Behandlung von (vorgeblichen) HQX-Archiven

Schorsch_de7743 · 9. November 2019 um 05:46

Servus,

mir ist heute eine infizierte Mail in die Hände gefallen, bei der ich nicht begreife, wie die Infektion des Empfängers vonstatten gehen soll. Die Mail enthält ein base64-codiertes Attachment mit dem Namen Attachments00.HQX (also scheinbar ein MAC-Archiv). Dieses Attachment decodiert wiederum stellt sich als uuencodierte Datei mit Namen Attachments,zip .SCR dar. Also offenkundig ein Virus, der von ClamAV auch prompt als Worm.VB-8 erkannt wird (bekannt seit 2006-01-17 09:49 +100, also ganz frisch auf dem Markt).

Es hat mich einigen Aufwand gekostet, den uuencodierten Anhang manuell in eine unter Windows ausführbare Datei zu decodieren. Mit den mir zugänglichen Mailclients unter Windows (Outlook, Thunderbird) sehe ich keinen Weg, wie dieser Wurm irgendwie aktiviert werden könnte. Ich sehe insbesondere keinen Weg, wie ein normaler Anwender sich mit diesem Virus infizieren sollte. Anders gesagt: Ich verstehe das Geschäftsmodell des Virenautors nicht.

Und dennoch ist dieser Virus offenbar in the wild. Bislang habe ich zwei Eingänge, einen aus Deutschland, den anderen von einer indischen Adresse. Kann irgendwer mir auf die Sprünge helfen, wie dieser Virus sich verbreitet (Ausser mit Hilfe von dummen und neugierigen Admins, die so lange manuell decodieren, bis sie sich versehentlich selbst infizieren)?

Gruss
Schorsch

Hinterw_ldler_37172f · 9. November 2019 um 05:47

Hallo Schorsch

Es hat mich einigen Aufwand gekostet, den uuencodierten Anhang
manuell in eine unter Windows ausführbare Datei zu decodieren.
Mit den mir zugänglichen Mailclients unter Windows (Outlook,
Thunderbird) sehe ich keinen Weg, wie dieser Wurm irgendwie
aktiviert werden könnte. Ich sehe insbesondere keinen Weg, wie
ein normaler Anwender sich mit diesem Virus infizieren sollte.
Anders gesagt: Ich verstehe das Geschäftsmodell des
Virenautors nicht.

Vermutung:
Mehrkomponenteware, die nicht für jeden bestimmt ist, sondern von einem mit Trojaner infizierten System angefordert, installiert und nun vom Wurm gleich weiter verbreitet wird. Wobei Anfordern und Installieren normal ist, das Weiterverbreiten ist aus meiner Sicht ein Designfehler.

Anderseits, wenn du http://www.heise.de/security/suche.shtml?T=Sch%E4dli… gelesen hast, dann weißt du auch, das da oft bei den Autoren derartiger Software etwas daneben geht. Nobody is perfect ))

Hast du deren Geschäftsmodelle überhaupt schon mal verstanden? Ich jedenfalls nicht und würde den grob-längsgestreifte Anzug immer in Griffweite haben!

Hast du das Prop schon mal hier diskutieren lassen: de.comp.security.virus

der hinterwäldler

Schorsch_de7743 · 9. November 2019 um 05:47

Vermutung:
Mehrkomponenteware, die nicht für jeden bestimmt ist, sondern
von einem mit Trojaner infizierten System angefordert,
installiert und nun vom Wurm gleich weiter verbreitet wird.
Wobei Anfordern und Installieren normal ist, das
Weiterverbreiten ist aus meiner Sicht ein Designfehler.

Inzwischen habe ich unter http://www.sophos.de/virusinfo/analyses/w32nyxemd.html weitere Informationen gefunden. Danach versendet der Wurm sich alternativ entweder als unter Windows unmittelbar ausführbare Datei oder aber als UU-codierten Anhang. Zwar enthält die Mail auch einen Anhang in html, der aber kein Javascript oder andere Mechanismen bereitstellt, den Schadanhang zu decodieren.

Ich nehme daher inzw. an, dass mangelhafte bzw. mangelhaft konfigurierte Mailclients wie z. B. ein ungepatcher Outlook Express Voraussetzung für die Aktivierung der UUcodierten Anhänge sind. Wo die in dieser Hinsicht viel gerühmte Vorschaufunktion dann zur Infektion führt.

Ich habe mittlerweile dummerweise die meisten Exemplare der inzw. recht zahlreichen Eingänge dieses Wurms weggeworfen, bei den noch vorhandenen Mails aber weist der Header tatsächlich auf eine Verbreitung durch OE hin:

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Anderseits, wenn du
http://www.heise.de/security/suche.shtml?T=Sch%E4dli…
gelesen hast, dann weißt du auch, das da oft bei den Autoren
derartiger Software etwas daneben geht. Nobody is perfect

-)))

In der Tat. Und wie sie schludern, die Autoren, Konzepte vorlegen, dass einem die Haare zu Berge stehen, selbst zunächst erfolgreiche Angriffe im letzten Moment noch gegen die Wand fahren…

Ich liebe es immer, ein Stück guter Handwerkskunst zu sehen, auch wenn dessen Einsatzzweck noch so heimtückisch, hinterhältig und raffiniert ist. Die Schadprogramm-Szene hat in dieser Hinsicht in letzter Zeit aber wenig erfreuliches zu bieten gehabt. Andererseits: Dass man auch mit grottenschlechter Software sehr gute Geschäfte machen kann, haben ‚legitime‘ Programmierer ihnen zahlreich vorgemacht.

Gruss
Schorsch

Stefan_Schustereit · 9. November 2019 um 05:47

Die Mail enthält ein base64-codiertes
Attachment mit dem Namen Attachments00.HQX (also scheinbar ein
MAC-Archiv).

Nein, das ist kein Archiv, so wie es zip oder tar herstellt, sondern
nur eine Umkodierung, wie es uucode oder mimencode macht. Kommt halt
kein uucode oder mime heraus, sondern halt das auf dem Mac bekannte
Binhex-Format (bekannt denen, die noch die alten Betriebssysteme bis
OS9 kannte, es stirbt jetzt langsam aus).

Dieses Format konnten früher die Windows-Mailprogramme wie Outlook
oder auch Pegasus-Mail behandeln, um einen Austausch von
Binärformaten zwischen Mac und PC zu gewährleisten. Möglicherweise
können die Programme das heute noch (ich selbst würde jedenfalls
davon ausgehen).

Dieses Attachment decodiert wiederum stellt sich
als uuencodierte Datei mit Namen
Attachments,zip .SCR dar. Also offenkundig ein
Virus, der von ClamAV auch prompt als Worm.VB-8 erkannt wird
(bekannt seit 2006-01-17 09:49 +100, also ganz frisch auf dem
Markt).

Für den Mac scheint er also nicht zu sein.

Es hat mich einigen Aufwand gekostet, den uuencodierten Anhang
manuell in eine unter Windows ausführbare Datei zu decodieren.

Das sollte out-of-the-box das Programm Stuffit Expander können, das
es in kostenloser Form auch für Linux und Windows gibt
(http://www.stuffit.com). Stuffit ist/war der Standardpacker für die
Macs, aber auch er geht nun langsam den Weg alles Irdischen.

Mit den mir zugänglichen Mailclients unter Windows (Outlook,
Thunderbird) sehe ich keinen Weg, wie dieser Wurm irgendwie
aktiviert werden könnte.

Das ist interessant. Früher war das kein Problem.

Gruß,
Stefan

Schorsch_de7743 · 9. November 2019 um 05:48

Dieses Format konnten früher die Windows-Mailprogramme wie
Outlook
oder auch Pegasus-Mail behandeln, um einen Austausch von
Binärformaten zwischen Mac und PC zu gewährleisten.
Möglicherweise
können die Programme das heute noch (ich selbst würde
jedenfalls
davon ausgehen).

Wenn der Anhang tatsächlich im HQX-Format vorläge. Was ja aber nicht der Fall ist, vielmehr wird dieses Format nur vorgetäuscht. Allerdings offenbar tatsächlich mit dem Ziel, den Client dazu zu bringen, seine Decodierungs-Algorithmen in Gang zu setzen. Und dabei könnte es für einige Clients wohl völlig unerheblich sein, welche Codierung tatsächlich gewählt wurde.

Wenn es aber Mailclients unter Windows gibt, die mit diesem Format etwas anfangen können, ist natürlich der geplante Infektionsweg geklärt und meine Frage somit beantwortet. Mir war HQX bislang halt gänzlich unbekannt, genauso wie meinen Mailclients.

Es hat mich einigen Aufwand gekostet, den uuencodierten Anhang
manuell in eine unter Windows ausführbare Datei zu decodieren.

Das sollte out-of-the-box das Programm Stuffit Expander
können, das
es in kostenloser Form auch für Linux und Windows gibt
(http://www.stuffit.com). Stuffit ist/war der Standardpacker
für die
Macs, aber auch er geht nun langsam den Weg alles Irdischen.

Unter der Voraussetzung, dass der Anwender (oder sein BS) weiss, worum es sich bei diesem Dateiformat handelt und wenn Stuffit ohne Berücksichtigung der Namenserweiterung das Format korrekt erkennt, wäre der Aufwand tatsächlich gering. Ansonsten aber muss die Datei zunächst in einem geeigneten Editor geöffnet werden, um festzustellen, wie die Daten wirklich codiert sind (was natürlich ein gewisses Wissen voraussetzt) und dann ein passendes Decodierungsprogramm gefunden werden. Das ist es, was ich mit ‚einigem Aufwand‘ meinte; eine Sache von nur ein paar Sekunden zwar, aber doch so komplex, dass die meisten Anwender daran scheitern dürften.

Mit den mir zugänglichen Mailclients unter Windows (Outlook,
Thunderbird) sehe ich keinen Weg, wie dieser Wurm irgendwie
aktiviert werden könnte.

Das ist interessant. Früher war das kein Problem.

Hmm, ich hab auf einem w2k3-Server sogar noch ein Outlook Express gefunden. Habe mich nach reiflicher Überlegung aber dann doch gegen einen Test entschieden.

Gruss
Schorsch

Hinterw_ldler_37172f · 9. November 2019 um 05:48

Hallo Schorsch

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Das finde ich lustig, Ich habe mal meinen „ausgepackt“ (unter Meckerei von M$) und da steht im About:
Version 6.00.2900.2180
Einige DLLs haben eine noch höhere Versionsnummer. Damit dürfte Stefan mit seiner These recht haben und alles andere kann davon abgeleitet werden.

Ich liebe es immer, ein Stück guter Handwerkskunst zu sehen,
[…]
haben ‚legitime‘ Programmierer ihnen zahlreich vorgemacht.

vielleicht sollten wir hier und dort mal paar helfende Kritiken schreiben hahahah

der hinterwäldler

A_J_4b7c14 · 9. November 2019 um 05:52

Auch Servus,

seit 2 Tagen kommt das Zeugs auch bei uns an. Unser eSafe erkennt das Attachent als: Attachments00.HQX Infected with Win32.Blackmal.e

cu
A.J.