Ein Blick auf den Win32-/ Facebook-Wurm Koobface.gen!D

Als erstes erhalte ich eine Nachricht bei Facebook. Der Absender ist bereits infiziert, er weiß nichts davon, dass die Mail für ihn geschrieben wurde. Sieht so aus:

So fängt es an: man soll einem Link folgen ...
So fängt es an: man soll einem Link folgen ...

Neugierig wie ich bin, klicke ich auf den Link – schließlich ist blogspot.com die Hosting-Website von blogger.com, ergo Google, ergo einigermaßen vertrauenswürdig (wer lacht da?). Das Ergebnis sieht wie folgt aus (aber nur, sofern Javascript aktiviert ist – wenn nicht, zeigt sich eine harmlos uninteressante Blogspot-Seite):

koobface_gen_d_02_malwaresite
Sieht harmlos aus, aber...

Jetzt sollte man eigentlich schon stutzig werden, denn folgendes ist verdächtig:

  • Die Seite ist gar keine blogspot.com-Seite, obwohl doch der Link so tat, als würde er dort hinführen. Achten Sie beim Klick auf Links darauf, dass diese wirklich zum Ziel führen.
  • Die Seite tut so, als wäre sie eine YouTube-Seite: YouTube-Look, YouTube-Title-Tag – doch zugleich hat Sie als Favicon (das kleine Icon links von der Webadresse) das Icon von Facebook.
    Außerdem ist YuoTube falsch geschrieben, wahrscheinlich, damit die Markenschutz-Schergen die Seite nicht aus Versehen finden und aktiv werden. Achten Sie auf solche Ungereimtheiten!

    koobface_gen_d_02a_detail_favicon
    Verdächtig: falsches Icon, Schreibfehler
  • Der Look ist schlecht gefälscht. (Hätte man besser fälschen können.)
  • Die Web-Adresse in der Browser-Adresse-Zeile ist nicht die von YouTube, es ist eine IP-Adresse.
    Merke: Kaum eine ernsthafte seriöse Website verwendet beim Surfen-lassen „IP-Adressen“, also Gruppen von vier Zahlen nach dem https://, sondern die meisten verwenden Namen. Das heißt aber nicht, dass Namen sicher sind. Es heißt nur: Werden Sie misstrauisch, wenn namhafte Markenanbieter ihre Marke nicht zu nutzen scheinen.

    koobface_gen_d_02b_detail_url
    Verdächtig: IP-Adresse statt Textadresse
  • Der Benutzer „*** SantA ***“, mit Bild eines Babys im Santa-Kostüm, ausgerechnet zur Weihnachtszeit. Merke: Links, die mit „aktuellen“ Themen locken (Terrorismus, Star-Rummel wie Michael Jacksons Tod, aktuelle Medien-Grippe, aktuelle Feste und Feiern), sind gerade deswegen verdächtig. Und welcher User nennt sich Santa – 11 Monate pro Jahr ist das ein unpassender Username. Das passt alles zu gut zusammen, es ist verdächtig synthetisch.
  • koobface_gen_d_02c_detail_commentsDie Kommentare suggerieren, es handle sich um einen Knaller, den man unbedingt gesehen haben müsse. Merke: Wann immer man online Druck auf Sie ausübt, sich besonders wichtig macht und Autorität gibt, wann immer irgendetwas schnell passieren muss oder anderweitig höchste Dringlichkeit oder besondere Großartigkeit suggeriert wird, sollten Sie misstrauisch werden. Lassen Sie sich niemals hetzen! Das gilt beim Unterschreiben eines Vertrages in der Wirklichkeit ganz genauso wie im Web.

Was kaum stutzig machen kann, weil es einfach zu raffiniert ist:

  • Das Bild: harmlos.
  • Das Userprofil: angeblich schon ein Jahr dabei. „Das wäre doch längst aufgefallen, wenn der was böses im Schilde führte.“, könnte man denken. Stimmt auch – wenn es eine echte YouTube-Seite wäre.
  • „Frische“ Kommentare suggerieren, andere hätten das Video schon gesehen – also muss damit ja alles in Ordnung sein. Könnte man denken, denn das vom „Web 2.0“ geschulte Auge hat sich daran gewöhnt, andere Surfer sofort als Autorität anzuerkennen und den Autoren von Testimonials zu vertrauen.
    Respekt, das ist wirklich raffiniert!

Aber der wirkliche Hammer kommt ja erst noch: Die Seite schleudert Ihnen nämlich gleich mal eine EXE-Datei entgegen:

koobface_gen_d_03_download
Klarer Fall für den Abbbrechen-Button: wenn EXE-Dateien sich downloaden wollen

Toller Name: setup.exe, das hat man schon hundert Mal gesehen, das sagt alles und nichts. Natürlich könnte man nun Verdacht schöpfen, erschiene dort, wo sich eigentlich ein Video zeigen müsste, nicht folgender Hinweis:

Geniale Gaunerei: Die Flash-Anwendung, die so tut, als wünsche sie sich ein Update. Selbst die rechte Maustaste zeigt nur, dass es sich um gewöhnliches Flash handelt
Geniale Gaunerei: Die Flash-Anwendung, die so tut, als wünsche sie sich ein Update. Selbst die rechte Maustaste zeigt nur, dass es sich um gewöhnliches Flash handelt

Wow! Raffinierter geht es kaum. Denn klar, das leuchtet Jedem ein, man sieht das Video nicht, weil man ein veraltetes Flash hat. Das passiert ja dauernd, also her mit dem Setup, doppelklicken und schon kann man das tolle Video sehen. Beziehungsweise: seinen Rechner mit Koobface.gen!D infizieren.

Der weise Nutzer – treue Scareware.de-Leser zum Beispiel – scannt natürlich jeden Download, und siehe da, auch Microsoft Security Essentials warnt vor Koobface.gen!D, ein Virus, der immer noch In The Wild ist.

koobface_gen_d_05_mse
Um ein Haar...

Die Lektion lehrt:

  • Misstrauen Sie allen Links, die Ihnen per Mail, Instant Messenger, Nachrichtensysteme auf Webseiten, soziale Medien wie Twitter etc etc. zugeben. Ja, in der Praxis ist das schwer einzuhalten. Aber überlegen Sie vor dem Draufklicken, ob das wirklich sein kann.
  • Achten Sie auf Merkmale einer Fälschung oder andere Ungereimtheiten, vor allem auf Webseiten, auf denen Sie ohne triftigen Grund oder mit wenig triftigen Gründen (Mails, Suchmaschinentreffer (Ja, auch die!)) landen.
  • Downloaden Sie nichts, es sei denn, Sie sind auf einer vertrauenswürdigen Website, die Sie nur deswegen und ganz bewusst besucht haben, um etwas Downloaden.
  • Wenn unaufgeforderte Downloads von selber hochpoppen – nichts wie weg!
  • Gehen Sie bei Hinweisen auf Updates stets wie folgt vor: Starten Sie die zu aktualisierende Software und verwenden Sie die Update-Funktion (meist im Hilfe-Menü). Wenn diese nicht existiert, besuchen Sie manuell die Website des Anbieters (hier: Adobe) und downloaden Sie die aktuelle Software nur dort.
  • Nach dem Download und VOR dem Start sollten Sie alles, was aus dem Internet kommt, mit einem Virenscanner, besser mit zweien prüfen.
  • Allgemein: Siehe die Beiträge im Menü Vorsorge-Plan.
  • Und: Kommentare anderer Nutzer sind (leider)) nicht automatisch ein Indiz dafür, dass das Kommentierte „real“ und „in Ordnung“ ist. Im Web ist alles fälschbar: Jede Seite kann wie eine andere aussehen, jeder Kommentar gefälscht sein, jeder User ist potentiell ein Gauner – oder zwar in Ordnung, aber gehackt oder infiziert oder …

(Jetzt wissen Sie, wie man paranoid wird. :)

Links: