B
BimmBamm
Guest
Gestern hatte ich direkt im Bekanntenkreis das erste Mal mit einem Fall von "Account-Hacking" zu tun. Anhand der Vorgehensweise glaube ich, auf einen professionellen Betrüger schliessen zu können. Es wurde ein Bankchar eingerichtet, zu dem alle Werte der anderen Chars transferiert wurden, die danach (wahrscheinlich der besseren Übersicht halber) gelöscht wurden. Der "gefledderte" Account wies nach Sichtung lediglich den neuen Bankchar sowie zwei andere Charaktere auf, die unverkäufliches Equip bei sich hatten (PvP; T4-Sets - dies waren denn auch die einzigen Gegenstände, die noch vorhanden waren).
Das ist nicht weiter ungewöhnlich. Schwieriger erwies sich die Suche nach der Ursache. Leider konnte ich nicht direkt vor Ort sein, sondern übernahm die "Fernwartung". Installiert waren Avira AntiVir sowie SpyBot, die beide keinerlei Warnungen lieferten. Erste Vermutung war natürlich die "Flash-Player"-Lücke, jedoch fanden sich die typischen "lovebug.dll" bzw. "lovefly.dll" nicht auf dem XP-SR2-Rechner (jupp, da wurde wohl das Update verpasst, weil XP das trotz "automatischem" Update eben nicht automatisch installiert).
Das "HiJack-This"-Log ergab nichts ungewöhnliches - alle Dateien bzw. Einträge gehörten zum Standard. Erst die Trial-Version des "Security Task Managers"[1] fand die Datei "kb1ss1p.dll"[2] im Speicher. Nach den Beschreibungen im I-Net überwacht diese dll Programmstarts und funktioniert auch als Keylogger.
Das Passwort selbst war (ich hab's mir ebenfalls zusenden lassen) geradezu vorbildlich - langer kryptischer Mix aus Buchstaben und Zahlen - und es wurde nie eingegeben, sondern aus einem Word-Dokument per Copy & Paste in den Login-Bildschirm transferiert (ich habe da gar keinen Zweifel an der Glaubwürdigkeit des Betroffenen - nach einem vorhergehenden Passwort-Diebstahl hat er sich auf diese vermeintlich sichere Methode verlassen. Für ein Programm, das gezielt Programmstarts überwacht, dürfte es jedoch auch kein Problem sein, den Inhalt der Zwischenablage von Windows gleich mal mit an den Betrüger zu schicken).
Was so merkwürdig an dem Fall ist? Zum einen hat mich die schwere Auffindung des Störenfriedes überrascht (wobei nicht mit absoluter Sicherheit gesagt werden kann, daß diese dll, die nach den Infos im Netz zu einem Rootkit gehört, tatsächlich der verantwortliche Verursacher ist); zum anderen hatte ich vorher nicht an die Unsicherheit der Win-Zwischenablage gedacht, die problemlos von jedem Programm auf ihre Größe hin untersucht und ausgelesen werden kann[3].
Ebenfalls nur Vermutungen kann ich über die Herkunft der Malware anstellen. Leider benutzte (in Zukunft wohl nicht mehr, aber die Leute wollen ja nicht auf mich hören) der Betroffene den IE-Explorer ohne großartige Einschränkungen, mit dem er gerade in letzter Zeit ein paar AddOns von den bekannten WoW-Seiten geladen hat. Leider konnte ich nicht vor Ort sein, um da mal ein wenig in die Tiefe zu graben und eventuell mal die Zip-Files der AddOns auseinanderzunehmen. Der Versuch, "Kapersky" zu installieren, schlug mit kryptischen Fehlermeldungen fehl, was sich für mich nach einem derbe komprimitterten System anhört. Mein Rat war es denn auch, dieses System komplett plattzumachen und neu aufzusetzen.
Fazit: Offensichtlich kann man nicht paranoid genug sein! Der Beitrag soll nur als Info dienen - und zur Anregung, das eigene System mal kritisch unter die Lupe zu nehmen.
Bimmbamm
[1] http://www.neuber.com/taskmanager/deutsch/index.html
[2] http://www.file.net/prozess/kb1ss1p.dll.html
[3] http://www.aboutvb.de/vba/artikel/vbaclipboard.htm - ein simples Beispiel für VB
Das ist nicht weiter ungewöhnlich. Schwieriger erwies sich die Suche nach der Ursache. Leider konnte ich nicht direkt vor Ort sein, sondern übernahm die "Fernwartung". Installiert waren Avira AntiVir sowie SpyBot, die beide keinerlei Warnungen lieferten. Erste Vermutung war natürlich die "Flash-Player"-Lücke, jedoch fanden sich die typischen "lovebug.dll" bzw. "lovefly.dll" nicht auf dem XP-SR2-Rechner (jupp, da wurde wohl das Update verpasst, weil XP das trotz "automatischem" Update eben nicht automatisch installiert).
Das "HiJack-This"-Log ergab nichts ungewöhnliches - alle Dateien bzw. Einträge gehörten zum Standard. Erst die Trial-Version des "Security Task Managers"[1] fand die Datei "kb1ss1p.dll"[2] im Speicher. Nach den Beschreibungen im I-Net überwacht diese dll Programmstarts und funktioniert auch als Keylogger.
Das Passwort selbst war (ich hab's mir ebenfalls zusenden lassen) geradezu vorbildlich - langer kryptischer Mix aus Buchstaben und Zahlen - und es wurde nie eingegeben, sondern aus einem Word-Dokument per Copy & Paste in den Login-Bildschirm transferiert (ich habe da gar keinen Zweifel an der Glaubwürdigkeit des Betroffenen - nach einem vorhergehenden Passwort-Diebstahl hat er sich auf diese vermeintlich sichere Methode verlassen. Für ein Programm, das gezielt Programmstarts überwacht, dürfte es jedoch auch kein Problem sein, den Inhalt der Zwischenablage von Windows gleich mal mit an den Betrüger zu schicken).
Was so merkwürdig an dem Fall ist? Zum einen hat mich die schwere Auffindung des Störenfriedes überrascht (wobei nicht mit absoluter Sicherheit gesagt werden kann, daß diese dll, die nach den Infos im Netz zu einem Rootkit gehört, tatsächlich der verantwortliche Verursacher ist); zum anderen hatte ich vorher nicht an die Unsicherheit der Win-Zwischenablage gedacht, die problemlos von jedem Programm auf ihre Größe hin untersucht und ausgelesen werden kann[3].
Ebenfalls nur Vermutungen kann ich über die Herkunft der Malware anstellen. Leider benutzte (in Zukunft wohl nicht mehr, aber die Leute wollen ja nicht auf mich hören) der Betroffene den IE-Explorer ohne großartige Einschränkungen, mit dem er gerade in letzter Zeit ein paar AddOns von den bekannten WoW-Seiten geladen hat. Leider konnte ich nicht vor Ort sein, um da mal ein wenig in die Tiefe zu graben und eventuell mal die Zip-Files der AddOns auseinanderzunehmen. Der Versuch, "Kapersky" zu installieren, schlug mit kryptischen Fehlermeldungen fehl, was sich für mich nach einem derbe komprimitterten System anhört. Mein Rat war es denn auch, dieses System komplett plattzumachen und neu aufzusetzen.
Fazit: Offensichtlich kann man nicht paranoid genug sein! Der Beitrag soll nur als Info dienen - und zur Anregung, das eigene System mal kritisch unter die Lupe zu nehmen.
Bimmbamm
[1] http://www.neuber.com/taskmanager/deutsch/index.html
[2] http://www.file.net/prozess/kb1ss1p.dll.html
[3] http://www.aboutvb.de/vba/artikel/vbaclipboard.htm - ein simples Beispiel für VB
