disLEXia

Tuesday, 22. July 2003

RECHNER-HIJACKING

Spam- und Porno-Server wider Willen

"migmaf" ist kein Trojaner wie all die anderen: Das wahrscheinlich seit Anfang Juni im Umlauf befindliche Schadprogramm kidnappt unbemerkt Rechner und macht sie zum Server für Spam und Pornoseiten.

Der Fluch des Web: Spam macht E-Mail zunehmend unbrauchbarer

Echte Hacker sehen auf die Viren-schreibenden pubertären Skript-Kiddies nur hinab. Für sie scheidet sich die hackende Community in nur zwei ernst zu nehmende Lager: Die Hacker oder Whitehats auf der einen und die Cracker oder Blackhats auf der anderen Seite. Die einen sehen sich als die Helden von Digitalien, die anderen sind kriminell.

Das jedoch heißt nicht, dass sie keine Programme schreiben könnten, die Hackern wie IT-Sicherheitsexperten Respekt abnötigen. Bei "migmaf" etwa, sagte der IT-Experte Richard Smith der "PC World", habe er zunächst nur eines gedacht: "Wow! Das ist interessant!"

P2P-Spamnetz

Denn migmaf, scheinbar zunächst nicht mehr als einer der üblichen, vielen Hundert lästigen Trojaner, entpuppte sich schnell als etwas Außergewöhnliches.

Wahrscheinlich seit Anfang Juni ist der Schädling unterwegs und befiel seitdem nur einige Tausend Rechner. Das ist zunächst nicht viel - aber mehr will das Virus anscheinend auch gar nicht.

Denn migmaf kredenzt seinen Kontrolleuren - wahrscheinlich russischen Crackern - einen Zugang zum befallenen Rechner. Die vollenden dann die Installation eines für das Opfer kaum zu bemerkenden Proxy-Servers: Das Opfer wird zum Teil des Crack-Netzwerkes - und in den Augen vieler hundertausend danach bespamter E-Mail-Kontenbesitzer zum Täter.

Denn migmaf vollbringt eine alles andere als triviale Leistung: Er verteilt Spam-Mails über "sein" Netzwerk, die den User zu einer pornografischen Website führen sollen. Doch die hat zwar eine fixe Adresse, aber keinen "Ort" im Internet: Alle paar Minuten wechselt sie scheinbar die IP-Adresse.

Denn letztlich installiert migmaf nichts anderes als die kriminelle Karikatur eines P2P-Netzwerkes: Von einem zentralen Server aus "senden" seine Programmierer ihre Pornoseiten aus, die dann in stetem Wechsel über die

DER SPIEGEL

Durchgezählt: Spam-Mail-Aufkommen nach Kategorien

unfreiwilligen Proxyserver der von migmaf befallenen Rechner "wandern". Mit migmaf wird also wirklich und endlich jeder ein Sender - ob er nun will oder nicht.

Damit baut migmaf nicht nur eine außerordentlich hohe Kapazität für den Versand von Spam auf, sondern verwischt auch relativ effektiv die Spuren zum wirklichen Verursacher.

Schutz vor Entdeckung

Doch es geht noch weiter. Um die Porno-Websites "wandern" lassen zu können, installiert migmaf ein kleines DNS-System auf den befallenen Rechnern. Keiner der gekidnappten Rechner "sendet" für mehr als zehn Minuten Pornoseiten aus - in diesem Takt wechseln sich die "Sender" ab. Solange es davon genug gibt, fällt der Mehrverkehr wahrscheinlich noch nicht einmal den Serviceprovidern auf, was in diesem Falle sogar wünschenswert wäre: Normalerweise kommt es bei massivem Mehrverkehr zu einer Warnung oder Verwarnung durch den Serviceprovider.

Sicherheitsexperten gehen davon aus, dass es bereits mehrere Versionen des Virus gibt, die großen Virenschutz-Entwickler arbeiten an Programmen, migmaf und ähnliche Programme zuverlässig erkennen zu können. Bis dahin bleibt nur die Mahnung vor allem an die Nutzer von DSL-Leitungen, diese nie ohne eine gut funktionierende Firewall zu betreiben. Die kann zumindest verhindern, das migmaf "auf Sendung" geht.

Denn zumindest die Frage, was all das für einen Sinn haben soll, war sehr schnell erklärt: migmaf leistet nichts anderes als den Aufbau eines P2P-Netzwerkes ausschließlich zur Verteilung von Spam. Und weil diese nicht von einem, sondern von Tausenden ständig wechselnden Servern verteilt werden, hat es die Spamfilter-Software schwer, mitzuhalten.

Pyrrhussieg

Sicherheistexperten des US-Unternehmens LURHQ gelang es Ende letzter Woche, das erste nachgewiesene migmaf-Netzwerk stillzulegen. Keine leichte Aufgabe: Die Experten berichteten, dass sie für IP-Rückverfolgungen, für die sie normalerweise wenige Minuten brauchten, satte sieben Tage gebraucht hätten. Selbst dann könnten sie sich nicht sicher sein, ob sie wirklich den "Master-Server" gefunden haben, oder nur das erste der Opfer in einer Kette von Tausenden.

Eines aber scheint klar: Prinzipiell lassen sich migmaf-Trojaner mit Hilfe jedes Virus ausliefern, und ungezählte migmaf-Spamnetze ließen sich parallel betreiben.

migmaf ist also die Antwort der Spam-Mafia auf die Versuche, dem Werbemüll endlich den Hahn abzudrehen. Sieht so aus, als würde das noch schwerer als gedacht: Schöne Aussichten sind das nicht.

Frank Patalong
09:12 | permanent link | mail this

Wie Trojanische Pferde fremde PCs zu willenlosen Spam-Monstern machen

Wie Trojanische Pferde fremde PCs zu willenlosen Spam-Monstern machen

In Russland angesiedelte Spammer () verbreiten ihren elektronischen Müll seit einiger Zeit mit einer neuen hinterhältigen Methode: Sie schmuggeln Trojanische Pferde auf Rechner unwissender Opfer, die Massen-Mails aussenden und als Host () für Porno-Inhalte dienen. Sicherheitsexperten bekamen erste Hinweise auf das illegale Treiben bereits Ende Juni, sagte Joe Stewart, Analyst beim Security-Spezialisten Lurhq. Damals waren Massen-Mails unter anderem mit Angeboten russischer Porno-Sites aufgefallen, die alle paar Minuten von einem anderen Absender ausgingen.

HACKER VERWENDEN IP-ADRESSE () DER OPFER UM () IHRE ZU VERSTECKEN Das "Migmaf" (Migrant Mafia) genannte Trojanische Pferd dient als eine Art Proxy-Server, über den die Spammer ihre wahre Herkunft verschleiern. Einerseits ersetzt es die Original-Adresse durch die IP-Adresse des infizierten Rechners, andererseits schleust es die pornografischen Inhalte über den Rechner, wenn ein Spam-Empfänger auf einen Link () in der Massen-Mail klickt. Um die Spuren weiter zu verwischen, werden infizierte PCs immer nur für kurze Zeit eingesetzt, so die Experten.

ANSTECKEN KANN MAN () SICH QUASI ÜBERALL Auf welchem Weg die Spammer den Schädling verbreiten, ist noch nicht bekannt. Laut Stewart ist ein Wurm () als Träger ebenso möglich wie ein manipuliertes ActiveX-Control. Auch könnten infizierte Dateien in Online-Tauschbörsen wie Kazaa () eingeschleust oder via IRC () (Internet Relay Chat) auf die Rechner gebracht worden sein. (idg/oli)
08:59 | permanent link | mail this

Wednesday, 16. July 2003

EU businesses count spam costs

Unsolicited e-mail messages cost European businesses over £1.5bn in lost productivity last year, according to the European Commission.

The figure was cited by the European Commissioner with responsibility for information technology, Erkki Liikanen, as he appealed for international co-operation to fight the unwanted, mostly sales-related messages.

European Union (EU) legislation banning unwanted e-mail is due to come into force in November, but given the global nature of the Internet, it is feared it will have little effect.

The scourge of unwanted e-mail is now so serious that it is threatening to stifle the Internet as an effective means of communication.

Legal constraints

Mr Liikanen said between a third and one-half of all e-mails sent and received was now spam or junk mail.

If spam is not checked, it is feared it could severely undermine the appeal of mobile-phone-based Internet services, which are about to come onstream in Europe.

Under a new EU directive, it will shortly be an offence to send any unsolicited mail without the recipient's prior consent, but most spam comes from the United States and China and will be outside the law's reach.

In contrast to Europe, the United States is considering a variety of laws which would regulate spam, but essentially allow it unless an individual specifically opts out.

The European Commission readily admits international co-operation is vital.

Today, Mr Likanen offered to host a special summit on the problem at the OECD next year. [BBC News Online]
09:00 | permanent link | mail this

Watch a movie clip - spam everyone you know

By John Leyden Posted: 14/07/2003 at 17:41 GMT

  A new viral marketing stunt for a music clip site poses almost as great a risk as a real virus, according to security experts.

An email which invites users to visit a website to view comedy video clips, such as one of Bill Gates being hit with a custard pie by Belgian anarchists, is doing the rounds. AV vendor Sophos has received a number of reports from customers concerned about the security risk posed by the email.

If users follow the link in the email, they are invited to install an application called "Internet Optimizer" (IO) onto their computer from a Web site run by Avenue Media NV, based in the Caribbean island of Curacao.

An end-user license agreement (EULA) for IO is displayed, stating that by viewing the movie the user is giving permission to send an invitation to view video clips to all addresses found in the user's Outlook address book and via instant messaging systems. The agreement also grants Avenue Media rights to update software on machines - or install other packages - without further permission.

Sophos is concerned that many computer users will not read the EULA with enough attention and simply grant permission for the application to be installed, without realising that emails and instant messages will be sent to all their contacts. Although this not a virus or a worm, these viral marketing campaigns have the potential to clog up a large amount of a company's email bandwidth like a mass-mailing worm.

Sophos Anti-Virus customers have requested that the application be detected, even though it is not technically a virus. Sophos detects the application as App/ViewMov-A.

"The makers of this email nuisance appear to have been inspired by the Friends Greeting incident of October last year which affected thousands of internet users," said Graham Cluley, senior technology consultant for Sophos Anti-Virus. "Just like then the people behind this are taking advantage of the public's reluctance to read legalese and small print."

Avenue Media is not doing anything illegal - and a movie clip is offered for those gullible enough to hand over control of their computer to the West Indian outfit.

"The agreement to allow Avenue Media access to your computer to update and install code as they see fit is particularly disturbing," continued Cluley. "The decision about whether to grant such permission should only be made by an IT department fully aware of the consequences, not a user frantically clicking 'next' on a license agreement in their hurry to see a movie of Bill Gates being splattered with custard." [The Register - Security]
08:53 | permanent link | mail this

Tuesday, 08. July 2003

F*ckity F*ck F*ck F*ck

E-mail is dead. In the last two hours, I've received over 100 bounced email notifications, because some asshole spammer decided to send out hundreds, if not thousands of unwanted messages advertising "Ho`w to b'uild your own busines's we,bsite" using return... [Andrew Raff: Shameless Self Promotion]
12:26 | permanent link | mail this

Thursday, 22. May 2003

Edelman on gator

"The Gator Corporation designs software to display advertisements on users' computer screens, triggered in part by the specific web sites users visit. The author has developed an automated method of determining which specific advertisements Gator has associated with which web sites, data that may be helpful to web site operators, policy-makers, and others in assessing Gator's practices. This article offers listings of more than seven thousand specific sites targeted by Gator as well as analysis of the advertisements shown. An interface is also available to let interested Internet users to test Gator's advertisements on their own. " [link]
07:15 | permanent link | mail this

Tuesday, 20. May 2003

A Response to a Challenging Response to Challenge-Response

Edward Felten has a pice on anti-SPAM CR systems which I consider less sharp than his usual writing.

First some empirical Data: I have deployed the TMDA CR system last month on a adress used for about 6 years on the web and on Usenet. It reduced SPAM mails from about 150 per day to about one per week. I would not call this "a modest benefit". But trying to send all that challances to the incredibly broken adresses used by spammers put a considerable load on my mailserver. The outgoing queue now usually contains several hundred messages.

About spammers responding to the challanges: This could be done, but would dramatically change the economics of spamming. The amount of resources needed to send spam would increase by magnitudes and probabyl make it uneconomic to do so.

Also the concern on Alice having to open a loophole for reciving Bob's challange seems overrated to me: Alice has a way to communicate a individual loophole to Bob in the first place, since she is actually sending mail to him. Keep in mind, that this loophole does only be 'secure' enough to make spamming as expensive as ... say US$ 1 per Mail. So we don't have to fear about Eve sniffing th mails and other sophisticated attacks.

An obvious way to fix the loophole problem is Alice whitelisting all adresses she is sending mail to (I do that). An alternative would be that Alice uses a special adress only valid for some time or in conjunction with a certain Message-ID in the References header or the like. People more experienced in security protocol design than me would find dozends of elegant ways to implement 'secure' loopholes.

But: surly CR - like other spam defence mechanism - destroy email as a universal communication medium. And by setting up any kind of spam defense system you must be aware that you make people sending you mails hop through certain loops. Mayby you keep them from using he subject lines they like or prohibit certain words in the message body. Maybe you set rigrid rules on the connfiguration and placement of their mailserver. Maybe you make them answer challanges. All this makes running mailinglists more and more complicated. This is nothing new: For now a long time AOL forced a contract on you, if you wanted to distribute a mailinglist (meaning more than N messages per hour) to AOL customers.

But in one thin Felten is certainly right: CR and other spam filtering techniques will produce unexpected interactions for a long time.
08:30 | permanent link | mail this

Wednesday, 23. April 2003

Natural language Processing Spam Creators?

Today a friend recived the most elaborate Spam i have ever seen about http://c0re.jp/

From: Howard Roark <hroark@addr.com>
Date: Mi, 23. Apr 2003  13:11:45 Europe/Berlin
To: hackers@c0re.jp
Subject: About your site 'The c0re hacking group'

Hi,

I visited your site *The c0re hacking group. *I found it interesting and informative. We
can go on and on about the hazards of hacking. In a way it is making our systems
more robust. This site caters to some of greatest hack codes available in the market
and I appalaud your effort in presenting them on this site. You have covered all
aspects of this concept and succeeded in presenting a wonderful platform for hackers
all over the world  to come and share their ideas with each other.  The content has
been crafted and presented beautifully and the design aspects of the site looks
impressive. Your club will definitely open some new doors for lot of people and will
help them in expanding their realms. Keep up the good work. Your site should go in
for some enhancement so that you can reach out to a wider audience.
...

I guess they used dmoz for generating the mail.
14:13 | permanent link | mail this

Monday, 27. January 2003

Junk-mail Foe Joe Is Caught Spamming

January 26, 2003 -- Hours after announcing he would run for president in 2004, Sen. Joseph Lieberman - a vocal opponent of "spam" - flooded the Internet with his own junk e-mail.

The notice broadcasting Lieberman's candidacy was sent to thousands of addresses purchased from ROPAC, a defunct political action committee that had compiled the list from a variety of sources, The Post has learned.

The tactic was surprising. Two years ago, Sen. Lieberman co-sponsored the anti-junk-mail legislation "CAN-SPAM." He stated at the time: "[Spam] is not requested by the receiver. It almost never contains any information of substance or value . . . only Congress has the power to regulate interstate commerce and address this problem on a national scale."

New York Post Jan 26 2003 6:04AM ET [moreover Computersecurity]
09:00 | permanent link | mail this

Saturday, 25. January 2003

Judge Rules Against Spammer

A New York court ordered a spammer to stop telling customers they asked for their e-mail.

Manhattan Superior Court Justice Lottie Wilkins permanently enjoined MonsterHut from falsely representing that it had obtained permission to e-mail consumers, following a lawsuit by New York Attorney General Eliot Spitzer in May.

The suit charged that MonsterHut sent more than half a billion spam e-mails since March 2001, claiming recipients had opted in to receive them. More than 750,000 people asked to be removed from the e-mail lists.

The court rejected MonsterHut's argument that it was not liable for the misrepresentation since it purchased the e-mail addresses from third parties that MonsterHut believed acquired the names through an opt-in process. A hearing is scheudled for Feb. 11 to set civil penalites, damages and restitution.

In an earlier spam lawsuit, America Online was awarded $7 million in damages in a spam lawsuit. [TechWeb: Security]
10:29 | permanent link | mail this

Dialer-Nummer aus Spam-Mail abgeschaltet

Hinter Kontaktangeboten in Massen-Mails verbergen sich meistens Downloads von kostenpflichtigen Dialern. So verschickte ein "Realkontakt Service" seit einigen Tagen die Aufforderung, eine vorgeblich private Nachricht herunterzuladen -- mit einem Dialer der Schweizer Firma IBS Clearing AG . Zwei der dafür geschalteten 0190-Nummern waren bei der Telekom gehostet. Das war nicht ganz einfach in Erfahrung zu bringen, weil weder der Ansagedienst der Telekom unter 08 00/3 30 19 00 noch die Internet-Seite der Regulierungsbehörde (RegTP) Informationen zum Betreiber gaben. Erst auf wiederholte Anfrage bei der RegTP und bei der Telekom konnte heise online Licht ins Dunkel bringen: Die Nummer war bei der Telekom geschaltet.

Die Telekom reagierte flott und zog die Nummer am gestrigen Donnerstag nachmittag aus dem Verkehr. Laut Pressesprecher Frank Domagala hatte das nichts mit der Anfrage von heise online zu tun, die Nummer sei aufgrund von Kundenbeschwerden abgeschaltet worden. Nicht zu klären war, wieso der Betreiber der Rufnummer nicht im Informations-System der Telekom vermerkt wurde. [heise]
10:02 | permanent link | mail this

Wednesday, 22. January 2003

Research on Open Spam Relays

At http://www.m5computersecurity.com/research/OpenRelay-analysis-1.2.htm I found an interesting paper by Michael McCafferty titled "Statistical Analysis of Open E-mail Relaying on the Internet". The Author was scanning mailservers for open relays. Using random IPs he found 1.6% of the Mailservers beeing open relays. In contrast in DSL address ranges he found up to 35.7% open relays. I like Ross Andersons idea of drawing parallels betweenNetwork Security and the Environment.

While "don't let the masses on the Internet" thinking is nothing new this numbers lets one rethink the issue in an different light. This open relay thing is really a difficult problem. On the one hand my sympathy is with John Gilmore, on the other hand people who can't configure their mailservers and incerase the mail filtering load on me and my machine.

The other thing I like about this paper researes some facts instead of doing speculations. It is not the first scan for vulnaribilities nor the first for open relays. It just reminds me that in cybercriminology we can do experimental research without getting in real bad ethical troubles.
21:21 | permanent link | mail this

disLEXia, a research project by Maximillian Dornseif