Tag Archive for 'rogue sofware'

Malware-Gezwitscher auf twitter.com

Nicht nur User scheinen auf Twitter fleissig zu zwitschern; auch Malware zwitschert kräftig mit.
Seit gestern häufen sich die Berichte über verseuchte tweets (=Beiträge von “Usern”) auf dem Social Networking Dienst twitter.com.

Laut dem Sicherheitsspezialisten Panda Security sind hunderte, wenn nicht sogar Tausende tweets auf twitter.com mit Links auf Gefährliche Webseiten bzw Malware-Domains verseucht:

[…] Over the past 24 hours, there have been several thousand tweets targeting trending topics on Twitter and the numbers continue to rise.[…]

Quellen:

  • Rogueware Campaigns blending in with Twitter Trends
  • Rogueware campaign on Twitter continues…
  • Und tatsächlich: Klickt man die Hot Topics auf Twitter durch, kriegt man mehrere Verseuchte Tweets aufgetischt:

    Rogueware on Twitter

    Die betroffenen User Profile wurden höchstwahrscheinlich automatisch generiert. Die Profile sind zu haufen mit Gefährlichen Tweets verseucht:

    malicious_twitter_profile

    Was neu und gleichzeitig prekär an der Malware-Kampagne ist, ist die Tatsache, dass die verseuchten Tweets nicht direkt auf die Webseite verweist, welche schlussendlich dem User die Malware anbietet, sondern über so genannte Kurz-URL-Dienste wie z.B. tinyurl.com, tinylink.co.za, a.gd, twitloops.com etc funktionieren. Der User weiss also weder, was sich hinter diesen Kurz-URLs tatsächlich für eine URL verbirgt noch, ob diese seinen Computer gefährden kann. Klickt in unserem Fall ein Twitter-User eine solche URL an, wird er an eine Webseite weitergeleitet, welche ihm einen gefälschten Flash-Player unter jubeln will. Dabei handelt es sich jedoch nicht um den Flash-Player, sonder um einen so genannten Rogue Antivirus (auch als Rogueware bekannt, siehe Wikipedia: Rogue-Software). Ich habe jedoch auch beobachtet, dass die Kurz-URLs teilweise direkt auf eine Webseite verweist, welche einen Rogue-AV anbietet (ohne diese als Flash Update zu tarnen):

    rogue_antivirus

    Es scheinen hunderte gefährliche Kurz-URLs bei verschiedenen Anbietern angelegt worden zu sein, welche nun auf solche Malware URLs verweisen. Bis jetzt konnte ich folgende sichten (scheint jedoch erst die Spitz des Eisberges zu sein):

    24dat.com

    24dat_com

    24dat.com (82.146.51.25)

    inetnum: 82.146.48.0 – 82.146.55.255
    netname: ISPSYSTEM
    descr: ISPsystem at NAC
    country: US

    Gefäschte Flash-Player downloads:

    http://91.212.132.11/promo1/get.php?aid=1470&vname=Adobe-Flash-Player-Update-pack-2009-06-04

    http://78.129.166.166/promo1/get.php?aid=1470&vname=Adobe-Flash-Player-Update-pack-2009-06-04

    chickstube.cn

    chicktube_cn

    chickstube.cn (82.146.51.126)

    inetnum: 82.146.48.0 – 82.146.55.255
    netname: ISPSYSTEM
    descr: ISPsystem at NAC
    country: US

    Gefäschte Flash-Player downloads:

    http://91.212.132.11/promo1/get.php?aid=1470&vname=free_stream_video_player

    http://78.129.166.166/promo1/get.php?aid=1470&vname=free_stream_video_player

    top-pornnet.com

    top_pornnet_com

    top-pornnet.com (78.129.166.166)

    inetnum: 78.129.166.0 – 78.129.166.255
    netname: KY-PRVT-NWRK-019231
    descr: Cayman British Islands Offshore Network
    country: KY

    Gefälschte Flash-Player downloads:

    http://top-pornnet.com/promo1/get.php?aid=1470&vname=flash_player_plugin

    Der angebotene Flash-Player hat verschiedene Datei Namen. Es handelt sich jedoch scheinbar immer um die selben zwei Files (siehe MD5 hash):

    Filename: Adobe-Flash-Player-Update-pack-2009-06-04.exe
    File size: 1981634 bytes
    MD5 : 8994aa3afc5d2d9d35c76e267137ec76
    Erkennungsrate: 10/37 (27.03%)
    Filename: flash_player_plugin.exe
    File size: 1981634 bytes
    MD5 : 8994aa3afc5d2d9d35c76e267137ec76
    Erkennungsrate: 10/37 (27.03%)
    Filename: free_stream_video_player.exe
    File size: 1981634 bytes
    MD5 : 8994aa3afc5d2d9d35c76e267137ec76
    Erkennungsrate: 10/37 (27.03%)
    Filename: Setup_build7_27.exe
    File size: 177152 bytes
    MD5 : a73e9bd7d406c6935e0fadfd7925dba6
    Erkennungsrate: 9/40 (22.50%)

    Gehen wir etwas genauer auf die Kurz-URLs ein: Interessant ist, dass die URL, an welche der User weitergeleitet wird, nicht fix hinter der Kurz-URL ein programmiert ist. Vielmehr verweisen die die Kurz-URLs scheinbar alle samt auf die selbe IP Adresse, welche dann schlussendlich eine Weiterleitung auf eine der obigen Webseiten macht. Dies jedoch auch nur, wenn der Browser des Users ein gewisses Kriterium erfüllt.

    wget ohne User Agent:

    wget http://a.gd/2524d9/

    –2009-06-04 14:10:24– http://a.gd/2524d9/
    Auflösen des Hostnamen »a.gd«…. 72.52.201.204
    Verbindungsaufbau zu a.gd|72.52.201.204|:80… verbunden.
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: http://66.199.229.253/etds/go.php?sid=43
    –2009-06-04 14:10:24– http://66.199.229.253/etds/go.php?sid=43
    Verbindungsaufbau zu 66.199.229.253:80… verbunden.
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: http://google.com/
    –2009-06-04 14:10:24– http://google.com/
    Auflösen des Hostnamen »google.com«…. 74.125.67.100, 74.125.45.100, 74.125.127.100
    Verbindungsaufbau zu google.com|74.125.67.100|:80… verbunden.

    wget mit MS IE User Agent:

    wget -U “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)” http://a.gd/2524d9/

    –2009-06-04 14:15:02– http://a.gd/2524d9/
    Auflösen des Hostnamen »a.gd«…. 72.52.201.204
    Verbindungsaufbau zu a.gd|72.52.201.204|:80… verbunden.
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: http://66.199.229.253/etds/go.php?sid=43
    –2009-06-04 14:15:02– http://66.199.229.253/etds/go.php?sid=43
    Verbindungsaufbau zu 66.199.229.253:80… verbunden.
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: /etds/got.php?sid=43
    –2009-06-04 14:15:02– http://66.199.229.253/etds/got.php?sid=43
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: http://66.199.229.253/etds/go.php?sid=41
    –2009-06-04 14:15:03– http://66.199.229.253/etds/go.php?sid=41
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: /etds/got.php?sid=41
    –2009-06-04 14:15:03– http://66.199.229.253/etds/got.php?sid=41
    HTTP Anforderung gesendet, warte auf Antwort… 302 Found
    Location: http://chickstube.cn/
    –2009-06-04 14:15:04– http://chickstube.cn/
    Auflösen des Hostnamen »chickstube.cn«…. 82.146.51.126
    Verbindungsaufbau zu chickstube.cn|82.146.51.126|:80… verbunden.

    Fazit
    Wie Panda Security bereits berichtet hat, scheint die Malware-Kampagne derzeit tatsächlich ziemlich massiv zu sein. Benutzer von Twitter sollten deshalb bis auf weiteres keine Links bzw Kurz-URLs wie tinyurl.com & co auf twitter anklicken. Ansonsten gilt: Finger weg von angeblichen Flash-Plugins oder Video-Codecs! Der Adobe Flash Player sollte ausschliesslich auf der Orginal Webseite von Adobe (get.adobe.com) aktualisiert werden.

    Für Unternehmen stellt sich nun natürlich die Frage, ob der Zugriff auf twitter.com bzw Kurz-URL Dienste temporär eingeschränkt bzw. gesperrt werden soll. Eine Antwort darauf habe ich leider nicht. Ich hoffe jedoch, dass Twitter das Problem möglichst rasch in den Griff bekommt. Der einzige Trost-Tropfen zur Zeit ist die Tatsache, dass die Kampagne derzeit scheinbar nur Englisch-Sprachig ist. Somit besteht die Hoffnung, dass nicht all zu viele Twitter-User aus dem deutschsprachigen Raum auf den gefälschten Adobe Flash-Player hereinfallen.

    Wer jedoch denkt, Twitter stehe mit solchen Problemen alleine da, täuscht sich: Auch andere Social Networks wie z.B. Facebook und Myspace waren bereits Ziel solcher Attacken (siehe heise Security: “Neue Würmer attackieren MySpace und Facebook”).

    Anbei eine Liste der Domains / IPs, auf welche die Kurz-URLs verweisen bzw welche ein Rechner nach der Infizierung kontaktiert:

  • virusshield-scan.net
  • virusdoctor-onlinedefender.com
  • virus-catcher.net
  • virussweeper-scan.net
  • virusshield-scanvirus.net
  • 00freewebhost.cn
  • viruscatcher.net
  • tdncgo2009.com
  • updvmfnow.cn
  • malwarecatcher.net
  • pay-virusshield.cn
  • virusshieldpro.com
  • 91.212.132.11
  • 78.129.166.166
  • 66.199.229.253
  • top-pornnet.com
  • chickstube.cn
  • 24dat.com



  • economics-recluse
    Scene
    Urgent!