Ist Ihr Browser sicher eingestellt oder ein löcheriger Käse? Testen Sie Ihn doch einfach hier

20.08.2007
Trojaner infiziert Jobsuchende auf Monster.com

Laut Jackson handelt es sich bei dem von ihm aufgespürten "Datenlager" um den bislang größten einzelnen Cache des Ende Juni entdeckten Prg-Trojaners. Dem Experten zufolge ist der untersuchte Server, einer von 20 ähnlichen Systemen, die weltweit von der Malware abgegriffene Informationen sammeln und speichern, nach wie vor aktiv – bisweilen soll er sogar von bis zu 10.000 Opfern gleichzeitig "gefüttert" werden. Zwölf der Server – darunter auch der mit dem bislang größten Daten-Pool – werden nach Angaben des Forschers von einer einzigen Hackergruppe kontrolliert, die für ihre nach Automobilherstellern wie "Bugatti", "Ford" und "Mercedes" benannten Attacken bekannt ist.

Der Infektionserfolg der Gruppe basiere zum einen auf der effektiven Verbreitung der Malware. Hierzu würden Trojaner-injizierte Werbeelemente auf Job-Börsen und anderen Web-Seiten platziert. Der Klick darauf führt den Nutzer zu einer Exploit-Seite, die einen Fingerprint des jeweils verwendeten Browsers erstellt und dann zwischen ein und vier Exploits liefert, um das System mit dem Schadprogramm zu infizieren. Von diesem Moment an werden alle in den Browser eingegebenen Informationen abgegriffen und an den Server der Hacker geschickt, so Jackson.

Einen weiteren "Erfolgsfaktor" stellen dem Experten zufolge die kurzen Intervalle dar (im Schnitt alle fünf Tage bis eine Woche), in denen die Kriminellen neue Varianten des Trojaners ins Rennen schickten. Mit dieser Frequenz könnten Antiviren-Tools nur schwer Schritt halten, so dass viele Infektionen erst nach mehreren Wochen bemerkt würden. Dabei hätten sich viele der Opfer mehrmals hintereinander mit immer wieder neuen Varianten des Schädlings infiziert.

Wozu die im Rahmen der jüngsten Attacken entwendeten Daten genutzt wurden, ist nach Angaben von SecureWorks noch nicht geklärt. Die Art der Informationen spreche allerdings für Identitätsdiebstahl.

Slapper nutzt einen Buffer Overflow im mod_ssl-Modul von Apache-Servern, um
eine Backdoor auf dem befallenen System zu installieren. Der seit Freitag, 20.09.02,
grassierende Wurm hat bereits Tausende von Linux-Maschinen infiziert.

Dabei nutzt der Schädling erstmals eine bislang nur theoretisch bekannte
Verbreitungsmöglichkeit: Er transportiert sich als C-Quellcode und
kompiliert sich erst auf dem befallenen System mit Hilfe des lokalen
gcc-Compilers. Dadurch erzielt Slapper eine hohe "Kompatibilität" und
befällt praktisch jede Distributionsvariante.

Der Wurm stellt zunächst eine Verbindung zu Port 80 (HTTP) des Zielsystems
her und versucht über einen ungültigen GET-Request die installierte Linux-
und Apache-Version zu bestimmen. Falls dies fehlschlägt, nimmt er einen
Apache 1.3.23 auf Red Hat Linux 7 als Installationsbasis an. Anschließend
nutzt er über Port 443 ( SSL) einen Buffer Overflow Exploit in der
Handshake-Prozedur von mod_ssl, um eine Shell (/bin/sh) aufzurufen. In
dieser kompiliert er mittels des lokal installierten gcc seinen Sourcecode
(/tmp/.bugtraq.c), den er zuvor in UU-kodierter Form (/tmp/.uubugtraq)
übertragen hat.
Das Slapper-Binary (/tmp/.bugtraq) wird unter der User-ID des Webservers
(typischerweise "apache") mit der IP-Adresse der Angreifer-Maschine als
Parameter gestartet. Auf diese Weise bilden die befallenen Systeme ein
Peer-to-Peer-Netz, das sich zu DDoS-Angriffen nutzen lässt. Befehle können
dabei über eine Backdoor eingespeist werden, die auf dem TCP-Port 2002 auf
eine Verbindungsaufnahme wartet. Zu den eingebauten Fähigkeiten von Slapper
zählen Flooding-Attacken mit TCP-, TCP/IPv6- und UDP-Paketen sowie DNS
-Queries. Daneben kann der Wurm auf externe Anforderung das infizierte
System auch nach E-Mail-Adressen absuchen. Diese schickt er dann via
UPD-Port 10100 an das aufrufende System zurück.

Um eine Infektion zu vermeiden, sollte auf allen anfälligen Systemen die
Aufnahme von HTTPS-Connections unterbunden oder zumindest das anfällige
SSLv2-Protokoll ausgeschaltet werden. Gegen die derzeitig grassierende
Slapper-Variante hilft auch die Deinstallation des vom Wurm benötigten
Compilers; künftige Wurm-Versionen könnten allerdings auch als Binaries
ankommen. Auf bereits befallenen Servern gilt es den laufenden Prozess des
Wurms mit killall -9 .bugtraq aus dem Speicher zu entfernen und die
Slapper-Dateien aus dem /tmp-Verzeichnis zu löschen.
Nach Ansicht von Eugene Kaspersky, Forschungschef beim Antiviren-Hersteller
Kaspersky Labs, dürften in nächster Zeit zahlreiche Varianten und Clones
von Slapper zu erwarten sein. "Um eine eigene Modifikation zu verbreiten,
muss man nur den Quellcode verändern, der ja im Internet quasi frei
verfügbar ist. Zudem könnte Slapper der Ausgangspunkt einer neuen Welle von
Multiplattform-Schädlingen werden, die gleichermaßen Linux, Windows, Unix
und andere Betriebssysteme befallen", warnt Kaspersky. "Schließlich finden
sich auf jedem gängigen OS sowohl Sicherheitslücken als Infektionsquelle
als auch Compiler, um den Wurm lauffähig zu machen."