Abo
  • Services:
Anzeige
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Nachrichtenagentur: Nordkoreanische Webseite bietet Malware zum Download

Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Wer die Webseite der staatlichen nordkoreanischen Nachrichtenagentur besucht, könnte sich ganz offiziell einen Trojaner einfangen.

Anzeige

Neben Fotos von Kim Jung Un beim Besuch in nordkoreanischen Betrieben erhalten Besucher der Webseite der offiziellen Nachrichtenagentur Korean Central News Agency (KCNA) (sicherheitshalber hier nur der Link zum Wikipedia-Eintrag) des abgeschotteten Landes unter Umständen auch einen Trojaner. Das legt zumindest der Quellcode der Webseite nahe, die der IT-Sicherheitsforscher mit dem Beinamen InfoSecOtter analysiert hat. Aktuell ist die Webseite nur schwer erreichbar und funktioniert mit eingeschaltetem Noscript ohnehin nicht.

Im Stammverzeichnis der Webseite entdeckte InfoSecOtter die Datei mit dem vielsagenden Namen kcna.user.exploit.exploit.kcmsf. Dort gibt es eine Javascript-Variable mit dem Hinweis auf die Datei FlashPlayer10.zip, die ebenfalls in einem Downloadverzeichnis auf dem Webserver abgelegt ist. InfoSecOtter hat sie heruntergeladen und die beiden dort enthaltenen Dateien ActiveX.exe und Plugin.exe bei Virustotal analysieren lassen. Sie seien identisch und enthielten Windows-Trojaner. Die Entwickler der Malware haben den ursprünglichen Installer von Adobe auch so manipuliert, dass er mit Administratorrechten startet, statt wie üblich im Kontext des Benutzers.

Ehrlichkeit oder Übersetzungsfehler?

Die Dateien wurden in etwa zur gleichen Zeit erstellt wie die aktuelle Webseite selbst. Die meisten Dateien dort tragen einen Zeitstempel vom Dezember 2012. Der dort dynamisch generierte Code wird mit Hilfe von Skripten ausgeführt, die in dem Ordner siteFiles/exploit liegen. Der Name könnte möglicherweise aber nicht ein ehrlicher Hinweis der nordkoreanischen Programmierer der Webseite sein, sondern schlicht ein Übersetzungsfehler, resümiert InfoSecOtter. Denn das koreanische Verb gaebalhada (개발하다) lässt sich sowohl mit "to develop" als auch mit "to exploit" ins Englische übersetzen.

Es gibt in den standardmäßig aufgerufenen Webseiten jedoch keinen Code, der den Download der Malware auslösen könnte. Auch der Code, mit dem PDFs aus dem Archiv der staatlichen Nachrichtenagentur über die Webseite heruntergeladen werden können, sei sauber, schreibt der Sicherheitsexperte. Er weist aber darauf hin, dass die Javascript-Variable von dynamisch generierten Ajax- oder JQuery-Code genutzt werden könnte, etwa, wenn Benutzer die Webseite mit einem entsprechenden Browser oder Unterseiten mit bestimmten Informationen aufrufen.

InfoSecOtter will die Webseite weiter beobachten und vor allem herausfinden, was die Malware auf einem infizierten Rechner anstellt.


eye home zur Startseite
User_x 15. Jan 2015

wenn die dateien bei der prüfung 100%ig übereinstimmen, sind die doch dann einfach nur...

Bouncy 14. Jan 2015

In NK ist angeblich WinXP am verbreitetsten, das fragt nicht nach Adminrechten und führt...

Eckstein 14. Jan 2015

Darauf wartet er doch nur, damit er sie alle wegpwnen kann! ;-) http://40.media.tumblr...

Klitzklotsch 14. Jan 2015

Nö. Dateigröße ist anders, Hash demnach auch. https://www.virustotal.com/de/file...

nicoledos 14. Jan 2015

Koennten auch andere Dienste gewesen sein. Ein westlicher Dienst verteilt einen...



Anzeige

Stellenmarkt
  1. Capgemini Deutschland, verschiedene Standorte
  2. cyberTECHNOLOGIES über ACADEMIC WORK, München, Eching-Dietersheim
  3. RA Consulting GmbH, Bruchsal
  4. Dataport, Hamburg, Altenholz bei Kiel


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. GTA V PS4/XBO für 27,00€ und Fast & Furious 1-7 Box Blu...
  2. (u. a. Wolverine 1&2, Iron Man 1-3 und Avengers)
  3. (u. a. Total War: WARHAMMER 24,99€ und Rome: Total War Collection 2,75€)

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Ms MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C
  2. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen
  1. Cryogenic Memory Rambus arbeitet an tiefgekühltem Quantenspeicher
  2. Quantenphysik Im Kleinen spielt das Universum verrückt

Spielebranche: "Ungefähr jetzt ist der Prinzessin-Leia-Moment"
Spielebranche
"Ungefähr jetzt ist der Prinzessin-Leia-Moment"
  1. Electronic Arts "Alle unsere Studios haben VR-Programmiermöglichkeiten"
  2. Spielentwickler Männlich, 34 Jahre alt und unterbezahlt
  3. Let's Player Auf Youtube verkauft auch die Trashnight Spiele

  1. Re: gestern vdsl50 erstmals getestet

    neocron | 23:15

  2. Re: alternative Demokratie

    Niaxa | 23:07

  3. Re: Wie wärs mit öffentlichen Verkehrsmitteln?!

    Iomegan | 23:06

  4. Re: Und wohin mit den ganzen Leitungen?

    Buddhisto | 23:05

  5. Re: Nachfrage bestimmt Angebot!

    Lemo | 23:04


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel