Wie Google nach verseuchten Webadressen sucht

Über das Google-Whitepaper zu Drive-by-Downloads habe ich bereits vor einer Weile kurz gebloggt, nun bin ich dabei das Dokument etwas gründlicher durchzuarbeiten. Dabei hat mich die Beschreibung, der von Niels Provos und seinem Team verwendeten Infrastruktur beeindruckt, mit denen sie nach gefährlichen Adressen fahnden.

Das Google-Team prüft an einem Tag rund eine Million Adressen. Jede URL wird dabei separat in einer eigenen virtuellen Maschine getestet. Pro Tag setzen die Forscher also rund eine Million virtueller Maschinen ein.

Dazu laden sie für jede zu prüfende URL ein frisches Windows-Image mit einem ungepatchten Internet Explorer, der die gewünschte Seite dann aufruft. Die virtuelle Maschine läuft jeweils etwa zwei Minuten, in denen sie auf ungewöhnliche Veränderungen am Dateisystem, den Prozessen und in der Registry überwacht wird. Außerdem wird der HTTP-Datenstrom von mehreren Virenscannern nach Schädlingen abgescannt.

Pro Tag gehen ihnen auf diese Weise 25.000 Drive-by-Download-Seiten ins Netz, die bereits beim simplen Besuch den PC des Surfers zu infizieren versuchen. Das entspricht einer beängstigenden Quote von 2,5 Prozent infizierten Seiten.

Um auf die benötigte Infrastruktur für eine Million Tests pro Tag zurückzukommen: Ein Rechner, der exakt alle zwei Minuten eine frische virtuelle Maschine laden würde, könnte am Tag theoretisch 722 Durchläufe schaffen. Das wären 1389 Computer, die nichts anderes machen als tagaus tagein frische Windows-Images zu laden und mit neuen URLs zu füttern.

In der Praxis startet jede verwendete Testmaschine vermutlich mehr als jeweils nur ein einziges Testsystem. Auf der anderen Seite dürfte durch das Laden der frischen Images auch etwas Zeit verloren gehen. Die genaue Zahl der verwendeten Testsysteme abzuschätzen ist also fast unmöglich. Die Infrastruktur, die Google hier für die Suche nach Drive-by-Download-Seiten bereitstellt, ist jedenfalls mehr als beindruckend.

Weitere Beiträge zum Thema:
Drive-by-Downloads
Google-Whitepaper zu Drive-by-Downloads
Gehackte WoW-Accounts und wie man sich schützt

Verseuchte Screensaver

Axel Eckelberry berichtet im Sunbelt-Blog über eine neue Spam-Welle, bei der für den Besuch einer Webseite mit verseuchten Screensavern geworben wird. Die Seite war gestern noch online, so dass ich sie mir kurz ansehen konnte. Sie entspricht zwar nicht den modernen Standards, sondern erinnert ein wenig an selbstgebastelte Homepages, aber trotzdem wirkt sie einigermaßen überzeugend. Der eine oder andere unerfahrene PC-Nutzer fällt sicher darauf herein.

Wer einen der Screensaver herunterlädt und zu installieren versucht, handelt sich allerdings den Downloader Small.AAKR ein. Dieser beginnt damit weitere Schädlinge wie zum Beispiel Drop.Agent.fcj herunterzuladen. Beide werden derzeit noch von kaum einem Virenscanner erkannt.

Drive-by-Downloads

Sogenannte Drive-by-Downloads sind eine von vielen Anwendern unterschätzte Gefahr im Internet. Bei einem Drive-by-Download genügt bereits der Besuch einer böswilligen oder auch nur einer leicht manipulierten Webseite, um den eigenen PC mit einem oder mehreren Schädlingen zu infizieren.

Das funktioniert meist ganz einfach: Ein Surfer besucht die Webseite, dort werden mehrere Skripte ausgeführt, die auf unterschiedliche Sicherheitslücken abzielen. Ist auch nur eine Lücke gefunden, wird ein Dropper auf dem PC des Besuchers installiert. Dieser lädt dann weitere Schädlinge herunter, so dass sich nach kurzer Zeit eine breite Palette an Trojanern, Adware, Rogue-Anti-Spyware-Programmen usw. auf dem PC befinden.

Eine andere Methode für Drive-by-Downloads ist das Erstellen einer anscheinend legitimen Webseite, auf der dem Anwender eine kostenlose Software zum Download angeboten wird. Diese ist jedoch selbst infiziert. Insbesondere das Sicherheitsbefürfnis vieler Anwender versuchen die Kriminellen auszunutzen, indem sie oft vorgebliche Schutz-Software anbieten.

Google hat vor einem Monat die Ergebnisse einer Studie über Drive-by-Downloads veröffentlicht. Dabei hat der Suchmaschinenbetreiber mehr als drei Millionen Adressen auf 180 000 verseuchten Webseiten entdeckt, die Schad-Software über Lücken im Browser verbreiten. Ein erhöhtes Risiko geht von Porno-, Warez- und Serialz-Seiten aus, aber auch Banner auf seriösen Webseiten können Drive-by-Downloads versuchen.

F-Secure verzeichnet nun vermehrt Spam-Mails mit Links auf FTP-Seiten, die Schad-Software enthalten. Als Beispiel hat das Unternehmen den folgenden Screenshot veröffentlicht.

Unten sieht man den Link zu der FTP-Adresse. Bemerkenswert ist, dass die Ersteller immer noch den alten Trick mit den doppelten Dateiendungen verwenden: Die Datei heißt „hallmark.gif[1].exe“. Windows (auch Vista) zeigt diese standardmäßig nicht an.

Weitere Beiträge zum Thema:
Google-Whitepaper zu Drive-by-Downloads
Verbreitungswege von Rogue Anti-Spyware
Auf einen Blick: Rogue Anti-Spyware schnell erkennen

Virustotal entfernt „Do not distribute“-Option

Der Online-Dienst Virustotal, bei dem man Dateien hochladen und von derzeit 32 Virenscannern kostenlos checken lassen kann, hat Anfang dieses Jahres die Option „Do not distribute the sample“ entfernt. Als Begründung wurde genannt, dass Virustotal vermehrt von Malware-Autoren genutzt wurde, die ihre Erzeugnisse bei Virustotal prüfen, bevor sie sie freisetzen. Die Option habe ihnen die Möglichkeit gegeben, die Schädlinge vor einer Weiterverteilung an Antiviren-Hersteller zu schützen.

Hispasec, der Betreiber von Virustotal hat die Entscheidung in einem Blog-Post begründet. Der Großteil der Kommentare zu diesem Post ist negativ, macht auf mich aber eher den Eindruck als seien hier Script-Kiddies durchgedreht, die sich nun nicht mehr trauen, ihre zusammengeklickten Erzeugnisse bei Virustotal hochzuladen.

Die teilweise vorgebrachten Datenschutzbedenken halte ich auch für Quatsch. Wie vertrauenswürdig war die Option denn jemals? Wer bislang private Daten zur Prüfung auf Viren hochgeladen hat, musste schon immer damit leben, dass er sie zumindest einem fremden Unternehmen – Hispasec – zur Verfügung gestellt hatte. Jetzt weiss man zumindest, dass alle Daten an Antiviren-Hersteller weiterverteilt werden, wenn zumindest ein Treffer verzeichnet wird. In dem Hispasec-Post wird nämlich auch das Prozedere bei Virustotal kurz umrissen:

Over 85% of all samples identified as malware in VirusTotal were submitted as distributable, and automatically forwarded in real time to all AV labs whose engines did not detect said samples.

Ich werde den Dienst jedenfalls weiter nutzen.

Weiterer Beitrag zum Thema:
32facher Virencheck mit Virustotal

Neue Rescue-CD von Avira

Der Antiviren-Hersteller Avira hat gestern eine neue kostenlose Rescue-CD vorgestellt, auf der sich neben einem Linux-System zum Booten auch Antivir befindet. Damit kann man einen möglicherweise mit einem Virus oder einem Rootkit verseuchten PC booten und nach Schädlingen absuchen, ohne dass das eigentliche Betriebssystem läuft.

Der Download der Live-CD ist etwa 45 MByte groß und wird nur in Form einer EXE-Datei und nicht als ISO-Image, wie sonst üblich, angeboten. Der Vorteil ist, dass man kein separates Brennprogramm mehr braucht, um die Rescue-CD zu erstellen.

Read More …

Google-Whitepaper zu Drive-by-Downloads

Im Google Online Security Blog ist ein umfangreiches Whitepaper zu Drive-by-Downloads (PDF) veröffentlicht worden. Die wichtigsten Punkte in Kürze:

Drive-by downloads are caused by URLs that attempt to exploit their visitors and cause malware to be installed and run automatically. Our analysis of billions of URLs over a 10 month period shows that a non-trivial amount, of over 3 million malicious URLs, initiate drive-by downloads. An even more troubling finding is that approximately 1.3% of the incoming search queries to Google’s search engine returned at least one URL labeled as malicious in the results page.

Ein Teil der Drive-by-Downloads erfolgt über eingeblendete Banner:

Today, the majority of Web advertisements are distributed in the form of third party content to the advertising web site. This practice is somewhat worrisome, as a web page is only as secure as it’s weakest component. In particular, even if the web page itself does not contain any exploits, insecure Ad content poses a risk to advertising web sites.

Die Verbreitungswege der Schädlinge können sehr vielschichtig sein:

The landing page in our example refers to a Dutch radio station’s web site. The radio station in question was showing a banner advertisement from a German advertising site. Using JavaScript, that advertiser redirected to a prominent advertiser in the US, which in turn redirected to yet another advertiser in the Netherlands. That advertiser redirected to another advertisement (also in the Netherlands) that contained obfuscated JavaScript, which when un-obfuscated, pointed to yet another JavaScript hosted in Austria. The final JavaScript was encrypted and redirected the browser via multiple IFRAMEs to adxtnet.net, an exploit site hosted in Austria. This resulted in the automatic installation of multiple Trojan Downloaders.

Antiviren-Programme schützen nur mangelhaft gegen Drive-by-Downloads:

The graph reveals that the detection capability of the anti-virus engines is lacking, with an average detection rate of 70% for the best engine. These results are disturbing as they show that even the best anti-virus engines in the market (armed with their latest definitions) fail to cover a significant fraction of web malware.

Was kann man also machen, um sich zu schützen? Wie vor kurzem bereits im Beitrag über WoW-Trojaner erwähnt, sollte man nicht mehr mit dem Internet Explorer surfen, sondern mit Firefox und außerdem die Erweiterungen Noscript sowie Adblock Plus verwenden.

Gehackte WoW-Accounts und wie man sich schützt

Mit dem Erfolg des Online-Spiels World of Warcraft (WoW) von Blizzard sind die nun weltweit mehr als 10 Millionen zahlenden Abonnenten ins Visier von Cyber-Kriminellen geraten. Berichte über gehackte und dann geplünderte WoW-Accounts findet man immer öfter. Das geklaute virtuelle Gold wird gesammelt und später wieder an andere WoW-Nutzer gegen echtes Geld verkauft.

Meist verwenden die Banden Trojaner und Keylogger wie Trojan.Agent.AFZI, die sie auf den PCs der WoW-Spieler einschleusen, um die Zugangsdaten zu klauen. Wurde ein Account erfolgreich gehackt, wird zuerst das Zugangspasswort geändert. Dann verkaufen die Diebe alle virtuellen Gegenstände und transferieren das gesammelte Gold auf andere Accounts. Read More …

Kritische Sicherheitslücke in Adobe Reader 7 und 8

Über ungepatchte Versionen des Adobe Readers 7 und 8 kann sich der Trojaner Zonebac auf fremden PCs einschleichen, warnt Idefense. Zonebac beendet Antiviren-Programme, blendet Werbung ein und manipuliert Suchergebnisse. Eine Infektion mit Zonebac soll über Banner erfolgen, die PDF-Dateien ausliefern. Der genaue Prozess ist nicht näher beschrieben. Die Presseerklärung von Idefense findet sich hier (PDF).

Updates und weitere Infos von Adobe. Alternativ empfiehlt sich auch ein Umstieg auf den ebenfalls kostenlosen Foxit Reader, der schlanker und schneller als der schwergewichtige Adobe Reader ist.

Werkzeuge gegen Rootkits

Das Angebot an kostenlosen Tools gegen Windows-Rootkits ist mittlerweile recht vielfältig. Vor zwei oder drei Jahren gab es nicht viel neben dem Rootkit Revealer von Mark Russinovich. Das Programm wurde bei Sysinternals entwickelt und kostenlos zum Download angeboten. Mittlerweile gehört Sysinternals zu Microsoft.

Der Rootkit Revealer in der aktuellen Version 1.71 erkennt Rootkits anhand charakteristischer Merkmale, entfernt diese aber nicht. Das Sicherheits-Tool ist mittlerweile selbst ins Visier der Cyber-Kriminellen geraten, die versuchen, den Prozess zu erkennen und abzuschießen, bevor der Schädling aufgespürt werden kann. Aus diesem Grund verwendet Rootkit Revealer mittlerweile zufällig wechselnde Namen, um sich selbst zu tarnen. Read More …

Warum sich Norton-Software so schlecht entfernen lässt

Viele Virenscanner und Co. lassen sich nicht komplett vom System entfernen, dabei kann dies zu Problemen mit der Installation einer neuen Sicherheitslösung führen, berichtet Scott Dunn von Windows Secrets. Dunn hat sich speziell mit den Produkten von Symantec beschäftigt.

Die mitgelieferten Uninstaller haben jeweils eine DLL namens „symlcrst.dll“ sowie mehrere Verweise in der Registry zurückgelassen. Auch die Norton Removal Tools haben nicht alles entfernt.

Laut Jody Gibney, Senior Product Manager für Norton Internet Security, ist dies Absicht: „symlcrst.dll“ ist nämlich eine DRM-Komponente, die verhindern soll, dass ein Nutzer die kostenlosen Testversionen immer wieder neu installiert.

Eine ausführliche Schritt-für-Schritt-Anleitung zum rückstandslosen Entfernen von Norton-Produkten hat Dave Taylor veröffentlicht.

Übersicht über Removal-Tools für diverse andere Sicherheitsanwendungen.