---

xpost: dk.edb.sikkerhed,dk.edb.sikkerhed.virus
fut: ingen

Hej grupper.

Malware Alarm! - nej, det er det ikke men det kunne det ligeså godt være.

Jeg har endelig fået lavet et playback af den tidligere omtalte fake
scanner.

Baggrunden for disse screen dumps og playbacks er selvfølgelig at advare om
'whats out there'.

Playback'et med en fake movie download var inspiretet af Kent Friis geniale
idé med at ændre temaer.
Her kan man så afprøve med sine egne temaer/farvevalg, og se hvordan den
skiller sig ud.

Den 'nye' playback med virus scanneren var inspireret af udtalelser som 'den
dukker ikke op af sig selv'.

Men - jo - det gør de squ netop.

Det er klart, at for dem som ved noget om EDB, så dukker der ikke noget
pludseligt op.

Men hvad tænker Hr. og Fru Ny PC?

Hvis man bemærker adresselinien i virusscanneren, så ændrer den sig ikke, så
det handler bare om at få sneget et <script> tag ind på en troværdig
hjemmeside.

En anden angrebsvektor kunne også være at lave html injection på diverse
fora/blogs.

Ud over at vise hvordan det rent faktisk foregår, synes jeg også man skal
bemærke hvor svært det er at undgå en download.

Der er ikke tale om ukritisk at trykke ok eller ej.
Næsten uanset hvor man trykker, ender man med en download.

Jeg håber i kan bruge det som inspiration, evt. som advarsel til
famile,venner og bekendte.

Der har også tidligere været et indlæg om en der havde haft besøg med
administrator rettigheder.

Hvis man kigger godt efter metodikken i scanneren, og tænker på _referrer_
spam.

Så vil referrer, altså den injectede side, optræde i statistikker over
besøgende.
Disse statistikker er (måske) kun tilgængelige for _webmastere_, og ved at
lægge en passwordlogger ind i stedet for malware, har man automatisk
brugerid og password til administrationsdelen af et website, når
webmasteren er nysgerrig og tænker: "Nej hvor spændende at få besøg fra
XXX" og klikker på linket.

Link til de 2 playbacks:
<http://w-o-p-r.dk/xoomer/wopr.xoomer.playbacks.asp>
Beklager at det er holdt i (forkølet) engelsk, men normalt holder jeg mere
til i udenlandske grupper.

Men i hvert fald - be ware of the evil lurking in the darkness.
--
Med venlig hilsen
Stig Johansen

---

Den Sun, 06 Apr 2008 08:32:44 +0200 skrev Stig Johansen:
>
> Der er ikke tale om ukritisk at trykke ok eller ej.
> Næsten uanset hvor man trykker, ender man med en download.

Jeg prøvede lige med Firefox (Jeg har ikke IE på denne PC). I begge
tilfælde får jeg en dialog-boks med

"Opening endpoint.exe <Cancel> <Save file>".

Trykker jeg "Save file", hopper den videre til at spørge om hvor filen
skal gemmes. Det er to gange der skal trykkes "Save" for at få skidtet
downloaded. Trykkes "Cancel", sker der ikke mere.

I (en fuldt opdateret) IE ville jeg forvente at der sker det samme,
bortset fra:
- Knapperne hedder "Ok" og "Cancel" i stedet for
- Den giver nogen gange mulighed for at køre exe-filen i stedet for
at gemme (måske kun i tidligere versioner).

Det er de to dialogbokse vi snakker om, når vi siger der ikke bare
bliver installeret uden at man trykker Ok, på et fuldt opdateret
system.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis wrote:
> Den Sun, 06 Apr 2008 08:32:44 +0200 skrev Stig Johansen:
>> Der er ikke tale om ukritisk at trykke ok eller ej.
>> Næsten uanset hvor man trykker, ender man med en download.
>
> Jeg prøvede lige med Firefox (Jeg har ikke IE på denne PC). I begge
> tilfælde får jeg en dialog-boks med
>
> "Opening endpoint.exe <Cancel> <Save file>".
>
> Trykker jeg "Save file", hopper den videre til at spørge om hvor filen
> skal gemmes. Det er to gange der skal trykkes "Save" for at få skidtet
> downloaded. Trykkes "Cancel", sker der ikke mere.
>
> I (en fuldt opdateret) IE ville jeg forvente at der sker det samme,
> bortset fra:
> - Knapperne hedder "Ok" og "Cancel" i stedet for
> - Den giver nogen gange mulighed for at køre exe-filen i stedet for
> at gemme (måske kun i tidligere versioner).

Man får en sød lille ting op, hvor der står
"Run" - "Save" - "Cancel"
Man vil jo selvfølgelig have brugeren til at trykke "Run".
Når så filen er downloadet i baggrunden, så kommer
"Udgiveren kunne ikke bekræftes... Er du sikker på du vil køre denne
software" - "Kør" og "Kør ikke"

Når der trykkes "Kør", så er skidtet på computeren.

I en "rigtig" malware, så vil der selvfølgelig ikke stå endpoint.exe,
men et eller andet med "Microsoft software update.exe" eller noget i den
dur, og bare navnet "Microsoft" kan jo få lille hr og fru Jensen til at
trykke "Kør".

(IE 8 - Emulate IE 7 on!)

---

Martin wrote:

> Man får en sød lille ting op, hvor der står
> "Run" - "Save" - "Cancel"
> Man vil jo selvfølgelig have brugeren til at trykke "Run".

Lige nøjagtig.

> Når så filen er downloadet i baggrunden, så kommer
> "Udgiveren kunne ikke bekræftes... Er du sikker på du vil køre denne
> software" - "Kør" og "Kør ikke"
>
> Når der trykkes "Kør", så er skidtet på computeren.
>
> I en "rigtig" malware, så vil der selvfølgelig ikke stå endpoint.exe,

Nu er endpoint.exe det jeg lige kunne finde på.
Jeg overvejede lidt at skrive en lille simulator, men det skal helst være
tydeligt, at der *ikke* er tale om malware.
Derfor skrev jeg også med små bogstaver.

> men et eller andet med "Microsoft software update.exe" eller noget i den
> dur, og bare navnet "Microsoft" kan jo få lille hr og fru Jensen til at
> trykke "Kør".

Nu lavede jeg bare en showmessage, som netop giver en popup på skærmen.
Den rigtige malware, som er nævnt (scanner) og er levende, laver ingen
popup.
Den kører i baggrunden og installerer efterfølgende et 'antivirus program',
der bliver hentet fra en server, vistnok i Texas.
Når man genstarter, eller hvordan det var, kommer dette program op med
visning, tilbud om køb, forlænget trial periode osv.

De andre malwares (fra movies) jeg har downloadet ser ud som om de lægger
sig ind som services.

Det skal dog siges, at jeg _selv_ aktiverede dem i en vanilla Win2K for at
lige at se hvad de lavede.
'Movie' malwarene gav en runtime error, så de er nok skrevet til nyere
Windows versioner, så hvorvidt der er tale om installationsprogrammer,
trojanere, rootkit's eller andet aner jeg ikke.

Men som du selv er inde på, så går det ud på at lokke brugeren til at køre
programmet.


--
Med venlig hilsen
Stig Johansen

---

On 6 Apr., 08:32, Stig Johansen <wopr...@gmaill.com> wrote:

> Hvis man bemærker adresselinien i virusscanneren, så ændrer den sig ikke, så
> det handler bare om at få sneget et <script> tag ind på en troværdig
> hjemmeside.
>
> En anden angrebsvektor kunne også være at lave html injection på diverse
> fora/blogs.

Det er vel endnu en grund til - som webmaster - at undgå frame og
iframe på sin side. Det er en slags ikke-kvalitetsstempel også hvad
angår sikkerhed, så vidt jeg kan læse.

I Opera vælger man Funktioner => indstillinger => Indhold =>
Instilling af fremtoning... og blokerer frames og iframes generelt for
alle websteder. Det burde vel i og for sig løse (lidt af) problemet
for brugeren? Jeg får iøvrigt et lille pænt billede af en djævel, hvis
jeg forsøger at køre din tour uden frames;)

Hvad jeg mener er, at hvis man er smart som webmaster, ikke bruger
frames, som er utroligt brugeruvenlige også, så vil brugeren ikke
mærke noget med frames slået fra, og siden vil alligevel virke,
ovenikøbet med mindre sandsynlighed for injections? Læg mærke til, jeg
har ikke slået JS fra, så det virker stadig.

Jeg har ikke fundet samme funktion med at slå frames fra i hverken IE
eller Firefox.


MVH
Rune Jensen

--
Nettets bedste hits: www.coolfm.org