Froschs Blog

(K)eine Einladung von Facebook

30. August 2012 um 12:53 Uhr von Atari-Frosch

Beim ersten Durchsehen der E-Mails für heute fiel mir eine Einladung zu Facebook auf. Solche Einladungen sind ja leider Mode geworden: Leute auf Xing, LinkedIn und auch Facebook laden einfach mal ihr ganzes Adreßbuch hoch und lassen die Plattformen dann an alle darin enthaltenen Adressen Einladungen verschicken. Allerdings sind nicht alle Einladungen, die scheinbar von diesen Netzwerken kommen, tatsächlich von dort.

An dieser Einladung fiel mir als erstes auf, daß weder mein Name erwähnt wurde noch der desjenigen, der mich angeblich einladen will. Und als nächstes, daß die Mail einen ZIP-gepackten Anhang hat. Also hab ich mal genauer hingesehen:

Zunächst einmal fiel mir im Header auf, daß die Zeile To: zwar vorhanden, aber leer ist. Deshalb war die Mail, obwohl an postmaster@ adressiert, nicht in meinem Postfach für postmaster gelandet, sondern sozusagen in der Rest-Post. Die postmaster-Adresse stand nur im SMTP-Header, wurde meinem Mailserver bei Einlieferung also als Empfänger genannt, aber eben nicht im eigentlichen Briefkopf. Bei Massensendungen kommt das durchaus mal vor; man schreibt eine Mail und gibt dem Mailserver eine Empfängerliste, die er dann abarbeitet. Das To: im Briefkopf darf der Mailserver aber nicht verändern. Eine Einladung sollte aber eigentlich kein Massen-Mailing sein.

Dann fiel mir eine Received-Zeile ins Auge: Die Mail schien tatsächlich von Facebook gekommen zu sein. Angeführt wurde ein Ausgangs-Mailserver, der definitiv zu Facebook gehört. Das wäre eine massive Sicherheitslücke bei Facebook, allerdings hatte ich beim ersten Hinsehen nicht genau aufgepaßt: Die Zeile steht da zwar, wurde aber nicht vom Facebook-Server geschrieben. Davor ist noch eine Received-Zeile, und die stammt von einem Dialin.

Nun könnte man noch vermuten, daß der Ausgangs-Mailserver von Facebook undicht ist und Mails von außen für Empfänger außerhalb von Facebook annimmt. Aber dieser Server reagiert nicht auf die SMTP-Ports 25 und 587. Außerdem würde das heißen, daß der Dialin, der da offenbar als Zombie fungiert (also ein infizierter PC, dessen Benutzer nicht weiß, daß er für Spam etc. mißbraucht wird), ein vollwertiger Mailserver sein müßte. Zombies können üblicherweise nur Mail versenden, alles andere wäre zu aufwendig.

So nebenbei gibt es im Header noch eine interessante Zeile, die man bei einer echten Einladung von Facebook sicher nicht finden wird. Es wurde ein Return-Path gesetzt, das heißt, das empfangende Mailprogramm wird aufgefordert, Antworten direkt an eine andere Adresse zu schicken. Dieser Return-Path zeigt auf eine Adresse beim australischen Provider Telstra.

Der Betreff, so wurde ich mittlerweile von Alex Schestag aufgeklärt, ist auch nicht typisch für eine echte Facebook-Einladung. Er lautet nämlich „Your friend wants to share photos and updates with you“ (der ganze Mailtext ist englisch). Eine echte Facebook-Einladung wäre in deutsch und hätte den Betreff „XYZ lädt dich zu Facebook ein“, nichts mit sharing photos und so.

Und schließlich ist da noch der Anhang. Die Datei heißt in meinem Fall Your_Friend_New_photos-updates_id802566220.zip (32727 Bytes). Wenn ich diese gepackte Datei auspacke, kommt daraus eine Datei namens Your_Friend_New_photos-updates.jpeg.exe (58368 Bytes) hervor. Allein die Kombination aus .jpeg und .exe am Schluß stinkt schon nach Trojaner. Windows ist nämlich seit mindestens XP so eingestellt, daß Datei-Endungen standardmäßig ausgeblendet werden. Allerdings nur die letzte Datei-Endung: Der Benutzer sieht also ein .jpeg, ein Bild. Die meisten denken in dem Moment nicht daran, daß sie ja normalerweise gar keine Datei-Endungen sehen können. Das von Windows in der Anzeige abgeschnittene .exe sehen sie nicht. Das ändert nichts daran, daß die Datei ausgeführt wird, wenn man sie anklickt. Und da viele Windows-Nutzer mit Administrator-Rechten arbeiten, kann die Datei dann gleich voll ins System.

Ich habe die ausgepackte Datei mal bei VirusTotal eingekippt. Dort wurde sie von nur 6 von 42 Scannern erkannt, und zwar von zweien als W32/Falab.J.gen!Eldorado (CommTouch und F-Prot), von einem als W32/Androm.DW!tr (Fortinet), von einem als Worm:Win32/Gamarue.I (Microsoft) und von zwei weiteren allgemein als Trojaner (K7AntiVirus) bzw. als Backdoor (McAfee). Der Bekanntheitsgrad bei Virenscannern ist also noch nicht sehr hoch; es zählt mal wieder vor allem der Virenscanner zwischen den Ohren.

Microsoft sagt noch ein bißchen was zu Gamarue.I:

Worm:Win32/Gamarue.I is malware that may spread to other computers via removable drives. It also communicates with a remote server to report infection of your computer and to download arbitrary files.

Also: Gamarue.I ist eine Schadsoftware, die sich über externe Laufwerke verbreitet [die von einem PC zum anderen umgestöpselt werden] – und, wie wir gerade gelernt haben, auch über Spam-Mails. Das Programm kommuniziert mit einem Server, um die Infektion mitzuteilen, und ist in der Lage, weitere Dateien herunterzuladen. Hübsch, ne? Einmal eingenistet, kann er sich weitere Programmteile nachladen und dann auf dem infizierten Computer machen, was er bzw. sein Programmierer will.

Also: Augen auf bei Mails mit Anhängen, auch wenn sie scheinbar erstmal „echt“ aussehen!

History

Dieser Eintrag wurde am 30. August 2012 um 12:53 verfaßt und unter Datenschutz, Internet, Spam abgelegt. Sie können alle Antworten auf diesen Eintrag via RSS 2.0 verfolgen. Sie können zum Ende springen und einen Kommentar hinterlassen. Pingen ist derzeit nicht gestattet.

Schlagwörter: Schadsoftware