Quelle: http://eu.battle.net/wow/de/forum/topic/14898851652?page=3

Von Verwanzen und Schweinchen zurück Parametern

Hinweis: bevor Ihr weiterlest das ist ein sehr komplexes Geflecht von Anfragen und Elementen, die nur schwer auf einfache Art aufzudrechseln sind und ich denke das hat einen Grund.

Ein kleiner Abriss zu den letzten Tagen

Ich möchte dieses Thema noch einmal nach oben holen. Nachdem ich fest davon überzeugt war das in jener Nacht als ich das Forum öffnete sich eine Software bei mir in den PC schleuste, war es tatsächlich so, das das betroffene Ultrabook wenig später erhebliche Probleme am Betriebssystem bekam. Meine Festplatte war oft so Stark ausgelastet das die LED nur noch am Leuchten war während die Ressourcen Monitore keine größeren schreib und Leseprozesse feststellen konnten. Ich hatte mich zu dem Zeitpunkt schon an Kaspersky gewendet die jedoch von außen keine Software Downloads im Forum feststellen konnten und von mir mögliche betroffene Daten angefordert haben. Nachdem ich mich unter anderem mit WinHex, Mandriva und gängiger Anti-Rootkit Software auf die Suche nach dem Ursprung gemacht habe war die Mehrheit der Software manipuliert und nicht mehr funktionsfähig. Rootkit Scans funktionierten teilweise überhaupt nicht (Software fror ein) oder sie beendeten den Suchlauf nach wenigen Sekunden. Ein Test des Arbeitspeicher und Sektoren zeigte keine defekten Cluster. Eine Auffrischung des Betriebssystems oder auch eine komplette Wiederherstellung vom Recovery Laufwerk war nicht mehr möglich, – da schon beim Hochfahren die Festplatte durch einen Prozess verschlossen war, mit einigen Tricks war es jedoch auch nicht möglich, die Daten zu verwenden, da die Recovery Partition zerstört war. Anschließend funktionierten 2 von 3 USB Ports nicht mehr. Nachdem ich das Ultrabook zerlegte, konnte ich keine Fehler feststellen, allerdings passierte mir bei dem dritten zerlegen wahrscheinlich ein Missgeschick und ein Metallteil löste sich und landete auf der Platine (so meine Mutmaßung),- es brannte jedenfalls ab und ist jetzt ein Totalschaden (auch ein Grund warum ich derzeit nicht in WoW Aktiv bin), was wohl auf meine Kappe geht.

Ich habe jedoch die Gelegenheit genutzt mit einem alternativem Laptop da Forum erneut zu untersuchen da ich der Meinung war das so etwas wieder passieren könnte und diesmal möchte ich einen Log davon haben.

Vorbereitung:
Ich reduzierte die Aktive Software und Services auf dem Windows 7 Computer auf ein minimum. Deaktivierte sämtliche Plugins in der aktuellsten Firefox Version bis auf den HTTP Request Logger. https://shiftlock.wordpress.com/2011/07/30/http-request-logger-add-on-for-mozilla-firefox/

Diese kostenlose Software loggt detailliert alle Anfragen die von dem Firefox gestellt werden in einem Text Dokument. Meine Mutmaßung war das bestimmte Tracker nur aktiv werden, wenn ein Nutzer sich hier Registriert und Angemeldet hat / und oder es nur bestimmte Nutzer betrifft.

Um zu testen ob der Firefox und der Laptop frei von einer Vorbelastung sind, habe ich zuerst auf einigen anderen Seiten herum gesurft und mir dort ein Protokoll erstellen lassen. Nach einigen erfolgreichen Ergebnissen konnte dann das WoW Forum analysiert werden.

Wie bei James Bond für Doofe

Das Ergebnis war erschütternd, es handelt sich um ein ganzes Netzwerk von Affilates und Analytics Unternehmen die sich auch dafür schämen ihre Software als „Wanzen“ zu bezeichnen oder Piggyback. Viele der Tracker werden nicht immer ausgelöst, ließen sich jedoch durch das Protokoll finden.

Bisher gefundene Unternehmen und Tracker
https://cm.g.doubleclick.net
http://www.google-analytics.com/
https://conv-blizzard-emea.cd.serving-sys.com
http://eu-blizzard.netmng.com/
http://dms.netmng.com

Davon Suspekt
http://pixel.rubiconproject.com
https://tapestry.tapad.com/
https://secure.adnxs.com/
https://20680583p.rfihub.com
https://t4.liverail.com
https://d.xp1.ru4.com
https://image2.pubmatic.com
https://dsum-sec.casalemedia.com
https://p.rfihub.com/
https://us-u.openx.net
http://nan.netmng.com/

Log zu Besonders Suspekten Anfragen
1) piggybackCookie (Schweinchen zurück) und Verwanzen
Diese Abfrage enthält doch tatsächlich die Bezeichnung für Schweinchen von wiederkehrenden Besuchern und noch Dreister heißt die Ausführende PHP Datei „Tap.php“ / Tap ist eine bezeichnung bei Informationsdiensten für „Verwanzen“.

GET https://t4.liverail.com/?metric=csync&p=3010&s=640707417344743355&redirect=https%3A%2F%2Fcm.g.doubleclick.net%2Fpixel%3Fgoogle_nid%3Drfi%26google_cm%3D%26google_sc%3D%26google_hm%3DNjQwNzA3NDE3MzQ0NzQzMzU1%26forward%3Dhttps%253A%252F%252Fsimage2.pubmatic.com%252FAdServer%252FPug%253Fvcode%253Dbz0yJnR5cGU9MSZjb2RlPTI3MzkmdGw9MTU3NjgwMA%253D%253D%2526piggybackCookie%253D640707417344743355%2526r%253Dhttps%25253A%25252F%25252Fsecure.adnxs.com%25252Fpxj%25253Fbidder%25253D18%252526seg%25253D378601%252526action%25253Dsetuids%252528%252527640707417344743355%252527%25252C%2525271CAESEHtwYomy5-sOA1vtJX0fSss%252527%252529%25253B%252526redir%25253Dhttps%2525253A%2525252F%2525252Fpixel.rubiconproject.com%2525252Ftap.php%2525253Fv%2525253D13490%25252526nid%2525253D2596%25252526put%2525253D640707417344743355%25252526expires%2525253D30%25252526next%2525253D

http://eu.battle.net/wow/de/forum/ GET https://pixel.rubiconproject.com/tap.php?cookie_redirect=1&v=13490&nid=2596&put=640707417344743355&expires=30&next=https%3A%2F%2Fus-u.openx.net%2Fw%2F1.0%2Fsd%3Fid%3D537073062%26val%3D640707417344743355%26r%3Dhttps%253A%252F%252Fsimage2.pubmatic.com%252FAdServer%252FPug%253Fvcode%253Dbz0yJnR5cGU9MSZjb2RlPTI3MzkmdGw9MTU3NjgwMA%253D%253D%2526piggybackCookie%253D640707417344743355%2526r%253Dhttps%25253A%25252F%25252Ft4.liverail.com%25252F%25253Fmetric%25253Dcsync%252526p%25253D3010%252526s%25253D640707417344743355%252526redirect%25253D
http://eu.battle.net/wow/de/forum/ GET https://us-u.openx.net/w/1.0/sd?id=537073062&val=640707417344743355&r=https%3A%2F%2Fsimage2.pubmatic.com%2FAdServer%2FPug%3Fvcode%3Dbz0yJnR5cGU9MSZjb2RlPTI3MzkmdGw9MTU3NjgwMA%3D%3D%26piggybackCookie%3D640707417344743355%26r%3Dhttps%253A%252F%252Ft4.liverail.com%252F%253Fmetric%253Dcsync%2526p%253D3010%2526s%253D640707417344743355%2526redirect%253D

Ergebnis
Das battle.net enthält eine Vielzahl suspekter Einbettungen von Trackern und Inhalten von Dritt Anbietern über die Blizzard Entertainment keine Kontrolle besitzt. Das gezielte einfügen von Schadcodes und Rootkits gegen einzelne Nutzer ist möglich. Von externer Seite aus lassen sich viele der Nachgeladenen Codes nicht darstellen, eine Analyse ist hierbei schwierig und so laufen anti Malware und Sicherheitsprüfungen in das leere wenn sie gegen das Battle.net ausgeführt werden.
Die verschleierung von Spionagesoftware durch das auslösen gegen bestimmte Nutzer und die Verwendung von Bezeichnungen wie „Wanzen“ ist ein Indikator für stark Suspekte Vorgänge.

Empfehlung
Für Nutzer: Wer brisante Informationen / Wissenschaftliche Arbeiten oder ähnlich Brisante Dokumente aus Wirtschaft und Industrie auf seinem Computer besitzt sollte das battle.net nur in einer Sandbox besuchen oder auf einem gesondertem Computer.
Für Blizzard: Das umgehende entfernen und Reduzieren der Tracking Software und Analyse der herkunft dieser Einbettung.

Stellungnahme von Tapad
Nach der bitte um stellungnahme von Tapad wem die Fraglichen Nutzer ID der Software zugeordnet werden könne, gab es bisher keine eindeutige Antwort, stattdessen gegenfragen. Nach einer weiteren Kontaktaufnahme wer dahinter steckt wurde mir angeboten das Unternehmen in NY zu besuchen.

Stellungnahme von Kaspersky
In Analyse

Stellungnahme vom BSI
In Prozess

Protokolle
1) http://pastebin.com/pd8cn7Wd
2) http://pastebin.com/Xk5egy9c

Ich mache Blizzard „Noch“ keinen Vorwurf, doch wenn es nicht langsam abgestellt wird oder reagiert wird, dann schon.

Weiterer Anhang
1) Piggyback hat Multiple bedeutungen,- ein Piggy ist ein junges Schweinchen, als Piggyback bedeutet es auf dem Rücken tragen / Huckepack.

2) Viele der verwendeten Tracker sind Teil von NAI (http://www.networkadvertising.org/) und teilen sich die Informationen. Warum daher ein großer Teil hier hin und wieder auftaucht ist fraglich und unsinnig. Der zugehörige Tracking Code sieht so aus http://nan.netmng.com/?aid=2496

3) Alleine auf der hier nachgeladenen Domäne adnxs.com wurden in den vergangenen 90 Tagen 627 Viren 20 exploit(s), 7 scripting exploit(s) übertragen http://www.google.com/safebrowsing/diagnostic?site=adnxs.com/

Advertisements