Virtuelle Maschinen: Weihwasser gegen Malware

Aus beruflichen Gründen arbeite ich täglich mit bzw. in einer virtuellen Maschine. Lenny Zeltser berichtet auf der SANS Homepage von einem weiteren Vorteil dieser Arbeitsweise: Drei von zwölf kürzlich in einem Honeypot gefangenen Schädlingen haben den Start in einer VM verweigert.

Virtual machine detection is a self-defensive property of many malware specimens. It is aimed at making it harder to examine the malicious program, because virtualization software, such as VMware, is a very popular tool among malware analysts.

FTC klagt gegen Spyware-Verbreiter

Die Federal Trade Commission (FTC) hat bei einem US-Gericht eine Klage gegen Odysseus Marketing und den Geschäftsführer Walter Rines eingereicht. Die FTC wirft Rines vor, dass die von ihm angebotene Software Kazanon, die angeblich anonymes Filesharing ermöglichen sollte, heimlich Spy- und Adware-Programme installiert hat.

„The agency charges that the claims are bogus. First, the software does not make file-sharing anonymous. Second, the cost to consumers is considerable because the “free” software is bundled with spyware called Clientman that secretly downloads dozens of other software programs, degrading consumers’ computer performance and memory.“

Informationen zu Clientman gibts unter anderem bei Symantec. Über Kazanon informiert CA.

Weiteres Hintergrundmaterial hat Suzi Turner ausgegraben. Dort gibts diverse Screenshots und Beweise, die die Federal Trade Commission gesammelt hat, zum Beispiel:

Malwhere revisited

Bei Recherchen zu einem Artikel bin ich heute zufällig darauf gestossen, dass die Software Malwhere mittlerweile wieder bei download.com und ZDNet USA heruntergeladen werden kann. Vor etwa einem Jahr habe ich mich bereits mit dem Programm beschäftigt und es analysiert. Dabei sind mir ein ganzer Schwarm von Trojanern und Adware ins Netz gegangen. Die damalige Malwhere-Version war 676 KByte groß.

Vor ein paar Monaten hat ein Weblog-Leser mich wieder auf das Thema Malwhere aufmerksam gemacht. Die damals aktuelle Version schien einigermaßen sauber zu sein und war auch nur noch 217 KByte groß.

Bei der derzeit erhältlichen Variante hat sich wieder einiges geändert. Sie ist 1088 KByte groß und hat eine komplett veränderte Oberfläche. Das Programm ist laut Website des Anbieters mittlerweile Freeware und angeblich komplett frei von „Bundled Software of any kind“.

Bei einem Test der neuen Version 1.12 konnte ich tatsächlich weder mit Avast noch mit Hijackthis schädliche Spuren entdecken. Man sollte sich allerdings die Frage stellen, ob man einem Programm vertrauen kann oder will, dass eine sehr unerfreuliche Historie hat.

Der Entwickler Ran Geva schreibt in seinem eigenen Forum, dass Malwhere nur deswegen auf zahlreichen Rogue-Antispyware-Listen gelandet sei, weil es früher ein altes Programm mit dem selben Namen gegeben habe. Das mag sein. Ich vermute nur, dass alle Varianten aus der gleichen Schmiede stammen. Die grundlegende Funktion hat sich nämlich nicht geändert. Malwhere war vor einem Jahr ein simpler Prozess-Viewer und ist im Kern immer noch nichts anderes.

Ich kann nur eines raten: Finger weg.

Cookies sind keine Spyware

Cookies sind keine Spyware, auch wenn sie zuweilen nerven. Mit dem immer gleichen Trick schockieren unseriöse und leider auch seriöse Security-Anbieter Anwender: Die Programme suchen nach Spyware und melden nach dem Scan, dass sie soundsoviel Schädlinge gefunden hätten. Erst auf den zweiten Blick erkennt man dann, dass in den meisten Fällen nur Cookies „aufgespürt“ wurden.

Genau diese Methode verwendet auch der neue Online-Scan SpyXposer von Panda Software. Nach dem Durchlauf auf einem Testrechner meldete das ActiveX-Applet den Fund von 9 x „Spyware“.

Erst ein Klick auf den Report offenbart, wie wenig Handfestes wirklich gefunden wurde:

Spyware:Cookie/Falkag
Spyware:Cookie/Atlas DMT
Spyware:Cookie/Com.com
Spyware:Cookie/Doubleclick
Spyware:Cookie/Mediaplex
Spyware:Cookie/2o7.net
Spyware:Cookie/Atlas DMT
Spyware:Cookie/Falkag
Spyware:Cookie/Mediaplex

Wäre schön, wenn die Anti-Spyware-Unternehmen in diesem Punkt endlich etwas ehrlicher gegenüber ihren Kunden werden würden.

Die eigene Webcam als Spion

Einer ganz anderen Art von Überwachung durch Kameras können sich Computer-Nutzer aussetzen, die eine Webcam an ihren Rechner angeschlossen haben. Laut Graham Cluley von Sophos verfügt fast jede neue Spielart des Rbot-Wurms über die Fähigkeit, die Kontrolle über eine Digicam zu übernehmen. Anschließend nimmt der elektronische Schädling Fotos und Filmchen auf und versendet sie über das Internet an seinen Urheber — ohne das es der rechtmäßige Besitzer merkt.

In Spanien wurde nach Informationen von Sophos gerade ein Student zu einer Strafe in Höhe von 3000 Dollar verurteilt, der eine junge Frau über ihre Webcam ausspioniert hatte. Sein Trick: Er hatte ihr eine manipulierte Version des Subseven-Trojaners zugemailt. Erwischt wurde er übrigens nur deswegen, weil er die heimlich aufgenommenen Fotos nicht für sich behalten konnte. Angeblich war er sogar so dämlich, die Mail-Adresse der jungen Frau in den Mail-Verteiler aufzunehmen, an den er die Bilder sandte.

Erster Trojaner greift Anti-Spyware von Microsoft an

Obwohl die neue Anti-Spyware von Microsoft als noch nicht sehr ausgereift gilt, versucht der Wurm „BankAsh-A“ doch sie zu deaktivieren. Abgesehen von dieser Premiere handelt es sich bei BankAsh-A um einen Trojaner, der vor allem Kontodaten und Passwörter klauen soll.

Er geht dabei recht trickreich vor, indem er die besuchten Webseiten des Anwenders überwacht und eine Fake-Seite einblendet, sobald er bestimmte Finanzinstitute aus dem englischen Sprachraum erkennt. Die darüber ausspionierten Informationen versucht BankAsh-A an eine bestimmte FTP-Adresse zu senden. Hier liegt auch der Schwachpunkt dieses Schädlings: sobald die Adresse vom Netz genommen wurde, kann er seine Daten nicht mehr erfolgreich versenden.

Zur Verbreitung dienen Spam-Mails und manipulierte Web-Seiten. BankAsh-A kann sich selbst aktualisieren und so neue Schadfunktionen lernen.

Auf einen Blick: Rogue Anti-Spyware schnell erkennen

Bei meinen Recherchen für einen Artikel über Rogue Anti-Spyware bin ich auf mehrere Gemeinsamkeiten gestoßen, die fast alle Anbieter dieser fragwürdigen Software-Gattung und die Web-Seiten, die sie zur Verbreitung ihrer Schädlinge verwenden, verbindet. Misstrauisch sollte man werden, wenn einer oder gleich mehrere der folgenden Punkte zutreffen:

  • Rogue-Anti-Spyware-Anbieter sind faul und wollen schnell Geld verdienen. Die Web-Seiten sind deshalb relativ klein und bieten nur wenige Inhalte.
  • Fast alle Links auf der Seite führen zum Download des vorgeblichen Anti-Spyware-Programms.
  • Nirgends stehen genauere Informationen über den Anbieter.
  • Der Support-Bereich (sofern vorhanden) ist gähnend leer.
  • Schon beim Besuch der Web-Seite poppen (Javascript-)Fenster auf, in denen vor nicht näher genannten Schädlingen gewarnt wird.
  • Der Scan einer angeblichen Anti-Spyware findet keine Treffer, die Software meldet aber am Schluss trotzdem Infektionen und fordert zum Kauf einer „Vollversion“ auf.

Siehe auch Vorsicht vor MalWhere.

Nachtrag: Wer ein Anti-Spyware-Programm einsetzen möchte, sollte vorher unbedingt einen Blick auf diese Liste werfen. Eric L. Howes sammelt dort Informationen über diese spezielle Gattung an Software, die verunsicherten Anwendern das Geld aus der Tasche ziehen will. Momentan sind dort 138 (einhundertachtunddreißig!) Rogue-Anti-Spyware-Programme verzeichnet.

Vorsicht vor MalWhere

Menschen, die Spyware entwickeln, sind ja schon fies. Richtig fies sind aber Menschen, die die Angst der Anwender vor den PC-Spionen nutzen, um nutzlose Programme zu verkaufen oder selbst gar Spyware einzuschleusen. Mittlerweile gibt es weit mehr so genannte „Rogue Anti-Spyware“ als echte Anti-Spyware-Programme (Positivbeispiele sind unter anderem Ad-Aware, Spybot S&D und SpywareBlaster).

Ein Vertreter der richtig gemeinen Art ist MalWhere. Die Software gehört mit Sicherheit zu den übelsten Programmen, die sich derzeit frei aus dem Internet herunterladen lassen. Wer den Anbietern auf den Leim geht und dieses angebliche Anti-Spyware-Programm installiert, fängt sich ein gutes halbes Dutzend Trojaner und Werbeträger ein, die nur schwer wieder loszuwerden sind.

Hinter der eigentlichen Applikation steckt dabei kein Spyware-Killer, sondern ein einfach gestrickter Prozess-Viewer, der gerade mal dazu in der Lage ist, einen Prozess zu beenden und eine nicht näher erläuterte „Gefahrenstufe“ anzuzeigen. Von effektiv entfernen ist keine Spur zu entdecken. Auf Ironie der Entwickler oder nur Schlampigkeit weist hin, das MalWhere immerhin „Buddy Bargain“ meldet, eine Backdoor-Software, die das Programm selbst einschleust. MalWhere schleppt darüber hinaus weitere Trojaner ein, die sich in folgenden Dateien verstecken: DP-HIM.EXE, ATPARTNERS.DLL und IEHOST.EXE.

Warnungen vor Trojanern bei der Installation von MalWhere

Wer die Schädlinge trotz aktuellem Antiviren-Programm nicht loswird, kann folgende Methode probieren, um das Sammelsurium auszumisten. Vorher aber noch eine Anmerkung, MalWhere ist kein statisches Programm. Die Zusammensetzung der Schädlinge scheint sich immer wieder mal zu ändern.

Rechner im abgesicherten Modus rebooten, HijackThis! starten und damit alle Einträge entfernen, die folgende Dateinamen enthalten: bargains.exe, cashback.exe, dp-him.exe sowie IEHost.exe, pcsvc.exe, Tvm.exe, wupdater.exe, WebRates0.exe, VirtualBouncer.exe und AdDestroyer.exe. Darüber hinaus verbirgt MalWhere noch weitere Übeltäter auf einem betroffenen System, die mit HijackThis! deaktiviert werden können: SearchBar.htm, ATPartners.dll, inetkw.dll, inetmgr.exe, nls.exe, MaxSpeed, TvmBho.dll, IncFindBHO.dll, nvms.dll, mscb.dll, msbe.dll und apuc.dll.

Danach sollten folgende Ordner gelöscht werden: AdDestroyer, Bargain Buddy, BullsExe Network, CashBack, IncrediFind, Internet Keyword, Max Speed, MalWhere, NaviSearch, TV Media, VBouncer sowie Web_Rebates. Eventuell ist es hilfreich, die Dateinamen und Verzeichnisse nach „Geändert am“ zu sortieren, so lassen sich diejenigen relativ leicht erkennen, die von MalWhere erstellt wurden.

Huch, ein Browser-Helfer?

Ein „Browser Helper Object“ (BHO) ist ein kleines Programm, das automatisch mit jedem Start des Internet Explorer ausgeführt wird. In der Regel kommen BHOs mit anderen Programmen auf den eigenen PC, zum Beispiel als versteckte Adware mit verschiedenen Shareware-Tools wie Gozilla oder Getright. Es gibt aber auch positive und erwünschte BHOs wie die praktische Google-Toolbar oder den „SDHelper“, der mit „Spybot 1.3“ installiert wird und vor Spyware schützt.

Erst einmal installiert hat ein BHO praktisch unbeschränkte Rechte auf dem System, es kann Daten lesen, schreiben, löschen und andere APIs aufrufen. Der vor kurzem entdeckte Trojaner „Bankhook.A“ setzt auf die BHO-Technik und enthält unter anderem einen Keylogger, der Informationen ausspioniert und über HTTP an ein Perl-Skript auf einem fremden Web-Server übergeben will. Sogar SSL-Verbindungen zur eigenen Online-Bank sind nicht sicher gegen Bankhook.A, weil sich der Schädling die Daten holt, bevor sie verschlüsselt werden. Die Gefahr bei BHOs ist, dass sie sich ohne Wissen des Nutzers installieren können und dann im Verborgenen ihr Unwesen treiben.

Vor Trojanern kann man sich einigermaßen mit einem der gängigen Antiviren-Programme schützen, aber wie erfährt man, welche BHOs sich im Laufe der Zeit auf dem eigenen System eingeschlichen haben? Zum Beispiel mit „BHODemon 2.0„. Das Programm schaut in der Registry nach, welche BHOs installiert sind und gibt diese Information übersichtlich in einer Liste aus. Das kann etwa so aussehen:

BHODemon 2.0

Über diese Liste lassen sich die einzelnen BHOs deaktivieren oder auch wieder aktivieren (Gozilla etwa läuft nur, wenn die dazu gehörende Adware-BHO noch funktionstüchtig ist). Ein Doppelklick auf den jeweiligen Browser Helper öffnet ein weiteres Fenster mit Zusatzinformationen über das „Helferlein“. BHODemon 2.0 trägt sich darüber hinaus selbst in den Autostart-Ordner ein und meldet sich nach Angaben der Programmierer, wenn sich ein neues BHO installiert hat.

Und wieder sehen sie nur, was sie sehen wollen

Zum zweiten Mal haben Earthlink und Webroot ihren „Spyaudit Report“ publiziert. Anfang April 2004 veröffentlichten die Unternehmen bereits eine Studie, die zu dem zweifelhaften Ergebnis kam, jeder ans Internet angeschlossene Rechner sei mit 28 Spyware-Programmen verseucht. Die Presse nahm den Brocken nur zu bereitwillig auf und schürte das Feuer. Dabei handelte es sich bei den meisten Gefahren, die durch ein kleines Tool aufgedeckt worden sein sollen, um Tracking-Cookies, die weder ausführbar sind, noch per se wirklich gefährlich sind.

Nun das gleiche wieder, neue Studie, neues Glück. Alle machen unreflektiert mit und treiben die Sau erneut durchs Dorf:

„Beim Scan von rund 421.000 Rechnern wurden insgesamt 11,3 Millionen Instanzen von Spyware-Programmen entdeckt, also durchschnittlich 26,9 pro Rechner.“ (ZDNet)

„… mehr als 18 Millionen Spyware-Installationen gefunden.“ (PC Professionell)

In Wahrheit sieht es aber so aus:

Spyaudit

32 Millionen der gefundenen 40 Millionen „Vorfälle“, also etwa 80 Prozent, sind die bestenfalls als penetrant und ärgerlich zu bezeichnenden Tracking-Cookies und weder (ausführbare) „Programme“, noch irgendwelche „Installationen“.

Nicht so beeindruckend, aber immer noch bedenklich ist, dass immerhin je mehr als 250.000 Systemmonitore und Trojaner gefunden wurden. Aber eine Infektionsrate von 17 Prozent klingt halt weit weniger spektakulär als „durchschnittlich 26,9 pro Rechner“.

BTW: Ad-Aware und Spybot machen kurzen Prozess mit den Keksen und der meisten Adware.