetzt gleich über /usr/share/applications/Zatto Player starten. Allerdings integriert sich das Programm dann nur schlecht in die UNR-Oberfläche. Besser ist es, zum Beispiel auf dem Reiter „Favoriten“ ein Start-Icon für Zattoo anzulegen. Dann springt auch die UNR-Komponente „maximus“ zur Hilfe und integriert das Zattoo-Fenster in die Desktop-Oberfläche.

Dazu muss man links in der Navigation „Einstellungen, Hauptmenü“ auswählen. Unter „Menüs“ markiert man jetzt „Favoriten“ und klickt dann rechts auf „Neuer Eintrag“. In das erste Feld trägt man Zattoo ein und darunter den Applikationspfad /usr/bin/zattoo_player.

Nach einem Klick auf „Schließen“ findet sich sofort ein Icon für Zattoo im Launcher unter „Favoriten“. Allerdings habe ich noch nicht herausgefunden, wie man das Original-Icon für Zattoo einblendet.

So sieht Zattoo dann auf dem NB100 aus: