Offene Proxies · Mai 25, 06:04 pm

Es gibt genügend freie Proxies im Netz, die sogar noch Port-Weiterleitungen auf SMTP Port 25 unterstützen.

Ein Paradies für Spammer, was dann ungefähr so aussieht:

$ telnet $OpenProxy $ProxyPort

Und los kann’s gehen, mit dem Spam. Genaueres kann man sicher in den HTTP Specs nachlesen.

So weit, so schlecht. Bislang waren diese Mailproxies ja mehr oder weniger statisch. Aber genau das ändert sich momentan.

Wer einmal
http://www.lurhq.com/sobig.htm
http://vil.mcafee.com/dispVirus.asp?virus_k=100249
http://www.securityfocus.com/news/4217

gelesen hat, kann die kommende Katastrophe ahnen. Es werden gezielt Würmer in Umlauf gesetzt, deren Hauptzweck ist, neue Proxies auf Rechners einzurichten, deren Besitzer nicht einmal “Admin” genannt werden können. Lässt man per Complaint einen schließen, findet $Spammer sogleich zwei neue, die durch ihre Ahnungslosigkeit ein neues Scheunentor geöffnet haben.

Die Hydra des Internetzeitalters erhebt ihr grässliches Haupt.

Nachdem man auf Sobig allmählich aufmerksam geworden war und die Virenscanner, sofern sie einigermaßen up to date gehalten werden, den Wurm regelmäßig blockieren, ist vor ein paar Tagen (offiziell am 18. Mai) ein neuer Wurm aufgetaucht, der je nach AntiVirenSoftwareHersteller mal Palyh, mal Mankx, mal Sobig.B heißt (letzteres sagt F-Prot), und einige Züge von Sobig an sich hat (vor allem die Größe), und Gibe.B’s Methode des Social Engineering benutzt, indem er sich als “Microsoft Patch” verkleidet.

Dieser Wurm erzeugt im System eine Datei “msccn32.exe”; wer diese Datei bei sich findet, dessen Rechner ist also schon infiziert. Der Wurm lädt Dateien nach, um sich (u.a.) upzudaten; was die Dateien von vier verschiedenen hart einkodierten Webseiten bewirken sollen, ist derzeit noch unklar.

Ich fürchte, dass diese Methode sich zur Normalität entwickeln wird, und jeder Benutzer eines Windows sich ungewollt einen zum Mailserver umfunktionierten Rechner “holen” kann.

Vor allem, weil man sich bei Windows XP nur unter Verrenkungen als “Gast” ins Internet einwählen kann (der Admin muss schon einmal zuvor einen Besuch im Internet gemacht haben), so dass viele XPhome-Nutzer schon aus diesem Grund sich wieder als Admin einwählen werden, und Würmer leichtes Spiel haben werden. Interessant genug aufgemacht, wird Otto Normaluser aus Neugier draufklicken; und $Spammer hat seinen kostenlosen Mailproxy frei Haus.

Auch wenn diese Methode zu Recht umstritten ist, aber wenn es so weiter geht, werden Mailserverbetreiber aus reiner Notwehr dazu übergehen müssen, DialUp-Einlieferer zu blocken, weil die Wahrscheinlichkeit einfach zu hoch ist, dass die Kiste sich nur deswegen bei einem fremden Mailserver meldet, weil sie Spam schleudern soll.

(schauder)

* * *

Dubium Sapientiae Initium - Zweifel ist der Weisheit Anfang. (Rene Descartes)