søndag den 1. februar 2009

Malware og angrebssites klar til Valentinsdag

Den 14. februar 2009 er det igen Valentinsdag. Traditionen tro betyder det, at it-kriminelle vil udnytte denne specielle dag til at få spredt malware. De er allerede i gang 14 dage før dagen - og benytter malware som kun få scannere kan finde i skrivende stund.

Kun 3 ud af 39 af de antivirusscannere, som VirusTotal benytter, kan finde den malware som spredes på falske Valentinsdag websites. Ved direkte søgning på domænet i Google, kommer det fint frem som indekseret - men Google indikerer endnu ikke at siten er farlig.


Fremgangsmåden er hverken ny eller overraskende. Hvert år dukker der falske websites op i forbindelse med højtider og store mærkedage. Til trods for, at denne viden er kendt af både it-kriminelle og mange computerbrugerne - så rammes ufattelig mange af malware hvert år i disse perioder.

Det er grunden til vi hvert år ser disse angrebssites dukke op under et nyt navn og med den seneste malware klar til angreb.
På blot 5-7 minutter blev der fundet to ydrepunkter på skalaen over angrebssites. Det ene var yderst simpelt, nærmest amatøragtigt, og det andet havde alt hvad man kan forvente af et professionelt udviklet website.

Den "forkromede udgave" var langt mere raffineret. Ud over et flot og gennemarbejdet layout - så forsøger man direkte af inficere den besøgende gennem sårbarheder i henholdsvis de Quicktime og Flash plugins som mange browsere har installeret.

Eksempel på et "simpelt" attacksite

Det følgende minitrace er blot data over et af de simple af slagsen. Lidt grafik og et link til en exe-fil indeholdende malwaren. Netop den simple opbygning er nærmest et skoleeksempel i, hvor enkelt det kan gøres. Man behøver ikke det store setup - selvom det naturligvis vil øge chancen for at få de lidt mere garvede brugere i nettet.

Domænet er allerede kendt på listen fra Malware Domain Blocklist og hos Norton Safe Web men Google indikerer endnu ikke dette domæne som værenede farligt:


GET / HTTP/1.1
Host: waleprojekt.com (88.174.191.30)


HTTP/1.1 200 OK
Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:28:45 GMT
Content-Type: text/html

Connection: keep-alive

Content-Length: 245
Last-Modified: Sun, 01 Feb 2009 11:28:06 GMT
Accept-Ranges: bytes


[!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"]
[html]
[head]
[title]Love...[/title]
[/head]
[body]
[center]
[h4]Guess, which one is for you?[/h4]
[a href="meandyou.exe"][img border="0" src="img.jpg"][/a][/center]
[/body]
[/html]

Et nærmere kig på IP-adressen afslører den tilhører følgende:


Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

Information: http://www.proxad.net/
Spam/Abuse requests: mailto:abuse@proxad.net

Websitet er helt ukompliceret. Der benyttes ikke avanceret scripts til at angribe den besøgende på andre sårbarheder. Det interessante var herefter at få en idé om, hvilken type malware dette website spredte. Derfor blev den angivne exe-fil hentet ned til videre analyse:

GET /meandyou.exe HTTP/1.1
Host: waleprojekt.com (221.124.70.181)

HTTP/1.1 200 OK
Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:30:01 GMT
Content-Type: application/octet-stream

Connection: keep-alive
Content-Length: 392704
Last-Modified: Sun, 01 Feb 2009 11:29:06 GMT
Accept-Ranges: bytes

Download Complete (meandyou.exe, 392704 bytes recieved)

Cirka et minut efter at siden første gang blev kontaktet, har IP-adressen ændret sig. Malware filen hentes nu fra en helt anden adresse - men domænet er stadig det samme. Dette er bestemt ikke normal opførsel for et website 'med rent mel i posen'.

Filen blev kort efter oploadet til VirusTotal.com for at få en indikator på, hvad det er vi har med at gøre. Resultatet var ikke overraskende, at kun 3 ud af 39 antivirusscannere fandt noget mistænkeligt. Af de tre produkter der råber vagt i gevær, er Sophos den eneste som indikerer et navn - nemlig W32/Waled-W.

Se VirusTotal analysen her:

http://www.virustotal.com/analisis/fd128c0d200607a9b1f1ae86d140b501

Den nye IP-adresse blev også tjekket. Fra først at have været en tur i Frankrig - blev selve malware filen nu hentet i Hong Kong. Men stadig med reference til samme domæne:

ITMM HGC

Hutchison Telecom Tower,

9/F Low Block,
99 Cheung Fai Rd, Tsing Yi,
HONG KONG
phone: +852-21229555

fax-no: +852-21239523
e-mail: hgcnetwork@hgc.com.hk

Blot for at få en idé om hvad dette angrebssite egentlig viste sine besøgende, blev den benyttede JPG grafikfil også hentet:

GET /img.jpg HTTP/1.1
Host: waleprojekt.com (80.98.203.215)


HTTP/1.1 200 OK

Server: nginx/0.6.34

Date: Sun, 01 Feb 2009 11:38:37 GMT

Content-Type: image/jpeg

Connection: keep-alive

Content-Length: 60457
Last-Modified: Fri, 23 Jan 2009 04:22:14 GMT
Accept-Ranges: bytes

Download Complete (img.jpg, 60457 bytes recieved)


Endnu engang ændrede IP-adressen sig for domænet. Denne gang blev vejen lagt forbi Ungarn - nærmere bestemt Budapest:

Tamas Mogyorosi
UPC Magyarorszag Kft.
Kinizsi 30-36.
H-1092 Budapest
address: Hungary

phone: +3614562600

fax-no: +3612160058
e-mail: mogyoros@broadband.hu


På blot 3 forespørgsler, henholdsvis på siden, malwaren og et grafikbillede - ændrede IP-adressen sig for hver gang. Blot for sjov blev siden hentet flere gange med cirka et minuts interval. Hver gang var det en ny IP-adresse der svarede fra en ny lokalitet i verden.


Dette, og flere andre faktorer (det er en nginx/0.6.34 webserver der svarer hver gang) indikerer, at Sophos har ret i, at dette er malware tilhørende Waledac botnettet: http://www.sophos.com/security/analyses/viruses-and-spyware/w32waledw.html


Anden information:


Amerikanerne er det land i verden der sender flest lykønskningskort. Hele 7 milliarder kort om året ifølge The Greeting Card Association. Hver amerikansk husholdning køber cirka 30 lykønskningskort om året - og hver borger i USA modtager i gennemsnit 20 kort om året.

Der er i praksis et kort til enhver given lejlighed, men julekort kommer ind på en sikker førsteplads (60 procent). På en lige så sikker andenplads kommer Valentinsdag (25 procent). Efterfølgende kommer Mors Dag (4 procent), Påske (3 procent) og Fars Dag (3 procent). De sidste 5 procent dækker over brylluper, fødselsdag, udnævnelser og lignende.


Der bliver med andre ord blive sendt omkring 1.75 milliarder Valentinsdagskort, hvoraf cirka 200 millioner sendes elektronisk. Dette tal er i stigning, men amerikanerne foretrækker stadig et fysisk lykønskningskort. Men 200 millioner er da en slat :o/