Et større antal falske Obama websites spreder malware. Samtidig kan kun cirka 44 procent af de mest benyttede antivirusprodukter detektere den ondsindede kode i følge VirusTotal.
Sent i går aftes faldt jeg over exploitkode rettet mod et online CMS system. For at få en idé om, hvor aktivt den var benyttet, foretog jeg en søgning på nettet. Det resulterede i lidt over tusind hits. Jeg tjekkede herefter et tilfældigt af dem - og fandt i den forbindelse injectede links til et falsk Obama website.
Det er der på sin måde ikke det store nye i. De har eksisteret fra cirka en uges tid før Obamas indsættelse. Gældende for dem alle er, at de har sentationsoverskrifter i stil med, at Obama ikke vil være præsident eller frygter for sit liv. Vil man "læse mere" klikker man på et link der direkte henviser til en exe-fil. Filen er kreativt navngivet - eksempelvis "speach.exe", "readme.exe", "obamanews.exe" eller lignende.
Filerne er en og samme uanset navn. En nærmere analyser vise, at det er en Waledac-trojane som gemmer sig i filerne. Det er en spam botnet klient med blandt andet egen indbygget SMTP serverfunktion. Den første udgave af Waledac blev i øvrigt første gang set spredende den 23 December 2008.
Derfor kan det undre en del, at kun 44 procent (17 styk) af de 39 antivirusprogrammer som VirusTotal benytter, kan finde denne version. Hverken F-Secure, Norman, Panda eller Trend kan finde den. Se analysen her.
Dobbelt sløjfe
Samtidig indeholder siderne et link til et script, der forsøger at skjule sig som værende et Google Analytics script. Men, normalt linker et site til deres analytics side sådan: [script src="http://www.google-analytics.com/urchin.js"]. På disse angrebssites gøres det som et lokalt link der ligner det rigtige. Her kaldes det blot: for [script src="google-analysis.js" ].
Dette falske Google Analytics script er i virkeligheden en Trojan-Downloader JavaScript Iframe angivet i kodet form, hvor brugeren sendes til endnu en falsk side med det sigende "hxxp://googl-status.xxx/xxx/direct.php?eb0h".
Her får brugeren en falsk fejlebesked fra serveren om, at der er opstået en intern server fejl og en masse falsk relateret fejlinformation. Sjovt nok, så afsluttes denne "fejlsiden" med et kald til endnu et javascript. Dette indeholder en src ("?2481f8009c0c409f3e1df1f1d411dcden 76697700n65623068000000000000") med input til "direct.php" - som kaster brugeren videre til den egentlig angrebskode i escaped form.
I browseren vil angrebskoden blive oversat og fortolket. Angrebskode forsøger nu at skrive en fil (file.exe) til Windows systemet ved hjælp af et kendt MDAC-exploit. Lykkedes det, vil filen efterfølgende forsøgt afviklet.
.
Hit'n and hide
Disse sites, og deres bagmænd, er som nomader: De bliver ikke længe på samme sted. Når deres opgave er løst - eller området er enten for farligt eller udtømt for muligheder - så er det videre. Der er nok muligheder at tage fat på. Ellers finder man da blot på noget!!
Så mon ikke vi snart ser spam og angrebssites der lover at man kan se Michelle Obama nøgen eller lignende??!