Abo
  • Services:
Anzeige
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Nachrichtenagentur: Nordkoreanische Webseite bietet Malware zum Download

Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Wer die Webseite der staatlichen nordkoreanischen Nachrichtenagentur besucht, könnte sich ganz offiziell einen Trojaner einfangen.

Anzeige

Neben Fotos von Kim Jung Un beim Besuch in nordkoreanischen Betrieben erhalten Besucher der Webseite der offiziellen Nachrichtenagentur Korean Central News Agency (KCNA) (sicherheitshalber hier nur der Link zum Wikipedia-Eintrag) des abgeschotteten Landes unter Umständen auch einen Trojaner. Das legt zumindest der Quellcode der Webseite nahe, die der IT-Sicherheitsforscher mit dem Beinamen InfoSecOtter analysiert hat. Aktuell ist die Webseite nur schwer erreichbar und funktioniert mit eingeschaltetem Noscript ohnehin nicht.

Im Stammverzeichnis der Webseite entdeckte InfoSecOtter die Datei mit dem vielsagenden Namen kcna.user.exploit.exploit.kcmsf. Dort gibt es eine Javascript-Variable mit dem Hinweis auf die Datei FlashPlayer10.zip, die ebenfalls in einem Downloadverzeichnis auf dem Webserver abgelegt ist. InfoSecOtter hat sie heruntergeladen und die beiden dort enthaltenen Dateien ActiveX.exe und Plugin.exe bei Virustotal analysieren lassen. Sie seien identisch und enthielten Windows-Trojaner. Die Entwickler der Malware haben den ursprünglichen Installer von Adobe auch so manipuliert, dass er mit Administratorrechten startet, statt wie üblich im Kontext des Benutzers.

Ehrlichkeit oder Übersetzungsfehler?

Die Dateien wurden in etwa zur gleichen Zeit erstellt wie die aktuelle Webseite selbst. Die meisten Dateien dort tragen einen Zeitstempel vom Dezember 2012. Der dort dynamisch generierte Code wird mit Hilfe von Skripten ausgeführt, die in dem Ordner siteFiles/exploit liegen. Der Name könnte möglicherweise aber nicht ein ehrlicher Hinweis der nordkoreanischen Programmierer der Webseite sein, sondern schlicht ein Übersetzungsfehler, resümiert InfoSecOtter. Denn das koreanische Verb gaebalhada (개발하다) lässt sich sowohl mit "to develop" als auch mit "to exploit" ins Englische übersetzen.

Es gibt in den standardmäßig aufgerufenen Webseiten jedoch keinen Code, der den Download der Malware auslösen könnte. Auch der Code, mit dem PDFs aus dem Archiv der staatlichen Nachrichtenagentur über die Webseite heruntergeladen werden können, sei sauber, schreibt der Sicherheitsexperte. Er weist aber darauf hin, dass die Javascript-Variable von dynamisch generierten Ajax- oder JQuery-Code genutzt werden könnte, etwa, wenn Benutzer die Webseite mit einem entsprechenden Browser oder Unterseiten mit bestimmten Informationen aufrufen.

InfoSecOtter will die Webseite weiter beobachten und vor allem herausfinden, was die Malware auf einem infizierten Rechner anstellt.


eye home zur Startseite
User_x 15. Jan 2015

wenn die dateien bei der prüfung 100%ig übereinstimmen, sind die doch dann einfach nur...

Bouncy 14. Jan 2015

In NK ist angeblich WinXP am verbreitetsten, das fragt nicht nach Adminrechten und führt...

Eckstein 14. Jan 2015

Darauf wartet er doch nur, damit er sie alle wegpwnen kann! ;-) http://40.media.tumblr...

Klitzklotsch 14. Jan 2015

Nö. Dateigröße ist anders, Hash demnach auch. https://www.virustotal.com/de/file...

nicoledos 14. Jan 2015

Koennten auch andere Dienste gewesen sein. Ein westlicher Dienst verteilt einen...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen
  2. SQS Software Quality Systems AG, Frankfurt, deutschlandweit
  3. über ACADEMIC WORK, München
  4. ROHDE & SCHWARZ GmbH & Co. KG, Chemnitz


Anzeige
Top-Angebote
  1. 219,00€ (Bestpreis!)
  2. (u. a. Gear VR 66,00€, Gear S3 277,00€)
  3. 189,90€ statt 222,90€

Folgen Sie uns
       


  1. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  2. Künstliche Intelligenz

    Alpha Go geht in Rente

  3. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  4. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  5. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  6. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  7. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  8. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  9. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant

  10. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: "Hass im Netz" klingt nach Zensur für mich

    Niaxa | 11:31

  2. Re: Akkuproblem noch viel schlimmer als bei PKW!

    megaseppl | 11:31

  3. flache, leichte Geräte für 600¤ ?

    pk_erchner | 11:29

  4. Der Staat soll das machen?

    1st1 | 11:28

  5. Re: Nicht nur O2. ALLE haben aktuell Probleme...

    chefin | 11:25


  1. 11:25

  2. 10:51

  3. 10:50

  4. 10:17

  5. 10:12

  6. 09:53

  7. 09:12

  8. 09:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel