CERTMGRD.DLL telefoniert nach Hause zu axload.to – oder die Plage BHO im Internet Explorer


Ich hatte gestern wieder mal einen Rechner in den Fingern der teilweise komische Dinge im Internet Explorer machte. Laut Aussagen des Benutzers reagiert er nicht immer so wie erwartet.

Der Rechner läuft unter Windows XP mit SP2 und ist mit AntiVir von Avira ausgestattet. Alle Welt schwärmt immer von Antivir, warum kann ich nicht nachvollziehen. Erst kürzlich hatte ich einen Rechner überprüft da ließ sich Antivir ganz einfach über einen 16bit Loader aushebeln. Ausgehend von dieser Erfahrung bin ich gleich von Hand an die Sache rangegangen.

Zuerst habe ich mit AUTORUNS (http://www.sysinternals.com/Utilities/Autoruns.html) von Sysinternals geschaut, was alles geladen wird. Dabei war bei den Browser Helper Objects (http://en.wikipedia.org/wiki/Browser_Helper_Object) im Internet Explorer eine GUID als Name eingetragen. Diese Guid sorgte dafür das beim Start des Internet Explorers die DLL CERTMGRD.DLL aus dem System32 Verzeichnis geladen wurde.

Wie immer habe ich dann zuerst die Dateieigenschaften der C:\WINDOWS\SYSTEM32\CERTMGRD.DLL Datei angeschaut. Es gab aber keinerlei Dateiinformationen wie Hersteller Dateiversion oder sowas, die Größe der Datei war 36769 Bytes. Um schnell zu prüfen worum es in der DLL gehen könnte, ladete ich die DLL ins NOTEPAD, um vielleicht ein paar interessante Strings zu sehen.

Dabei stachen mir gleich die Einträge UPX0, UPX1 und UPX2 ins Auge, d. h. die DLL war mit dem UPX-Packer gepackt (http://de.wikipedia.org/wiki/UPX). UPX gepackte Dateien sind dafür bekannt oft Malware zu enthalten, also schrillten die Alarmglocken.

In der Regel schaut man nun in Google nach was der Dateinamen so hergibt, aber leider war nichts über CERTMGRD.DLL zu finden. Also war weiter Handarbeit angesagt.

Um nun aber besser verstehen zu können, was effektiv passiert, muss man die DLL entpacken. Dies geht genialerweise supereinfach mit dem PE Explorer von heaventools (http://www.heaventools.com/). Der PE Explorer von heaventools enthält ein Plugin für UPX gepackte ausführbare Dateien. Also nun die CERTMGRD.DLL im PE Explorer geöffnet, diese wurde gleich als UPX gepackt erkannt und entpackt. Danach konnte man sich das Programm im PE Explorer Disassembler anschauen. Aus den angezeigten Strings war auch nicht ersichtlich was der Sinn und Zweck des Programms sein sollte.

Eine Suche bei Google nach „&os=%s&wpa=%s&ag=%s&um=%s“ oder „1hp=steudf/ar“ brachte leider auch kein Ergebnis.

Langsam machte ich mich mit dem Gedankten vertraut, das Programm mit dem Disassembler nachzuvollziehen, wobei Assembler nun nicht gerade meine Spezialdisziplin ist, um genauer zu sein ich damit seit Jahren nichts mehr am Hut habe. Man programmiert heutzutage ja in C#.

Komischerweise war da noch ein Eintrag Webprefix und irgendwie hab ich den gegoogelt wobei ich eigentlich irgendeinen API-Aufruf erwartet habe. Aber siehe da, es kam folgendes zu Tage: http://www.google.de/search?q=webprefix.

Das war nun ja eine ganz klare Sache! Die meisten Angaben aus der Beschreibung von Symantec trafen zu: http://www.symantec.com/avcenter/venc/data/adware.webprefix.html

Scheinbar gibt es auch ein paar Variationen: http://www.pestpatrol.com/spywarecenter/pest.aspx?id=453097743
http://www.pestpatrol.com/spywarecenter/pest.aspx?id=453098087
Wobei sich letztere Variante mit dem Registrierungseintrag einen Sinn ergeben könnte:

In der Registrierung stand unter Webprefix anstatt „02266 – ROUTE4FREE“ „21907 – translator“.  Vielleicht ist dies der Hinweis über welches Programm der Rechner infiziert wurde.

Die Firma die scheinbar die Daten sammelt ist hier zu finden: http://www.global-netcom.de/. Auch wurde Global Netkom schon in der ct‘ genannt: http://www.heise.de/newsticker/meldung/mail/44545.

Jetzt wollte ich nachprüfen, ob die Angaben noch zutreffen, dass eine Seite axload.to im Internet kontaktiert wird und von dort Daten nachgeladen werden. Also wurde ethereal (http://www.ethereal.com/) auf den Rechner installiert. Nach einem Neustart wurde als erstes Etherreal aufgerufen und das Packet Capture aktiviert. Nun öffnete ich den Internet Explorer und gab http://www.microsoft.com/ als Startseite ein. Danach hab ich noch die Paketanzahl die gecaptured wurde beobachtet und hab noch etwas gewartet, bis nichts mehr gecaptured wurde und hab dann den Internet Explorer geschlossen.

Tatsächlich fand sich nun in Ethereal die Kontaktaufnahme zur Seite axload.to dort wurde dann http://axload.to/update/version.htm?id=guid&wid=21907&re=4&os=WinXP,SP2&wpa=translator&
ag=Mozilla/4.0%20(compatible;…)&um=A
 aufgerufen. Als Antwort bekam man ein 49152Byte großes Paket zurück, welches scheinbar verschlüsselt ist.

Bei http://www.bitdefender.com/VIRUS-201500-en–Trojan.Downloader.6588.E.html ist nochmal der genaue Vorgang beschrieben. Wenn es stimmt dass die nachgeladenen Daten wieder ausführbarer Code ist, wovon man eigentlich fast ausgehen muss, dann gibt es unendlich Möglichkeiten den Rechner des Benutzers oder den Benutzer selber zu manipulieren.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: