Blogjoy.de

Seit Jahren hat kein Malware-Exemplar die Verschleierungstechniken EPO (Entry Point Obscuring) und Cavity benutzt. Doch nun entdeckten die Sicherheitslabore von Panda Security den neuen Virus Sality.AO.

In seinem Fall werden die speziellen Tarn-Mechanismen nicht mehr wie damals bei relativ harmlosen Angriffen eingesetzt. Jetzt dienen sie planmäßig als Hauptantriebsfeder der organisierten Internetkriminalität und rücken finanzielle Gewinne gezielt in den Vordergrund. Seit dem Fund am 5. Februar verzeichneten die Panda-Sicherheitsexperten einen auffälligen Anstieg der Infektionsraten von Sality.AO. Ein Ausbruch sei daher in naher Zukunft nicht auszuschließen und die Experten raten allen Anwendern dringend, ihre Sicherheitslösungen auf den aktuellen Stand zu bringen.

Neuer Virus mit alten Methoden
Frühere Internetangriffe hatten vornehmlich die gezielte Störung des Betriebsablaufes zur Folge. Dies wurde meist durch die Lahmlegung einzelner Computer-Anwendungen bewirkt. Hinter den Angriffen standen aber eher amateurhafte Viren-Programmierer, die sich für den wirtschaftlichen Faktor gar nicht vorrangig interessierten. Aus dieser Zeit stammen Verschleierungstechniken wie EPO und Cavity. EPO verdeckt seinen Schädling, indem ein Zeitfenster zwischen dem Ausnutzen der Sicherheitslücke und der Ausführung der eigentlichen Aktion entsteht. Die Methode Cavity kaschiert die schädliche Datei durch „blinde“ Codes, die unsichtbar in das original integriert werden. Die Manipulation ist daher nicht wie üblich anhand einer Datei-Vergrößerung zu identifizieren.

Solche Techniken sind weitaus komplexer als diese, die in der Regel als „Stangenware“ über automatische Malware-Tools angeboten werden. Viren, die auf diese Techniken zurückgreifen, werden „maßgeschneidert“ und setzen eine hervorragende Kenntnis der Schadcode-Programmierung voraus.

Sality.AO – Hybrid-Malware
Neben dem Wiedereinsatz früherer Methoden zeugt Sality.AO von Features, die den modernsten „Malware-Trends“ angepasst sind. Der Virus macht sich zum Beispiel nicht durch einen Komplett-Scan der Festplatte und einer anschließenden Massen-Infektion auf sich aufmerksam. Stattdessen infiziert er nur einige der vorhandenen und jede neu angelegte Datei mit seinem schädlichen Code. Weiter ist er in der Lage, sich mit dem IRC Server zu verbinden um Remote-Befehle ausüben zu können oder den infizierten PC in einem Zombie-Computer für weitere schädliche Aktionen (Spam-Versand, Malware-Verbreitung, Serviceverweigerung etc.) zu verwandeln. Zusätzlich wird der Virus nicht nur versuchen, weitere Dateien aus dem Internet zu laden um sich mit weiteren Schadcodes zu infizieren. Er wird auch versuchen, Webseiten mit iFrames zu manipulieren. Schon der einmalige Besuch einer solch geänderten Adresse lädt den Virus auf den jeweiligen Computer.

Sality.AO ordnen die Panda-Labore der Kategorie der so genannten Hybrid-Malware zu. Sie vereint die Funktionen von Trojanern und Viren in einer einzigen Schädlingsvariante. Die URLs, die diese Downloads verwenden, waren zum Zeitpunkt ihrer Entdeckung noch nicht aktiv. Weil die Zahl der Infektionen laut Panda Security bereits auf 15.000 befallene Computer (in insgesamt 31 Ländern) anstieg, fürchten die Experten, dass sie bald in Kraft treten können. „Durch modernste und ausgefeilte Technologien wie Panda Security’s Collective Intelligence können unsere Produkte sogar Low-Level-Attacken und die neuesten Malware-Techniken erkennen. Offenbar suchen Cyber-Kriminelle daher gezielt nach neuen Methoden und passen die alten Codes den neuen Anforderungen an“, stellt Luis Corrons, Direktor der Panda-Sicherheitslabore, besorgt fest.

Weitere Informationen unter: pandalabs.pandasecurity.com

Trend Micro warnt vor schädlichen Halloween-Seiten mit Computervirus: “Trick or Threat” – Vorsicht vor “Halloween-Scherzen” im Internet. Internetergebnisse bei der Suche nach “Halloween Costumes” führen z.B. auf eine manipulierte Webseite mit Viren.

Trend Micro warnt Anwender vor gefälschten Webseiten in Verbindung mit Halloween. Cyberkriminelle nutzen das saisonale Interesse und manipulieren Webseiten. Suchergebnisse nach “Halloween” oder damit verbundene Begriffe führen Anwender auf Schadseiten, die den als Sicherheitsprogramm “Antivirus 2009″ getarnten Trojaner verbreiten.

Besonders zu Halloween suchen viele Anwender über das Internet nach Kostümen und Dekorationen, um diesen Tag entsprechend zu feiern. Nach Forschungen von Trend Micro ist diese Suche aber nicht ungefährlich: Die Eingabe der Suchworte “Halloween” und “Costumes” in Suchmaschinen wurde durch Cyberkriminelle manipuliert. Manche Suchergebnisse führen den Anwender auf gefährliche Internetseiten, die sich als seriöse Anbieter tarnen.

Bei Besuch der Webseite startet ein für den Anwender unbemerkbares Javascript, welches mehrere Weiterleitungen auf die Schadseite veranlasst. Auf dem Bildschirm erscheint eine Dialogbox, die Nutzer dazu verleitet, eine vermeintliche Antivirensoftware herunter zu laden und zu installieren. Es handelt sich hierbei um das mehrfach durch Cyberkriminelle verbreitete “Antivirus 2009″, bei Trend Micro als Mal_FakeAV6 erkannt.

Bereits im vergangenen Jahr war die Malware-Szene ähnlich bei der Suche nach “Christmas Gift Shopping” aktiv. Trend Micro beobachtet verstärkt, dass besonders saisonale Themen gerne von Cyberkriminellen ausgenutzt werden, um Schadsoftware zu verbreiten. Das Schadprogramm “Antivirus 2009″ ist zudem in Zusammenhang mit Social-Networking-Webseiten vor mehreren Wochen aufgetreten. Anwendern rät Trend Micro daher zu besonderer Vorsicht.

Trend Micro Kunden sind bereits durch das Smart Protection Network geschützt, die entsprechenden URLs werden geblockt. Informationen zu aktuellen Sicherheitsbedrohungen sind im TrendLabs Malware Blog unter blog.trendmicro.com verfügbar.

Der französische Verlag AxBx gibt die Herausgabe der 2009-Versionen seiner Antivirensoftware VirusKeeper bekannt.

Im Gegensatz zu den meisten Antiviruslösungen, die sich hauptsächlich auf eine Liste bekannter Viren stützen, erkennt VirusKeeper Schadprogramme durch eine Verhaltensanalyse. Die exklusive Analysefunktion von VirusKeeper ist so in der Lage, Bedrohungen schnell aufzuspüren, ohne dass auf eine Aktualisierung gewartet werden muss.

Neben der Verhaltensanalyse führt VirusKeeper Pro auch eine Dateianalyse per Scan auf Grundlage der klassischen Signaturerkennung durch. Durch diese Kombination der verschiedenen Erkennungstechniken gewährleistet VirusKeeper Pro ein besonders hohes Schutzniveau.

Zwei Versionen des VirusKeeper 2009 stehen zur Verfügung:

- Die Version “Standard”, die über eine exklusive Echtzeitfunktion verfügt, die Viren, Spyware und Schadprogramme durch Verhaltensanalyse entlarvt. Diese Version kann sowohl allein als auch als Ergänzung eines klassischen Virenscanners verwendet werden.

- Die Version “Pro”, die eine Verhaltensanalysefunktion, klassische Scanner und zusätzliche Schutzfunktionen umfasst.

Der neue VirusKeeper 2009 Pro fasst in nur einem Programm die besten aktuell verfügbaren Schutztechnologien zusammen: Echtzeitschutzschild, Verhaltensanalyse, automatischer Scanner, klassische Antiviren-/Antispyware-/Antirootkit-Scanner, Schutz des Internetbrowsers, Schutz des Messengers, Schutz der wichtigen Systemdateien.

Die wichtigsten Neuheiten von VirusKeeper 2009 Pro:

- Eine neue Analysefunktion der 9. Generation zur Erkennung und Vernichtung der neuesten Formen aktueller Bedrohungen.
- Neue Schutzfunktion “Messenger Protect” zum Schutz in Echtzeit von Instant-Messaging-Dateien (Messenger) zur Erkennung/Vernichtung von “MSN-Würmern”, die sich über diesen Kanal verbreiten.
- Neue Schutzfunktion “Back Door Detect” zur automatischen Erkennung jeder Öffnung einer Backdoor durch bekannte oder unbekannte Trojaner oder Spyware.
- Neue Schutzfunktion NetWatch, mit der mit nur einem Klick alle Programme, die mit dem Netzwerk bzw. mit dem Internet eine Verbindung aufbauen, erkannt werden können und somit auch die zähesten Trojaner und Spionageprogramme enttarnt werden können.
- Neue Funktion zur Verwaltung von Cookies, um unerwünschte Cookies einfach identifizieren und löschen zu können.
- Neue grafische Benutzeroberfläche für eine leichte und schnelle Handhabung.

VirusKeeper 2009 Pro bietet einen Komplettschutz gegen aktuelle Bedrohungen: Viren, Würmer, Trojaner, Spyware, Malware, Dialer, Rootkits und Browserangriffe.

Die Standardversion des VirusKeeper 2009 wird zum Preis von 29,90 Euro inkl. MwSt. und die Proversion zum Preis von 49,90 Euro angeboten. Eine Lizenz für den VirusKeeper ermöglicht die Installation der Software auf 1, 2 oder 3 Computern.

VirusKeeper 2009 steht von nun an auf der offiziellen Website von Viruskeeper zum Verkauf zur Verfügung: viruskeeper.com

Update-Manager helfen, installierte Software aktuell zu halten und schließen so eventuelle Einfallstore für Kriminelle. Wer möglichst viele Gefahrenquellen ausschließen will, sollte mehrere dieser Tools parallel laufen lassen, rät das Computermagazin c’t in der aktuellen Ausgabe 19/08.

Viele populäre Programme wie Mozilla Firefox, Apple QuickTime, Adobe Reader und Flash verfügen schon über eigene Aktualisierungsfunktionen. Genervt von den ständigen Update-Meldungen haben aber viele User diese Funktion abgeschaltet. Dabei sind die neuen Software-Versionen durchaus wichtig. Mit den Updates werden in der Regel auch kritische Sicherheitslücken geschlossen, über die Angreifer aus dem Internet Zugriff auf den PC erlangen können.

Damit Anwender nicht mühsam manuell nach aktuellen Versionen suchen müssen, gibt es sogenannte Update-Manager. Diese kostenlosen Tools durchforsten die vorhandene Software auf dem PC und vergleichen die installierten Versionen mit den aktuell verfügbaren.

“Uneingeschränkt empfehlenswert ist keines der gestesteten Produkte”, urteilt c’t-Sicherheitsexperte Daniel Bachfeld. Der Secunia Personal Software Inspector beispielsweise legt seinen Fokus auf Sicherheit und vergleicht nicht nur die installierte und die verfügbare Version, sondern bezieht die Secunias Datenbank über Sicherheitslücken in Produkten mit ein. So kann Software durchaus veraltet sein, ohne dass sie ein Sicherheitsproblem darstellt. Bei der Bedienung überzeugte hingegen der FileHippo Update Checker, der die Ergebnisse übersichtlich im Browser darstellt und zudem über einen Update-Button verfügt, mit dem man ohne Umwege die neueste Version installieren kann. Allerdings erkennt dieses Tool nur die gängigsten Anwendungen. In punkto Erkennungsrate und Flexibilität hatte das Programm SUMo die Nase vorn, das bis zu 90.000 Anwendungen unterstützt.

“Am besten man kombiniert diese drei Produkte miteinander, dann ist man auf der sicheren Seite”, so c’t-Redakteur Daniel Bachfeld.

Bei Verdacht auf einen Schädling sollten sich PC-Besitzer nicht nur auf ihre installierte Antivirensoftware verlassen. Immer mehr Trojaner sind in der Lage, einmal eingedrungen, das Sicherheitssystem zu umgehen.

In diesen Fällen hilft eine garantiert virenfreie CD mit einem Notfallsystem wie Knoppicillin, das sich auf jedem PC an Stelle eines Windows direkt von der CD starten lässt, so das Computermagazin c’t in der aktuellen Ausgabe 26/07.

Wenn Windows plötzlich ein merkwürdiges Verhalten an den Tag legt, der Antivirenscanner womöglich gar nicht mehr läuft oder das Betriebssystem nicht richtig startet, können Schadprogramme am Werk sein. Dann wird es Zeit für Knoppicillin, ein Live-Linux-System, das eine ganze Reihe von hilfreichen Programmen mitbringt.

Als Erstes legt man die Knoppicillin-CD ein und lässt den Rechner von dieser CD neu starten. Anschließend kann man mit zwei Virenscannern den Rechner nach Schädlingen durchforsten. Beide bringen sich zuvor selbstverständlich übers Netz auf den neuesten Stand. Sollte der Internet-Zugang mit Knoppicillin Schwierigkeiten bereiten, lassen sich die aktuellen Updates der Scanner mit Hilfe der CD auch über Windows herunterladen und auf einen USB-Stick speichern.

Wenn Knoppicillin auf der Suche nach Schädlingen tatsächlich fündig geworden ist, hat der Anwender mehrere Möglichkeiten. Wer kein Risiko eingehen will, macht zunächst einen reinen Protokolldurchlauf, bei dem die Virenscanner im Read-Only-Modus arbeiten. Die Interpretation der Ergebnisse sollte man allerdings erfahrenen Anwendern überlassen. Bevor man gleich den Lösch-Modus wählt, bietet Knoppicillin mit dem Quarantäne- Modus den goldenen Mittelweg. Alle infizierten Dateien werden aus dem Weg geschafft, können jedoch später bei Bedarf wiederhergestellt, manuell desinfiziert oder vollständig gelöscht werden.

Neben der Schädlingsbekämpfung bietet Knoppicillin noch eine Reihe weitere Funktionen wie Analysesoftware für die Hardware und Datenrettungsprogramme. Knoppicillin befindet sich auf der Notfall-CD der aktuellen Ausgabe des Computermagazins c’t.

Weblink:
ctmagazin.de
heise.de/ct/07/26/098/