[Warnung] kinox.to verteilt Java Drive-By Schadsoftware

[DMW007]

Guten Tag,

ich durfte vorher live miterleben, wie auf dem PC eines Kollegen unmittelbar nach dem Aufruf von kinox.to ein Java Drive-By ausgeführt wurde.
Ein Irrtum ist ausgeschlossen, es waren keinerlei andere Seiten geöffnet.
Firefox wurde gestartet und kinox.to aufgerufen. Direkt im Anschluss wurde Java geladen.
Bevor man überhaupt eine Chance hatte zu reagieren, wurden alle Anwendungen geschlossen und man sah den bekannten "GEMA-Virus" in Fullscreen:




Taskmanager und so weiter natürlich deaktiviert, man kommt hier im normalen Modus als nicht weiter.

Wie sich herausgestellt hat, war auf dem System nicht die aktuellste Java-Version installiert.
Insbesonders Flash und Java sind dafür bekannt, regelmäßig neue Sicherheitslücken aufzuweisen.

Daher an dieser Stelle der wichtige Hinweis an alle:

Haltet euere Browser-Plugins aktuell!

Eine automatische Prüfung aller Plugins auf aktualität ist hier möglich : Mozilla Plugin Security-Check

Wird ein veraltetes Plugin entdeckt für das Sicherheitslücken bekannt sind, wird euch das entsprechend angezeigt und ihr könnt direkt updaten:




Das Java Drive-By wurde wahrscheinlich über eine Werbeanzeige eingeschleußt.
Seiten wie kinox.to sind für Werbeanbieter Sonderfallseiten, die nur von (meist unserösen) Anbietern vermarktet werden, welche ebenfalls Sonderfall-Werbekunden haben.
Dazu gehört Beispielsweise Werbung für Pornoseiten, die man auf fast jeder Warez-Seite vorfindet.

Daher rate ich: Java deaktivieren

Es handelt sich bei allen derzeit bekannten Versionen um sogenannte Java Drive-Bys.
Ihr könnt Seiten wie kinox.to also gefahrlos besuchen, wenn ihr in eurem Browser die Java-Erweiterung deaktiviert.
Das ist heutzutage eigentlich kein großes Problem, da nur noch wenige Seiten auf die mittlerweile veraltete Technik der Java-Applets setzen (Knuddels ist natürlich - wie immer - eine Ausnahme )

Um die Java-Erweiterung zu deaktivieren, ruft ihr die Liste eurer Addons auf (Firefox: Extras => Add-ons oder Tastenkombination [Strg] + [Umschalt] + [A]).
Dort klickt ihr bei allen Einträgen, die mit Java anfängen, etwa



rechts auf 'Deaktivieren'



Damit ist das Plugin nicht länger aktiv, und ihr seid erstmal sicher.
Zumindestens solange, bis keine Lücken in anderen Erweiterungen (wie z.B. Flash) gefunden und ausgenutzt werden.

UPDATE:
Fast alle Browser bieten mittlerweile Click2Play an, sodass Java-Applets erst nach ausdrücklicher Bestätigung ausgeführt werden. Wenn ihr Java zwingend braucht (zb für Knuddels) und auf Nummer sicher gehen wollt, nutzt einen seperaten Browser mit aktiviertem Java, den ihr nur für diese Seiten verwendet. Zumindest Click2Play solltet ihr jedoch nutzen. Sofern ihr Java nicht oder nur sehr selten braucht seid ihr am sichersten dran, wenn ihr das Plugin im Browser komplett deaktiviert und nur bei Bedarf aktiviert.
Java-Applets in der heutigen Zeit einfach so von jedem ausführen zu lassen ist verantwortungslos, da aktuell (Februar 2013) fast 90% aller Exploits das Browser-Plugin von Java angreifen:



Weitere Details zur (vermutlichen) Version dieser Schadsoftware:

Spoiler:

Dateisystem:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Inter net Explorer\MSIMGSIZ.DAT
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\History\History.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\1T30MVXC\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\1T30MVXC\index[2].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\35GYE11Q\6540321325490242[1].mp3
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\35GYE11Q\bg[1].gif
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\51AHU6XV\buttons[1].css
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\CLHS5NP1\jquery.min[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\CLHS5NP1\keyboard[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Temp\bcktemp021 2.tmp
C:\Benutzer\evild3ad\AppData\Local\Temp\~DFFD55867 AA4D33736.TMP
C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
C:\Benutzer\evild3ad\Desktop\dwlGina3.dll
C:\Windows\System32\drivers\etc\hosts Download
Wichtigster Unterschied zur ersten Version ist die Manipulation der Hosts-Datei. Diese wird dahingehend abgeändert, dass u.a. alle Anfragen bezüglich AV-Hersteller und Microsoft an “127.0.0.1” umgeleitet werden. Dies hat zur Folge, dass z. B. keine Virendefinitionen mehr aktualisiert werden und auch die Microsoft-Updates nicht funktionieren.

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{JJhOKXSl-ZUWD-ubpK-1idX-wzG4eyU41q1K}\olmwKSKlNdgCU6b = “C:\Users\Admin\AppData\Roaming\ActiveX32_64lo.exe ” /ActiveX
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer -> NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> DisableRegistryTool, DisableTaskMgr
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced -> HideIcons
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\1\ -> Wert “1400″ auf “0″
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3\ -> Wert “1400″ auf “0″
Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
Unsub Page (87.255.73.20)
Unsub Page (87.255.73.20)
Upload Music | How To Upload Music | Uploading Music (96.9.189.82)
ajax.googleapis.com

HTTP Requests:
Unsub Page GET /wasgehtalter_panel/gate.php?…
Unsub Page GET /wirbrauchenbass_bezahlung/index.php
Upload Music | How To Upload Music | Uploading Music GET /MUSIC/6540321325490242.mp3





Funktionalitäten:
- liest die laufenden Prozesse aus
- liest Benutzername und SystemDefaultLangID aus
- übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
- modifiziert die Hosts-Datei
- deaktiviert den Windows Task Manager sowie den Windows Registry Editor
- blendet die Icons auf dem Desktop aus


Infektionsweg:
Die Verteilung der Malware läuft laut Microsoft unter anderem über das BlackHole Exploit Kit, das den Rechner beim Besuch einer verseuchten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.
Die Verbreitung erfolgt selbstverständlich auch über Links in Spam-Mails, die direkt auf die BlackHole-Server verweisen.
Im Zeitraum von Juli bis November 2011 hat Microsoft allein eine Variante des sogenannten BKA-Trojaners auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn hier nur jeder zehnte User auf den Schwindel herein gefallen ist und die 100 Euro bezahlt hat, könnte die Beute der Cyberkriminellen immerhin 250.000 Euro betragen. Da Microsoft aber nicht der einzige AV-Hersteller auf dem deutschen Markt ist und es bei Nutzern von Avira, Kaspersky und Co. auch Opfer gibt, multiplizieren wir die vermeintliche Beute einfach nochmal mit dem Faktor 10 auf lukrative 2.500.000 Euro.


Quelle: GEMA-Trojaner 2 (ActiveX32_64lo.exe) | Evild3ad

[rVs14]

Ich habs mal in meiner VM ausgeführt, bei mir wird kein Drive-By heruntergeladen bzw. ausgeführt.

[iDave]

Danke. War heute Mittag noch drauf und glücklicherweise ist nichts passiert.
Direkt mal geupdatet.

[DMW007]

Ich habs mal in meiner VM ausgeführt, bei mir wird kein Drive-By heruntergeladen bzw. ausgeführt.

Die versuchte Anzeige wird wohl nicht jedes mal eingeblendet.
Der Werbeanbieter hat wohl eine größere Anzahl an Kunden, von denen wahrscheinlich auch einige mehr wie eine Werbekampagne dort haben.
Bei den Kunden wechselt natürlich die Werbung immer, so wird man nicht zwangsweise direkt versucht wenn zb 1 Kampagne von 100 den Drive-By enthält.

Derjenige dem der PC gehört hat kinox.to auch schon vor dem Vorfall gelegentlich genutzt und wurde bisher noch nicht infiziert.

Außerdem nutzt das Drive-By sehr wahrscheinlich eine bekannte Sicherheitslücke in Java.
Daher sind nicht alle betroffen, sondern nur Nutzer, die ihr Java nicht auf dem aktuellsten Stand halten.

[rVs14]

Außerdem nutzt das Drive-By sehr wahrscheinlich eine bekannte Sicherheitslücke in Java.
Daher sind nicht alle betroffen, sondern nur Nutzer, die ihr Java nicht auf dem aktuellsten Stand halten.

Uh stimmt, ich hab gar kein Java auf der VM installiert. Wird wahrscheinlich daran liegen, ich werds mal morgen mit ner alten Java Version ausprobieren, wollte schon immer mal den entfernen :p.

[Roxithro]

Das gleiche ist mir auf Watch movies online for free movie download at movie2k.to passiert, kann von dieser Seite ebenfalls nur abraten.

[yamyam87]

2 fragen dazu wie bekommt man das ding wieder los sollte man es haben und 2 kommt der virus direkt wenn man nur die seiten beuscht oder erst, wenn man auf die werbung klickt ?? ach ja und wie weiß ich ob ich das ding nicht schon auf pc hab nur ohne das er bereits leuft ...

[Frankfurt am Main]

Im abgesicherten Modus ohne Netzwerktreibern starten und die Virensuche anschmeißen. Dann sollte man den "Virus" entfernen können, ohne formatieren zu müssen.

[Manipulate]

2 fragen dazu wie bekommt man das ding wieder los sollte man es haben und 2 kommt der virus direkt wenn man nur die seiten beuscht oder erst, wenn man auf die werbung klickt ?? ach ja und wie weiß ich ob ich das ding nicht schon auf pc hab nur ohne das er bereits leuft ...

Ein Java Drive-By wird heruntergeladen wenn du auf der Seite bist, ohne die Werbung anzuklicken...
Wenn du so ein Teil schon auf dein PC hättest, dann käm sowas wie auf dem Screen zusehn.

[Silidor]

GVU Virus ist auch dabei