Trackback-Spam: Taxonomie eines Trojaner-Unterjublers

+++ Vorsicht Blog-Betreiber: Phishing-Trojaner via Trackback-Spam +++
Seit gestern Nacht wurden wir in unserem Weblog mit Trackback-Spam überschüttet, der Spammer "befeuerte" allerdings nur einen einzigen Beitrag. Die Links zu den Remote-Einträgen verwiesen fast ausschliesslich auf chinesiche Domains und waren im Namen des verweisenden Weblogs, bzw. des Posters untergebracht.

Wir dachten zunächst, es handle sich dabei um "handelsübliche" chinesische Spammer und waren damit befasst, die Methodik des Netzbeschmutzers zu analysieren, um dagegen grundsätzlich vorgehen zu können (Löschen der einzelnen Beiträge hätte wenig gebracht, denn das wäre keine endgülige Lösung gewesen).
Seine Vorgehensweise: Er setzte seine Trackbacks von Hunderten verschiedenen IPs ab, die URLs, auf die seine "Beiträge" verwiesen, lagen ebenfalls auf viele verschiedene IPs (wiederum andere, als die IPs von denen aus Trackbacks abgesetzt wurden). Der Weblog-Beitrag, der befeuert wurde, war innerhalb der von ihm hinterlassenen URLs selbstredend nicht verlinkt, doch dazu später. Es galt, den Schmutzfink möglichst schnell kaltzustellen und ähnlich geartete Spamversuche, für die Zukunft grundsätzlich zu unterbinden. Dabei war Performance des Weblogs ein wichtiger Punkt, übliche Lösungen die bei Load den Server belasten, kamen nicht in Frage - zudem unser Weblog eine individuelle Software ist, für die man sich nicht "mal eben" einen Spam-Plugin downloaden und installieren kann. Lange Rede, kurzer Sinn: Innerhalb kurzer Zeit, haben wir diese (und gleich geartete) Spamversuche unterbunden, wer sich für die technische Ausführung interessiert, kann mit uns via Kontaktformular Verbindung aufnehmen, gerne geben wir unser diesbezügliches Wissen weiter.

Weitaus interessanter - wenn auch für uns zunächst zweitrangig - war der Inhalt der von dieser armseligen Kreatur in den Trackbacks beworbenen URLs: mit dem Muster pornobegriff1-irgendetwas-pornobegriff2-nochwas.cn/index.html stellten sich diese alsbald als Downloadseiten für einen angeblichen Video-Codec heraus, mittels dessen, entsprechende Videos in voller Qualität betrachtet werden könnten:

Der Download der hierzu benötigten Setup.exe sollte von der Seite bcnproduction.com erfolgen, ein direkter Aufruf dieser Seite wurde - wie nicht anders zu erwarten - mit einem Error 403 (Forbidden) quittiert. Eine kurze Recherche brachte Erstaunliches hervor, bcnproduction.com ist als Trojaner-Unterjubler bestens bekannt, die vermeintliche Codec-Software entpuppte sich mehrfach als gefährlicher Trojaner, der unter anderem, die DNS-Einstellungen des befallenen Rechners ändert. So ein Zufall aber auch: nur wenige Tage nachdem wir über einen Phishing-Trojaner für Mac-Nutzer berichtet hatten, versuchen Kriminelle, entsprechenden Phishing-Müll mittels Trackback-Spam über unser Weblog an den Mann zu bringen.

Bcnproduction.com hatte laut McAfee SiteAdvisor bisher seine Malware über die Bewerbung entsprechender URLs in Spam-Mails verbreitet, die Masche mit den Trackbacks ist scheinbar neu und baut offensichtlich darauf, dass Blogbesucher, aus Neugier auf die URLs klicken und unwissend die vermeintliche Codec-Software downloaden. Blogbetreiber sollten in diesen Tagen unbedingt auf ihre Trackbacks achten, man sollte sich nicht zum Handlanger krimineller Machenschaften degradieren lassen.
Es gilt zu bedenken: Noch wird der Trojaner mittels Porno-URLs verbreitet, erfahrungsgemäß ist es lediglich eine Frage der Zeit, bis dies mit "harmlosen" Themen (z.B. Lifestyle, Mode, etc.) bzw. URLs erfolgen wird!

Was kann man als Blogbetreiber dagegen unternehmen?
Als Blogbetreiber hat man eine Verantwortung für die Sicherheit der angebotenen Inhalten und sollte alles technisch Machbare anstrengen, um diesbezüglichen Schaden von seinen Besuchern abzuwenden. In diesem konkreten Fall, empfiehlt es sich

• Alle Trackbacks zunächst auf Moderationsmodus umzustellen; gängige Weblog-Systeme erlauben dies fast ausnahmslos. Nachteil: Das manuelle Anklicken der hinterlassenen URLs inklusive flüchige Überprüfung der dort dargebotenen Inhalte ist in gut besuchten Blogs mi erheblichem Zeitaufwand verbunden
• Technisch versierte Blogbetreiber aus dem deutschsprachigen Raum können Trackbacks mit Verweis auf Hosts von ausserhalb des deutschsprachigen Raums per Regular Expression unterbinden - alles ausser .de,.at,.ch, etc. Es gibt im deutschsprachigen Raum kaum derartige Angebote und stringente Vorschriften zu den Angaben des Domaininhabers (meist registrieren Malware-Unterjubler ihre Domains anonym oder auf Inselstaaten mit entsprechender Host)
• Vorsicht: Die Trackback-Links mit rel="nofollow" zu versehen ist sinnlos, die Links bleiben trotzdem für den Besucher anklickbar und führen diesen nach wie vor zur Downloadseite der Malware