Blogjoy.de

Seit Jahren hat kein Malware-Exemplar die Verschleierungstechniken EPO (Entry Point Obscuring) und Cavity benutzt. Doch nun entdeckten die Sicherheitslabore von Panda Security den neuen Virus Sality.AO.

In seinem Fall werden die speziellen Tarn-Mechanismen nicht mehr wie damals bei relativ harmlosen Angriffen eingesetzt. Jetzt dienen sie planmäßig als Hauptantriebsfeder der organisierten Internetkriminalität und rücken finanzielle Gewinne gezielt in den Vordergrund. Seit dem Fund am 5. Februar verzeichneten die Panda-Sicherheitsexperten einen auffälligen Anstieg der Infektionsraten von Sality.AO. Ein Ausbruch sei daher in naher Zukunft nicht auszuschließen und die Experten raten allen Anwendern dringend, ihre Sicherheitslösungen auf den aktuellen Stand zu bringen.

Neuer Virus mit alten Methoden
Frühere Internetangriffe hatten vornehmlich die gezielte Störung des Betriebsablaufes zur Folge. Dies wurde meist durch die Lahmlegung einzelner Computer-Anwendungen bewirkt. Hinter den Angriffen standen aber eher amateurhafte Viren-Programmierer, die sich für den wirtschaftlichen Faktor gar nicht vorrangig interessierten. Aus dieser Zeit stammen Verschleierungstechniken wie EPO und Cavity. EPO verdeckt seinen Schädling, indem ein Zeitfenster zwischen dem Ausnutzen der Sicherheitslücke und der Ausführung der eigentlichen Aktion entsteht. Die Methode Cavity kaschiert die schädliche Datei durch „blinde“ Codes, die unsichtbar in das original integriert werden. Die Manipulation ist daher nicht wie üblich anhand einer Datei-Vergrößerung zu identifizieren.

Solche Techniken sind weitaus komplexer als diese, die in der Regel als „Stangenware“ über automatische Malware-Tools angeboten werden. Viren, die auf diese Techniken zurückgreifen, werden „maßgeschneidert“ und setzen eine hervorragende Kenntnis der Schadcode-Programmierung voraus.

Sality.AO – Hybrid-Malware
Neben dem Wiedereinsatz früherer Methoden zeugt Sality.AO von Features, die den modernsten „Malware-Trends“ angepasst sind. Der Virus macht sich zum Beispiel nicht durch einen Komplett-Scan der Festplatte und einer anschließenden Massen-Infektion auf sich aufmerksam. Stattdessen infiziert er nur einige der vorhandenen und jede neu angelegte Datei mit seinem schädlichen Code. Weiter ist er in der Lage, sich mit dem IRC Server zu verbinden um Remote-Befehle ausüben zu können oder den infizierten PC in einem Zombie-Computer für weitere schädliche Aktionen (Spam-Versand, Malware-Verbreitung, Serviceverweigerung etc.) zu verwandeln. Zusätzlich wird der Virus nicht nur versuchen, weitere Dateien aus dem Internet zu laden um sich mit weiteren Schadcodes zu infizieren. Er wird auch versuchen, Webseiten mit iFrames zu manipulieren. Schon der einmalige Besuch einer solch geänderten Adresse lädt den Virus auf den jeweiligen Computer.

Sality.AO ordnen die Panda-Labore der Kategorie der so genannten Hybrid-Malware zu. Sie vereint die Funktionen von Trojanern und Viren in einer einzigen Schädlingsvariante. Die URLs, die diese Downloads verwenden, waren zum Zeitpunkt ihrer Entdeckung noch nicht aktiv. Weil die Zahl der Infektionen laut Panda Security bereits auf 15.000 befallene Computer (in insgesamt 31 Ländern) anstieg, fürchten die Experten, dass sie bald in Kraft treten können. „Durch modernste und ausgefeilte Technologien wie Panda Security’s Collective Intelligence können unsere Produkte sogar Low-Level-Attacken und die neuesten Malware-Techniken erkennen. Offenbar suchen Cyber-Kriminelle daher gezielt nach neuen Methoden und passen die alten Codes den neuen Anforderungen an“, stellt Luis Corrons, Direktor der Panda-Sicherheitslabore, besorgt fest.

Weitere Informationen unter: pandalabs.pandasecurity.com

Familiengeschichten von “Brangelina”, Skandale von Paris Hilton, Abstürze und Neubeginne von Britney Spears – das Internet versorgt uns täglich mit den neuesten Gerüchten! Doch vom starken Interesse am Leben der Hollywood-Stars profitieren nicht nur die Medien. Auch Online-Kriminelle wissen um unser aller Portion Neugier am Klatsch und Tratsch über Stars und Sternchen.

Daher setzten sie aktuelle News beliebter Schauspieler, Musiker und Co. beim Spam-Versand erfolgreich als Neugier weckende Betreffzeilen ein. Pünktlich zur diesjährigen Oscar-Verleihung veröffentlicht Panda Security seine Celebrity Study 2008 und präsentiert die Top Ten der Persönlichkeiten, die einen Oscar für den besten “Malware-Lockvogel” verdient hätten.

Im Rahmen der Celebrity Study 2008 untersuchte Panda Security weltweit Spam-Mails. Weniger als 4% aller empfangenen Mail sind heutzutage erwünscht, beziehungsweise regulär. Über 96% aller elektronischen Nachrichten bestehen aus unerwünschten Spam-Mails, deren Links oder Anhänge den Empfänger mit Malware infizieren sollen. Mit interessante Betreffzeilen versuchen die Internet-Betrüger, die Empfänger zum Öffnen der Mails und zum Download/Anklicken der verseuchten Dateien/Links zu animieren. Auf der Liste der effektivsten “Köder” rangieren die neuesten Promi-Geschichten an erster Stelle. Die Ergebnisse der Studie belegen, dass Namen von Hollwood-Schauspielern am häufigsten in den Betreffzeilen der Spam-Mails des vergangenen Jahres erschienen. Brad Pitt und Tom Cruise stehen als erfolgreiche “Lockvögel” deutlich an der Spitze und zeichnen sich für fast einen Viertel der schädlichen Emails über vermeintliche Promi-News verantwortlich. Auch Angelina Jolie (Platz 4), Lindsay Lohan (Platz 5), Jessica Alba (Platz 7) und Jennifer Aniston (Platz 10) eignen sich hervorragend dazu, die Empfänger zum Klick auf den beworbenen Link oder zum Download der angepriesenen Datei zu verleiten. Doch nicht nur Schauspieler, sondern auch Musiker werden bei Online-Kriminellen heiß gehandelt. So stehen zum Beispiel Britney Spears auf Platz 3 und Lindsay Lohan auf Platz 5 der Rangliste der meist versendeten Promi-Mailings. Dass die millionenschwere Hotel-Erbin Hilton mit ihren ständigen Skandalen immer wieder für spannende, virtuelle Schlagzeilen sorgt, kommt den Online-Kriminellen beim Spam-Versand ebenfalls zugute. So nimmt sie mit einem Anteil von über sechs Prozent Platz 9 der Oscar verdächtigen Malware- Lockvögel ein.

Häufige Promi-Namen in Spam-Mails:
Celebrity %
Brad Pitt 12.57
Tom Cruise 12.14
Britney Spears 12.01
Angelina Jolie 11.62
Lindsay Lohan 10.15
American Idol 9.79
Jessica Alba 9.52
Oprah Winfrey 8.08
Paris Hilton 6.64
Jennifer Aniston 5.14
Andere 2.34

Christina Aguilera, Barack Obama, Lewis Hamilton, Tiger Woods, Rihanna, Shakira, Madonna, Scarlett Johansson und Fidel Castro sind nur einige der vielen, berühmten Namen, die im vergangenen Jahr ebenfalls ein- oder mehrere Male beim Spam-Versand eine “Oscar-Nominierung” verdient hätten.

So lauten typische Betreffzeilen der Spam-Mails, die mit prominenten Persönlichkeiten locken:
“Angelina Jolie nude”
“Britney Spears hot images”
“Rihanna exposed”
“Scarlett Johansson spills boobs”.

Weblinks:
pandalabs.com
flickr.com

Trend Micro warnt vor schädlichen Halloween-Seiten mit Computervirus: “Trick or Threat” – Vorsicht vor “Halloween-Scherzen” im Internet. Internetergebnisse bei der Suche nach “Halloween Costumes” führen z.B. auf eine manipulierte Webseite mit Viren.

Trend Micro warnt Anwender vor gefälschten Webseiten in Verbindung mit Halloween. Cyberkriminelle nutzen das saisonale Interesse und manipulieren Webseiten. Suchergebnisse nach “Halloween” oder damit verbundene Begriffe führen Anwender auf Schadseiten, die den als Sicherheitsprogramm “Antivirus 2009″ getarnten Trojaner verbreiten.

Besonders zu Halloween suchen viele Anwender über das Internet nach Kostümen und Dekorationen, um diesen Tag entsprechend zu feiern. Nach Forschungen von Trend Micro ist diese Suche aber nicht ungefährlich: Die Eingabe der Suchworte “Halloween” und “Costumes” in Suchmaschinen wurde durch Cyberkriminelle manipuliert. Manche Suchergebnisse führen den Anwender auf gefährliche Internetseiten, die sich als seriöse Anbieter tarnen.

Bei Besuch der Webseite startet ein für den Anwender unbemerkbares Javascript, welches mehrere Weiterleitungen auf die Schadseite veranlasst. Auf dem Bildschirm erscheint eine Dialogbox, die Nutzer dazu verleitet, eine vermeintliche Antivirensoftware herunter zu laden und zu installieren. Es handelt sich hierbei um das mehrfach durch Cyberkriminelle verbreitete “Antivirus 2009″, bei Trend Micro als Mal_FakeAV6 erkannt.

Bereits im vergangenen Jahr war die Malware-Szene ähnlich bei der Suche nach “Christmas Gift Shopping” aktiv. Trend Micro beobachtet verstärkt, dass besonders saisonale Themen gerne von Cyberkriminellen ausgenutzt werden, um Schadsoftware zu verbreiten. Das Schadprogramm “Antivirus 2009″ ist zudem in Zusammenhang mit Social-Networking-Webseiten vor mehreren Wochen aufgetreten. Anwendern rät Trend Micro daher zu besonderer Vorsicht.

Trend Micro Kunden sind bereits durch das Smart Protection Network geschützt, die entsprechenden URLs werden geblockt. Informationen zu aktuellen Sicherheitsbedrohungen sind im TrendLabs Malware Blog unter blog.trendmicro.com verfügbar.

Experten von Kaspersky Lab stießen im zurückliegenden Vierteljahr bei der Analyse des Verschlüsselungs-Trojaners Gpcode.ai auf interessante Parallelen zwischen einer Vielzahl von Schadprogrammen. Der Trojaner basiert auf einer Art “Universalcode”, der in verschiedenen Varianten in Trojan-Downloaders, Trojan-Spys und Backdoors vorkommt.

Diese Entdeckung und weitere Beobachtungen aus den vergangenen drei Monaten können im Quartalsbericht “Malware-Bedrohungen im dritten Quartal” auf viruslist.de nachgelesen werden.

Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky Lab auf mehrere Indizien, darunter den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit dem Gpcode seine Anwesenheit im Arbeitsspeicher markiert. Als die Experten ihre umfangreiche Virenkollektion nach dieser Zeile durchsuchten, war das Ergebnis mehr als überraschend: Sie tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören. Die Stichproben hatten jedoch noch mehr Gemeinsamkeiten. So installieren sie zahlreiche Dateien, modifizieren Windows-Ordner und stimmen auch zu mehr als 80 Prozent im Programmcode überein.

Die Antiviren-Experten waren damit auf eine Art “Universalcode” gestoßen, der sich vielseitig einsetzen lässt. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem “Universalcode” ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.

Im nächsten Schritt analysierte Kaspersky Lab die im Universalcode enthaltenen Links anhand zahlreicher aktueller Malware-Versionen. Wie die Recherchen ergaben, besteht zwischen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Nun galt es, den Programmierer des “Universalcodes” zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht.

Mit ZeuS war der Urheber der Schädlinge bald gefunden. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen http-Proxy-Server. Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_. Sämtliche Versionen der Malware fasste Kaspersky Lab daraufhin zu einer eigenständigen Familie namens Zbot zusammen.

Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Es handelt sich also tatsächlich um einen “universellen” Code, dessen Flexibilität ihn besonders gefährlich macht. Ebenso wie auch bei Gpcode.ai lässt sich jede neue Ausgabe mit einer völlig anderen Funktionalität ausstatten. Wie beliebt der Schädling damit in der russischen Cyberkriminellen-Szene war, zeigt die Anzahl der Botnetze, die auf seine Technik setzte. Diese basierte dabei auf der Kombination aus Zupacha und ZeuS mit Zunker als Steuerzentrale. Eines der größten Zunker-Botnetze umfasste mehr als 106.000 Rechner und wuchs täglich um mehr als 1500 Maschinen, bevor es entdeckt wurde. Die rasante Verbreitung von Zupacha resultiert auch aus seiner einfachen Konfiguration.

Kaum ist das Apple iPhone im Handel erhältlich, sehen bereits einige Security-Unternehmen eine Virenwelle apokalyptischen Ausmaßes heranrollen.

Die Experten der G DATA Security Labs nahmen die aktuelle Gefahr für iPhone und Symbian-Smartphones einmal genau unter die Lupe. Das beruhigende Ergebnis: Das propagierte Gefahrenpotential ist verschwindend gering. Für die Malware-Industrie sind Smartphones de facto keine lohnenden Ziele. Für die verbreitetste Smartphone-Plattform Symbian haben die G DATA Experten in den vergangenen 12 Monaten nicht mehr als 23 neue Schadprogramme ausmachen können. Für die Entdeckung der gleichen Anzahl Windows-basierter Schädlinge vergehen gerade einmal 2,5 Stunden. Nach Einschätzung von G DATA Vorstand Dr. Dirk Hochstrate verunsichern einige Security-Hersteller Smartphone-Besitzer bewußt, um die Verbreitung ihrer Mobile-Security-Lösungen voranzutreiben.

Es ist nicht von der Hand zu weisen, dass Online-Kriminelle stets auf der Suche nach neuen Einnahmequellen sind. Smartphones sind jedoch nach Einschätzung von G DATA entgegen anderslautender Meldungen weiterhin nicht lukrativ für Cyber-Kriminelle. Der Aufwand für professionelle Malware-Autoren steht nach eingehenden Analysen der G DATA Security Labs in keinem Verhältnis zu möglichen Gewinnen. Ein weiterer Punkt, der Smartphone-Besitzer aufatmen lässt: Die massenhafte Verbreitung von Schadsoftware, ist selbst bei Symbian technisch kaum zu bewerkstelligen, da Bluetooth sich für eine schnelle Verbreitung von Schadcode nicht eignet. MMS ist zwar als Träger von Schadcode denkbar, aber der Installationsprozess erfordert entsprechende Nutzer-aktion. Viele Smartphone-Nutzer sind misstrauisch genug, nicht auf die von E-Mails bekannten Tricks hereinzufallen. Käufer des iPhones brauchen sich um MMS als Einfallstor keine Sorgen zu machen, da das iPhone keine MMS-Funktionen enthält.

Dr. Dirk Hochstrate, Vorstand G DATA Software AG: “Den medialen Hype um Apples Handy-Legende nutzen einige Security-Anbieter offensichtlich für eine recht unfundierte Stimmungsmache. Selbst wenn Apple seine Absatzziele erreicht und bis Ende 2008 weltweit 10 Millionen iPhones verkauft, liegt deren Marktanteil bei gerade einmal einem Prozent. Dies entspricht einem Verhältnis von Symbian-Geräten zu iPhone von 10:1. Das iPhone als eine begehrte Plattform für Malware-Autoren zu propagieren ist vor diesem Hintergrund sehr unwahrscheinlich. Zum jetzigen Zeitpunkt von einer realen Gefahr zu sprechen, halten wir für marktpolitisch begründete Panikmache. Es ist offensichtlich, dass einzelne Security-Hersteller lediglich Nischenmärkte frühzeitig besetzen wollen.”

Eine theoretische Gefahr für iPhone-Besitzer besteht durch Drive-by-Infektionen infizierter Webseiten oder beim Surfen in schädlichen WLANs. Dennoch: Die große iPhone-Virenwelle wird auf absehbare Zeit ausbleiben, davon ist auch Ralf Benzmüller, Leiter der G DATA Security Labs überzeugt.

“Die Malware-Industrie wird sicherlich Möglichkeiten des iPhones ausloten. Es ist mit sogenannten “Proof of Concept Viren” zu rechnen. Mit diesen Test-Viren wollen Malware-Autoren zeigen, dass es technisch möglich ist, iPhone-Viren zu entwickeln. Hier möchte natürlich jeder Schadcode-Programmierer schon aus Prestigegründen der Erste sein. Wir können iPhone-Besitzer jedoch beruhigen. Die uns vorliegenden Zahlen zeigen, dass Smartphone-Viren in den letzten zwei Jahren stark rückläufig sind. In diesem Jahr sind lediglich 23 neue Schadprogramme aufgetaucht – im Vergleich zum Vorjahr ein Rückgang um 70 Prozent. Die Entwicklung und Verbreitung von Schadcode für iPhone und Symbian lohnt sich aus cyberökonomischen Gesichtspunkten nicht.”, so Ralf Benzmüller.

Die Vielzahl der Betriebssysteme, die schwierige Verbreitung von Schadcode und die fehlenden Cyber-Crime-Geschäftsmodelle machen Smartphones für Kriminelle unattraktiv.

Die Notwendigkeit von speziellen AntiViren-Lösungen für Symbian, iPhone und Co. muss daher zum jetzigen Zeitpunkt in Frage gestellt werden.

Sinkende Tendenz: Anzahl von Viren für Smartphones
- 2005: 145
- 2006: 73
- 2007: 23
- 2007 (erwartet bis Ende 2007): maximal 26