MPack - Jetzt wird's ernst
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Security & Viren » MPack - Jetzt wird's ernst (80 Beiträge, 964 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Security & Viren  #4234010
MPack - Jetzt wird's ernst
Fly
14.07.2007, 12:31:44
Ok, die Meldung ist nicht neu. Erstaunlicherweise hat bisher niemand etwas dazu geschrieben, also will ich mal ein klein wenig dazu schreiben, was mich seit fast zwei Monaten beschäftigt (damit Ihr auch mal wißt, was ich arbeite :)).

MPack ist eine Art "Infektions-Kit". Gibt's für relativ wenig Geld (700-100 Dollar) zu kaufen. Nein, wo wird nicht verraten. Mir reichen schon die, die's wissen und einsetzen.

Was es dann noch braucht ist ein Webserver, der hinreichend ungesichert ist um dort ein Stück HTML-Code einzufügen. Üblicherweise wird hierbei ein wenig Javascript eingesetzt, damit man's schwerer identifizieren kann, darin ein iframe. Damit wird man auf den Server des Angreifers umgeleitet. Dort liegt ein PHP-Script. Dieses PHP-Script wertet die Meta-Info, die der Browser mitschickt, aus, stellt fest welchen Browser Du verwendest und schickt ein für diesen Browser und das dazugehörige System "passenden" Exploit. Erkannt wird so ziemlich jeder halbwegs verbreitete Browser (IE, FF, Opera, Safari, Konqueror, sogar Lynx), und jedes halbwegs im Einsatz befindliche OS (Windows 9x, Windows 2k/XP/Vista, Linux 2.4, Linux 2.6, Free/Open-BSD, usw).

Dieser Exploit wiederum führt dazu, daß eine vom Angreifer zu bestimmende Datei nachgeladen und ausgeführt wird.

Dagegen gibt's derzeit wenig wirklich Wirkungsvolles. McAfee hat eine halbwegs gute Scriptheuristik (und wir auch :)), beide sind wir allerdings Lichtjahre von 100% Erkennungsraten entfernt. KAV findet NIX (die finden dafür halbwegs zuverlässig die nachgeladenen Dateien, was allerdings bestenfalls aufschiebende Wirkung hat, die ersten Nachlader, die JEDEM einzelnen Infizierten 'ne anders gepackte schicken sind im Anrollen), der Rest findet noch weniger.

Der Spaß perpetuiert sich natürlich auch selbst. Weil auf einem infizierten System findet man die Passwörter, die auf diesem verwendet werden, einer davon hat ggf. 'nen Webserver, damit wird der Webserver dann entsprechend manipuliert, damit wird mehr infiziert... usw.

Laut Google sind 10% der weltweiten Webpages damit bereits verseucht. Ich find die Zahl ein wenig hoch, aber wenn's Google sagt... wer wird's denn wohl am besten wissen? Vor allem hat Google keine Virenscanner am Start, entsprechend glaub ich ihnen mal, daß sie damit nicht einfach nur ihre Verkaufszahlen hochtreiben wollen.

Panda hat dazu auch 'ne recht eindrucksvolle Analyse, zu finden hier. Unten auf der Seite ist auch ein Link zu einem PDF, das eine Detailanalyse des Infektors enthält. Lesenswert, sofern man nicht mehr ruhig schlafen will.

Was kann man dagegen tun? Nun, "unsichere" Seiten vermeiden bringt nix mehr. Kürzlich war eine Homepage eines Hotels ein Infektionsweg. Webserverbetreiber mögen bitte ihre Startseiten nach Code untersuchen der nicht ihnen gehört, vor allem nach Javascript-Teilen die verschlüsselte Information enthalten. Mein persönliches Horrorszenario ist immer noch der infizierte Webshop.

Indirekten Schutz bieten Virenkiller, wenn die Datenbank aktuell gehalten wird (und sie nicht erst nach 'ner Woche oder zwei einen Trojaner finden, und auch nur wenn er schon so grassiert daß ihn jeder hat). Nicht als Admin durch die Gegend surfen bietet auch einen gewissen Schutz, da viele Malware-Programme Adminzugriff benötigen um sich ins System zu hängen. Leider nicht alle.

Womit ich gute Ergebnisse erzielt habe war Privoxy. Eigentlich ein Proxy, der Ads und Popups filtern soll, er filtert aber auch unsichtbare iframes (den "Standard-Angriff") und "kann" einige Sachen nicht, die man im täglichen Gebrauch nicht benötigt, die aber von den Angreifern gerne verwendet werden. Zumindest bis die Angreifer auf den Trichter kommen (und ich meine Browser-Plugins fertig hab) sollt's das tun.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 12:33:27)
..  Re(2): MPack - Jetzt wird's ernst  (nico am 14.07.2007, 12:50:42)
...  Re(3): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 13:22:38)
...  Re(3): MPack - Jetzt wird's ernst  (SinnFrei am 14.07.2007, 13:28:20)
....  Re(4): MPack - Jetzt wird's ernst  (nico am 14.07.2007, 13:40:38)
.....  Re(5): MPack - Jetzt wird's ernst  (SinnFrei am 14.07.2007, 13:47:03)
......  Re(6): MPack - Jetzt wird's ernst  (nico am 14.07.2007, 13:48:15)
.....  Re(5): MPack - Jetzt wird's ernst  (xpla am 15.07.2007, 08:25:36)
....  Re(4): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 16:10:07)
..  Re(2): MPack - Jetzt wird's ernst  (Hexa am 14.07.2007, 17:30:46)
...  Re(3): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 18:02:39)
..  Re(2): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 18:13:41)
...  Re(3): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 22:51:20)
....  Re(4): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 22:52:04)
.....  Re(5): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 22:54:17)
......  Re(6): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 22:57:15)
.......  Re(7): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 22:58:47)
........  Re(8): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 23:05:35)
.........  Re(9): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 23:29:58)
..........  Re(10): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 23:36:09)
...........  Re(11): MPack - Jetzt wird's ernst  (mko am 14.07.2007, 23:37:23)
............  Re(12): MPack - Jetzt wird's ernst  (Diabolo2000 am 14.07.2007, 23:41:56)
.............  Re(13): MPack - Jetzt wird's ernst  (Fly am 15.07.2007, 01:26:29)
..........  Re(10): MPack - Jetzt wird's ernst  (psycho_on_tour am 20.07.2007, 22:24:13)
...........  Re(11): MPack - Jetzt wird's ernst  (hansi99 am 20.07.2007, 22:36:26)
............  Re(12): MPack - Jetzt wird's ernst  (psycho_on_tour am 21.07.2007, 09:09:44)
.............  Re(13): MPack - Jetzt wird's ernst  (hansi99 am 21.07.2007, 12:49:13)
.  Re: MPack - Jetzt wird's ernst  (mko am 14.07.2007, 17:02:26)
..  Re(2): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 18:03:37)
.  Re: MPack - Jetzt wird's ernst  (Guten Tag, was kann ich gegen Sie tun? am 14.07.2007, 17:23:43)
..  Re(2): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 18:05:36)
...  Re(3): MPack - Jetzt wird's ernst  (Guten Tag, was kann ich gegen Sie tun? am 14.07.2007, 19:17:53)
....  Re(4): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 22:52:15)
.....  Re(5): MPack - Jetzt wird's ernst  (cnet am 15.07.2007, 13:52:31)
.....  [schieb]  (Guten Tag, was kann ich gegen Sie tun? am 20.07.2007, 07:14:26)
......  Re: [schieb]  (Fly am 20.07.2007, 10:49:33)
.......  Re(2): [schieb]  (mko am 20.07.2007, 11:07:47)
........  Re(3): [schieb]  (Fly am 20.07.2007, 11:24:40)
.........  Re(4): [schieb]  (mko am 20.07.2007, 11:35:46)
..........  Re(5): [schieb]  (Fly am 20.07.2007, 11:40:07)
...........  Re(6): [schieb]  (mko am 20.07.2007, 12:04:50)
.......  Re(2): [schieb]  (Guten Tag, was kann ich gegen Sie tun? am 20.07.2007, 15:31:17)
........  Re(3): [schieb]  (Fly am 20.07.2007, 16:42:33)
.........  Re(4): [schieb]  (Guten Tag, was kann ich gegen Sie tun? am 20.07.2007, 16:50:50)
..........  Re(5): [schieb]  (Fly am 20.07.2007, 16:54:35)
.  Re: MPack - Jetzt wird's ernst  (Arrris am 14.07.2007, 19:26:35)
..  Re(2): MPack - Jetzt wird's ernst  (nico am 14.07.2007, 19:31:34)
...  Re(3): MPack - Jetzt wird's ernst  (Arrris am 14.07.2007, 19:41:16)
....  Re(4): MPack - Jetzt wird's ernst  (Fly am 14.07.2007, 22:53:00)
.....  Re(5): MPack - Jetzt wird's ernst  (nico am 15.07.2007, 02:18:30)
......  Re(6): MPack - Jetzt wird's ernst  (drsebi am 15.07.2007, 11:29:07)
.......  Re(7): MPack - Jetzt wird's ernst  (hansi99 am 20.07.2007, 15:02:34)
......  Re(6): MPack - Jetzt wird's ernst  (iraki am 15.07.2007, 16:52:53)
...  Re(3): MPack - Jetzt wird's ernst  (Hexa am 15.07.2007, 21:28:01)
....  Re(4): MPack - Jetzt wird's ernst  (nico am 15.07.2007, 23:14:09)
.....  Re(5): MPack - Jetzt wird's ernst  (Hexa am 15.07.2007, 23:16:19)
..  Re(2): MPack - Jetzt wird's ernst  (Amorphis am 19.07.2007, 13:31:42)
.  Re: MPack - Jetzt wird's ernst  (barbos am 15.07.2007, 01:18:20)
..  Re(2): MPack - Jetzt wird's ernst  (Fly am 15.07.2007, 01:20:04)
...  Re(3): MPack - Jetzt wird's ernst  (barbos am 15.07.2007, 01:22:51)
.  Re: MPack - Jetzt wird's ernst  (barbos am 15.07.2007, 01:31:22)
.  Re: MPack - Jetzt wird's ernst  (barbos am 15.07.2007, 02:31:52)
.  Re: MPack - Jetzt wird's ernst  (Bucho am 15.07.2007, 14:51:25)
..  Re(2): MPack - Jetzt wird's ernst  (Undying am 19.07.2007, 20:24:41)
...  Re(3): MPack - Jetzt wird's ernst  (Bucho am 19.07.2007, 23:18:25)
.  Re: MPack - Jetzt wird's ernst  (c0rtex am 16.07.2007, 11:19:54)
..  Re(2): MPack - Jetzt wird's ernst  (SinnFrei am 19.07.2007, 21:30:30)
.  Re: MPack - Jetzt wird's ernst  (Akilae am 19.07.2007, 10:04:44)
.  Re: MPack - Jetzt wird's ernst  (Ramses am 19.07.2007, 23:10:12)
..  Re(2): MPack - Jetzt wird's ernst  (Fly am 20.07.2007, 10:57:35)
.  Re: MPack - Jetzt wird's ernst  (Arrris am 20.07.2007, 19:56:51)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung