Archiv für die Kategorie » SEO «

Fake-AV für Mac

Montag, 9. Mai 2011, 16:42 Uhr | Autor:

Manchmal bekomme ich auch E-Mails mit Fragen zum Thema Malware. Da fragt mich jemand ob die Malware (ein umfangreiches JavaScript), die er via Google-Bildersuche untergeschoben bekam, etwas mit SQL-Injection zutun haben könnte. Ohne ein Beispiel parat zu haben, vermutete ich:

Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?

Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.


Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.


Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)

fake av mac


(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)

Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)

In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.


Aber nun zum Verbreitungsweg.

Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.

Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:

  1. PHP-Script des Blogs wird aufgerufen.
    http://opfer.tld/15.php?q=zeuch
    [REFERRER] http://www.google.
  2. Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.

  3. Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
  4. Eine ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.

Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains
fake av mac: npbtfqxt.ce.ms
http://www.utrace.de/?query=npbtfqxt.ce.ms
fake av mac: vzaynvro.ce.ms
http://www.utrace.de/?query=vzaynvro.ce.ms
fake av mac: jxqfkgny.ce.ms
http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.

Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.


Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.

Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.


Link in der Bildersuche von Google:
http://www.google.de/imgres
?imgurl=http://xyz.imageshack.us/zeuch.png
&imgrefurl=http://opfer.tld/15.php?q=zeuch&page=7
(...)

Es wurde ein vorhandenes Bild mit der Seite des Opfers verbunden.


Der Link zum rumänischen Server:
http://npbtfqxt.ce.ms/in.cgi
?seoref=http%3A%2F%2Fwww.google.de%2Fimgres(...)
&parameter=$keyword
&se=$se
(...)

Der Angreifer verwendet wahrscheinlich ein gut funktionierendes Script für SEO-Spam, ohne allerdings deren SEO-Features zu nutzen, weshalb beispielsweise das $keyword noch in dem Link zu finden ist.


Ohne die Lücke in der Google-Suche, die Links indexiert die es so nicht gibt bzw. offensichtlich nicht koscher sind, hätte es der Angreifer ungleich schwerer, seine Malware unter das Volk zu bringen.

Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.


Update: 12.05.2011 – 15:56 Uhr

Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.

Thema: Apple, Google, SEO, Sicherheit | Ein Kommentar

Mein Shop muss optimiert werden… ;O)

Montag, 26. April 2010, 17:25 Uhr | Autor:

Heute gab es schon wieder Offline-Reklame:
e-wolff-1.gif
Kritik üben darf man gerne an mir und meinem Blog, da habe ich kein Problem mit — aber mit Kritik an einem nicht vorhandenen Shop kann ich nichts anfangen.

e-wolff-2.gif
Aha, ach wirklich, ihr seit ja richtig gut! Es ist nämlich sehr schwierig “Optimierungspotential” für einen Shop, in einem nicht existentem Shop, zu finden — meine Hochachtung! ;O)


Zu gutem Marketing gehört es auch seinen potenziellen Kunden zu kennen und ihm keinen Unsinn zu erzählen. Das was ich da bekommen habe ist 100% Spam, genau so effektiv wie der Werbemüll zu den blauen Pillen, den wahrscheinlich schon jeder, der eine E-Mail-Adresse nutzt, bekommen hat.

Ich wüsste ja zu gerne wie viel Spam er an Leute wie mich verteilt, die

  1. keinen Shop betreiben,
  2. sehr allergisch auf Reklame reagieren und
  3. sich den Spass machen, seine Website genauer anzuschauen und sofort erkennen, dass er niemals ein Geschäftspartner wird, auch bedingt durch Punkt 1 und 2. :O)



Wer ist dieser Spammer? e-wolff nennt er sich und will u.a. auch kompetent in Sachen “Google-Optimierung” sein.

Es gibt auch noch andere Suchmaschinen, also halte ich mehr von Suchmaschinenoptimierung und dazu gehört als erster Punkt korrektes HTML.

25 Warnungen die der Html Validator (addons.mozilla.org) ausspuckt.
(Entgegen der Meldung auf addons.mozilla.org “Html Validator ist für MacOSX nicht verfügbar.” gibt es dieses Add-on auf der Website des Autors auch für das Äpfelchen: http://users.skynet.be/mgueury/mozilla/download.html)

Das hier aus der CSS-Datei
#spalte{
padding:0;
width:97px;
}

und dies
e-wolff-4.gif
naja, nicht so ganz.

Wenn, dann
.spalte{
padding:0;
width:97px;
}

und
<li class="spalte">bla</li>
<li class="spalte">bla laber</li>
<li class="spalte">schwätz mich voll</li>

e-wolff-5.gif
Wie war das noch?
target="_blank"
Jawoll!


Von HTML und Semantik hat er auch keine Ahnung… H1-Tags kennt er nicht… Alt- und Title-Tags natürlich auch nicht… Und der will Kunden u.a. zu SEO beraten?

Eine Website in dem Business ist auch eine Referenz und seine sieht nach “Ein Blinder philosophiert über Farben.” aus. :O)


Eine Sache hat der Spammer aber wirklich gut gemacht. Am Ende des Offline-Spam steht:

Adresse aus dem Datenbestand der Rexago Informations GmbH. Wenn Sie künftig keine e-wolff Angebote mehr erhalten möchten, können Sie jederzeit bei uns der Verwendung Ihrer Daten für Werbezwecke bei e-wolff widersprechen.

Da kann ich dann gleich zwei Widersprüche rausschicken.

Es wird Zeit das auch die Offline-Spam-Branche lernt, unverlangte Werbung ist unerwünscht und fördert die Negativwerbung. Ich bin da evtl. ein Extrembeispiel, aber wer mich mit Reklame nervt, der wird nie ans Ziel gelangen, da bezahle ich dann u.U. lieber mehr und gehe zur Konkurrenz.

Thema: Datenschutz, Reklame, SEO | Kommentare geschlossen