Radio 24-Blog als Malware-Schleuder
Besucher des Blogs „Unterwegs im Sendegebiet“ von Radio 24 könnten sich in den letzten Wochen einen unangenehmen Zeitgenossen eingehandelt haben. Ein verschüsseltes JavaScript im Quelltext versuchte nämlich, dem Besucher die Malware „Windows Antivirus 2008“ unterzujubeln.
„Windows Antivirus 2008“ gehört zur fieseren Sorte solcher Machwerke. Es tarnt sich als vermeintliches Anti-Spyware-Tool und installiert sich automatisch durch das Ausnutzen von Sicherheitslücken im Browser. Einmal installiert, erscheinen haufenweise Virenwarnungen und Berichte über Systemfehler, die angeblich nur mit der Vollversion des Programms entfernt werden können. Einziges Ziel des Tools ist es, die Betroffenen zum Kauf der Vollversion zu bewegen. Denkbar ist aber auch, dass die dafür genutzten Kreditkartendaten für andere Zwecke weiterverwendet werden.
Wie lange das Script im Radio 24-Blog bereits sein Unwesen getrieben hat, ist unklar. Immerhin aber ist die Domain, von welcher das JavaScript auf dem Blog eingebunden wurde, in der Zwischenzeit durch den Domain-Registrar deaktiviert worden, so dass die Gefahr – derzeit – gebannt ist.
Aber es zeigt sich einmal mehr wie wichtig es ist, die Blogsoftware aktuell zu halten. Bei Radio 24 nutzt man nach wie vor WordPress in der Version 2.1.3. Eine Version, die in der Zwischenzeit für einige Sicherheitslücken bekannt ist. Der Verdacht, dass der Codeschnipsel durch die bekannten Sicherheitslücken ihren Weg ins Radio 24-Blog gefunden hat, ist deshalb sehr gross.
Bei Radio 24 hat man sich aber offenbar bereits vom Blogabstecher verabschiedet, denn keines der drei vorhandenen Blogs scheint mehr „befüllt“ zu werden: Am 7. Februar 2007 der letzte Beitrag in „Retos Blog„, am 23. Mai 2008 der letzte Eintrag von Shiva (stammt der wirklich von Shiva?) und auch in „Unterwegs im Sendegebiet“ ist seit 5. August 2008 Schluss. Kein Wunder, dass auch die Links zu den Blogs auf der Homepage des Lokalradios verschwunden sind…
[Update] 16.09.2008
Bei Radio 24 hat man nun reagiert und das Blog „Unterwegs im Sendegebiet“ vom Netz genommen. Ob es wiederbelebt und den Weg ins Netz wieder finden wird, bleibt aber derzeit unklar.
Malware-Banner: Liederliche Checks?
Wie sich die Schaltung von schädlichen Flash-Bannern verhindern lässt, dürfte wohl eine der zentralen Fragen sein, die nach den Vorkommnissen bei blick.ch nun auch in Schweizer Werbeunternehmen und von Website-Betreibern diskutiert wird. Die Professionalität der Betrüger macht die Überprüfungen nämlich nicht ganz einfach.
Allerdings hätte es im aktuellen Fall durchaus Hinweise darauf gegeben, dass es sich bei der Proximo Group, welche die fraglichen Bannerschaltungen in Auftrag gegeben hat, zumindest um eine suspekte Firma handeln muss. So wird auf der Webseite der Proximo Group keine Adresse genannt und die genannten Telefon- und Faxnummern führen lediglich zu einer Mailbox. Auch die unterschiedlichen „Areacodes“ der Nummern machen stutzig: Gemäss canada411.ca gehört der „Areacode“ der Telefonnummer nämlich zu Hamilton/Ontario, während die Faxnummer nach Toronto zeigt. Welche Firma hat schon sein Telefon an einem anderen Ort als sein Faxgerät…
Wer sich die Whois-Daten der Domain ansieht, sieht sich im Misstrauen bestätigt. Gemäss diesen lautet die Domain nämlich auf
Name: Gloria H. Draper
Address: Dunajska 34 Stahovica
Zipcode: Sl1242
Nation: SI
Tel: 1565565654
Blöd nur, dass es in Stahovica an der Dunajska kein Haus mit der Nummer 34 gibt und in ganz Slowenien keine Gloria H. Draper existiert, wie had freundlicherweise für mich recherchiert hat.
Welche Prüfungen Ringier jeweils vornimmt, wollte mir Marco Castellanetta auf meine erneute Anfrage nicht verraten, es werde aber
in jedem Fall die Identität und die Authentizität des Auftraggebers sowie die Bonität der Firma geprüft
und dies sei auch bei der Proximo Group geprüft worden. Inwiefern die Identität und Authentizität hier zusammenpassen, bleibt mir bislang aber schleierhaft. Vorstellen könnte ich mir hingegen, dass via Proximo Group ein gefälschter Überweisungsbeleg an Ringier übermittelt wurde (und damit die zahlung der Kampagne vorgetäuscht wurde), und die Bannerwerbung deshalb freigegeben wurde.
Dass das Problem solcher gefakter Bannerwerbung derzeit massiv verbreitet ist, zeigt auch ein weiteres Beispiel, das heute bekannt geworden ist. So berichtet heise online in einem Newsartikel davon, am letzten Freitag ebenfalls Opfer einer solchen Attacke gewesen zu sein. Ob es sich dabei um die gleichen Täter handelt ist derzeit noch offen, aufgrund der sich ähnelnden Vorgehensweise dürfte dies aber naheliegend sein.
Weitere Beiträge zum Thema:
– Malware-Banner beim «Blick»
– Hintergründe zum Malware-Banner beim «Blick»
Malware-Banner beim «Blick»
Die Schweizer Tageszeitung «Blick» hat über ihren Online-Auftritt während mindestens einem Tag schädliche Flash-Werbebanner ausgeliefert. Dies berichtet Sandi Hardmeier, Microsoft-„Most Valuable Professional“ und Sicherheitsspezialistin in ihrem Blog „Spyware Sucks„. Der «Blick» befindet sich dabei in guter Gesellschaft, denn das Banner wurde auch via MySpace und Excite verbreitet.
Gemäss Trend Micro wurde über die Werbebanner versucht, Trojanische Pferde wie RBot, SDBot und Spybot auf dem Computer des Nutzers zu installieren. Zudem wollten die schädlichen Werbebanner dem Anwender
eine nutzlose Software namens PerformanceOptimizer unterjubeln, die Fehlalarme über entdeckte Schädlinge produziert und die vermeintlichen Funde erst nach einer Zahlung der Registrierungsgebühr entfernt.
Als Laie im Online-Werbebusiness ist das für mich einigermassen erstaunlich, denn bisher bin ich eigentlich davon ausgegangen, dass Werbeaufträge entsprechend kontrolliert werden. Zumindest muss ein Mitarbeiter von Media-Connect, einer Tochter der PubliGroupe, via deren Domain „ch.p-digital-server.com“ die Werbebanner ausgeliefert wurden, doch zumindest einmal zu Testzwecken auf das Banner geklickt haben.
Ebenso erstaunlich finde ich auch, dass auf blick.ch bisher keine Stellungnahme zum Vorfall zu finden ist. Offenbar hält man es dort nicht für nötig, die Leser über die mögliche Infektion ihres Computers mit einem Trojaner zu informieren und ggf. Tipps zur Entfernung der Malware zu geben.
Bisher haben sich auf meine Anfrage weder der Blick, noch Ringier oder die Publigroupe zum Vorfall geäussert. Sollten noch entsprechende Stellungnahmen eintreffen, werde ich diese selbstverständlich hier im Rahmen eines Updates veröffentlichen.
Weitere Beiträge zum Thema:
– Hintergründe zum Malware-Banner beim «Blick»
– Malware-Banner: Liederliche Checks?
[Update 1] 11:56 Uhr
Die Stellungnahme der Publigroupe kommt direkt vom Mailserver:
Your message
To: BRANDENBERGER Jean-Marc (PubliGroupe SA)
Subject: Medienanfrage: Auslieferung von Malware-Banner via Media Connect
Sent: Tue, 8 Jan 2008 10:34:34 +0100was deleted without being read on Tue, 8 Jan 2008 11:48:57 +0100
OK, das ist auch eine Antwort…
[Update 2] 16:54 Uhr
In der Zwischenzeit ist auch die Antwort von Marco Castellaneta, Konzernsprecher der Ringier AG, eingetroffen. Zur Frage, wie es überhaupt passieren konnte, dass ein solches Werbemittel geschaltet wurde, äussert er sich wie folgt:
Jeder Auftrag wird von Blick.ch im Detail geprüft und sowohl die Firma (kommerziell) als auch die angelieferten Werbemittel (technisch und inhaltlich) einem Check unterzogen. Im vorliegenden Fall wurde der Auftrag speziell geprüft. Auch die Werbemittel werden bei jeder Kampagne vor der Aufschaltung durch uns geprüft, während der Laufzeit werden jeweils Stichproben gemacht. Solche Werbebanner können jedoch durch den Auftraggeber auf seinem Server jederzeit temporär und ohne unser Wissen auf eine andere Zieladresse umgeleitet werden. Solche Aktionen sind leider durch uns nicht abzuwenden.
Insgesamt sei das Banner während fünf Tagen online gewesen und sofort nach Kenntnis der „Umleitung“ abgeschaltet worden. Keine Stellungnahme konnte Castellaneta jedoch zur Frage abgeben, wieviel Mal das Malware-Banner gezeigt bzw. angeklickt wurde.
Als Konsequenz aus dem Vorfall will Ringier neben der bereits vorhandenen Kontrolle auf kommerzieller, technischer und inhaltlicher Ebene auch die Einführung einer Blacklist mit Auftraggebern prüfen,
welche nicht sauber arbeiten, und diese Liste auch mit den Betreibern von anderen Online Plattformen auszutauschen.
(Screenshot: Sandi Hardmeier)
Sony patzt auch beim Rootkit-Uninstaller
Der Uninstaller, den SonyBMG zum Entfernen/Deaktivieren des Kopierschutzes XCP-Aurora nach massivem öffentlichen Druck seit einigen Tagen zur Verfügung stellt, gerät nun selbst in die Negativschlagzeilen.
Alex Halderman und Ed Felten, Informatik-Professor an der Princeton-University, berichten in Ihrem Post „Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs„, dass das ActiveX-Control, welches den Uninstaller startet, unsicher sei. Das ActiveX-Control lasse sich u.U. von fremden Seiten aus starten und sich so beliebiger Code auf dem mit XCP infizierten System ausführen.
A malicious web site author can write an evil program, package up that program appropriately, put the packaged code at some URL, and then write a web page that causes CodeSupport to download and run code from that URL. If you visit that web page with Internet Explorer, and you have previously requested Sony’s uninstaller, then the evil program will be downloaded, installed, and run on your computer, immediately and automatically. Your goose will be cooked.
Die Professoren empfehlen das Entfernen des Sony Rootkits mit den Werkzeugen der Antiviren-Hersteller, zum Beispiel mit dem Tool rkprf von Sophos.
Allerdings weist Mark Russinovich im Sysinternals Blog darauf hin, dass die Tools der Antivirenhersteller ebenso wie der Sony-Uninstaller XCP lediglich deaktivieren, nicht aber entfernen:
Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality.
Am Rande des ganzen XCP-Gau’s für SonyBMG ringt einem die abenteuerliche Software-Lizenz (EULA) des Kopierschutzes nur noch ein müdes Lachen ab, obwohl auch diese für sich allein schon ganz spannend wäre. Die Bürgerrechtler von EFF haben die Lizenz unter die Lupe genommen und stiessen dort auf seltsame Dinge:
Im Büro beispielsweise darf die CD nicht abgespielt werden, sondern nur auf einem PC, der dem CD-Besitzer gehört. Viel gravierender ist aber eine Reise mit dem Laptop ins Ausland, denn in diesem Falle müssen die daraufbefindlichen Songs gelöscht werden, da die Lizenz nur dem Gebrauch im Inland gestattet.
SonyBMG bindet die Kunden auch sonst weiter an sich, denn wer nicht sämtliche von SonyBMG veröffentlichte Software-Updates installiert, verliert das Recht zur Nutzung der CD bzw. der Musik. Und das Beste zum Schluss: Wer Konkurs (Insolvenz) anmelden muss, verliert ebenfalls seine Nutzungsberechtigung und muss somit die Musik von der Festplatte löschen.
Ich frag‘ mich manchmal nur noch, wer solche EULA’s schreibt…
(via heise.de, Bootsektor und eff.org)
Sony’s Rootkit kommt nicht aus den Schlagzeilen
Die Meldung über den von SonyBMG eingesetzten Kopierschutz XCP-Aurora, der sich wie ein Rootkit verhält, verbreitete sich wie ein Lauffeuer in allen möglichen Medien. Sony reagierte halbherzig und stellte einen Uninstaller zur Verfügung, der eigentlich, wie sich später herausstellte, gar keiner ist. Denn der „Uninstaller“, macht lediglich die Unsichtbarkeit der Prozesse rückgängig. Der „Uninstaller“ installiert aber neue Versionen der DRM-Komponenten, so dass von einem „Uninstaller“ keine Rede sein kann. Der Hersteller von XCP-Aurora drückt das gegenüber dem „Entdecker“ des Sony-Kopierschutzes, Mark Russinovich, so aus:
In addition to removing the cloaking, Service Pack 2 includes all fixes from the earlier Service Pack 1 update. In order to ensure a secure installation, Service Pack 2 includes the newest version of all DRM components, hence the large file size for the patch. We have updated the language on our web site to be clearer on this point.
Auch die weiteren Erklärungsversuche des XCP-Aurora-Herstellers zu Marks neusten Vorwürfen Mark’s neusten Enthüllungen scheinen den (fast) weltweiten Aufschrei vorerst nicht stoppen können.
Uninstaller für Sony’s Rootkit
Hoppla, da fürchtet man bei Sony wohl ums Image: Ab sofort kann über ein Kontaktformular ein Uninstaller für das Kopierschutz-Rootkit Kombi, welches auf einigen SonyBMG CD’s enthalten ist, geordert werden.
Sony BMG versucht sich zwar in Schadensbegrenzung und behauptet, dass der Kopierschutz weder Mal- noch Spyware sei, sondern ausschliesslich das Kopieren der CD verhindere und ansonsten inaktiv sei. Dass diese Argumentation aber nicht ganz „sauber“ ist, kann man auf heise.de nachlesen.
(via robert craven).