Blogjoy.de

Seit Jahren hat kein Malware-Exemplar die Verschleierungstechniken EPO (Entry Point Obscuring) und Cavity benutzt. Doch nun entdeckten die Sicherheitslabore von Panda Security den neuen Virus Sality.AO.

In seinem Fall werden die speziellen Tarn-Mechanismen nicht mehr wie damals bei relativ harmlosen Angriffen eingesetzt. Jetzt dienen sie planmäßig als Hauptantriebsfeder der organisierten Internetkriminalität und rücken finanzielle Gewinne gezielt in den Vordergrund. Seit dem Fund am 5. Februar verzeichneten die Panda-Sicherheitsexperten einen auffälligen Anstieg der Infektionsraten von Sality.AO. Ein Ausbruch sei daher in naher Zukunft nicht auszuschließen und die Experten raten allen Anwendern dringend, ihre Sicherheitslösungen auf den aktuellen Stand zu bringen.

Neuer Virus mit alten Methoden
Frühere Internetangriffe hatten vornehmlich die gezielte Störung des Betriebsablaufes zur Folge. Dies wurde meist durch die Lahmlegung einzelner Computer-Anwendungen bewirkt. Hinter den Angriffen standen aber eher amateurhafte Viren-Programmierer, die sich für den wirtschaftlichen Faktor gar nicht vorrangig interessierten. Aus dieser Zeit stammen Verschleierungstechniken wie EPO und Cavity. EPO verdeckt seinen Schädling, indem ein Zeitfenster zwischen dem Ausnutzen der Sicherheitslücke und der Ausführung der eigentlichen Aktion entsteht. Die Methode Cavity kaschiert die schädliche Datei durch „blinde“ Codes, die unsichtbar in das original integriert werden. Die Manipulation ist daher nicht wie üblich anhand einer Datei-Vergrößerung zu identifizieren.

Solche Techniken sind weitaus komplexer als diese, die in der Regel als „Stangenware“ über automatische Malware-Tools angeboten werden. Viren, die auf diese Techniken zurückgreifen, werden „maßgeschneidert“ und setzen eine hervorragende Kenntnis der Schadcode-Programmierung voraus.

Sality.AO – Hybrid-Malware
Neben dem Wiedereinsatz früherer Methoden zeugt Sality.AO von Features, die den modernsten „Malware-Trends“ angepasst sind. Der Virus macht sich zum Beispiel nicht durch einen Komplett-Scan der Festplatte und einer anschließenden Massen-Infektion auf sich aufmerksam. Stattdessen infiziert er nur einige der vorhandenen und jede neu angelegte Datei mit seinem schädlichen Code. Weiter ist er in der Lage, sich mit dem IRC Server zu verbinden um Remote-Befehle ausüben zu können oder den infizierten PC in einem Zombie-Computer für weitere schädliche Aktionen (Spam-Versand, Malware-Verbreitung, Serviceverweigerung etc.) zu verwandeln. Zusätzlich wird der Virus nicht nur versuchen, weitere Dateien aus dem Internet zu laden um sich mit weiteren Schadcodes zu infizieren. Er wird auch versuchen, Webseiten mit iFrames zu manipulieren. Schon der einmalige Besuch einer solch geänderten Adresse lädt den Virus auf den jeweiligen Computer.

Sality.AO ordnen die Panda-Labore der Kategorie der so genannten Hybrid-Malware zu. Sie vereint die Funktionen von Trojanern und Viren in einer einzigen Schädlingsvariante. Die URLs, die diese Downloads verwenden, waren zum Zeitpunkt ihrer Entdeckung noch nicht aktiv. Weil die Zahl der Infektionen laut Panda Security bereits auf 15.000 befallene Computer (in insgesamt 31 Ländern) anstieg, fürchten die Experten, dass sie bald in Kraft treten können. „Durch modernste und ausgefeilte Technologien wie Panda Security’s Collective Intelligence können unsere Produkte sogar Low-Level-Attacken und die neuesten Malware-Techniken erkennen. Offenbar suchen Cyber-Kriminelle daher gezielt nach neuen Methoden und passen die alten Codes den neuen Anforderungen an“, stellt Luis Corrons, Direktor der Panda-Sicherheitslabore, besorgt fest.

Weitere Informationen unter: pandalabs.pandasecurity.com

Familiengeschichten von “Brangelina”, Skandale von Paris Hilton, Abstürze und Neubeginne von Britney Spears – das Internet versorgt uns täglich mit den neuesten Gerüchten! Doch vom starken Interesse am Leben der Hollywood-Stars profitieren nicht nur die Medien. Auch Online-Kriminelle wissen um unser aller Portion Neugier am Klatsch und Tratsch über Stars und Sternchen.

Daher setzten sie aktuelle News beliebter Schauspieler, Musiker und Co. beim Spam-Versand erfolgreich als Neugier weckende Betreffzeilen ein. Pünktlich zur diesjährigen Oscar-Verleihung veröffentlicht Panda Security seine Celebrity Study 2008 und präsentiert die Top Ten der Persönlichkeiten, die einen Oscar für den besten “Malware-Lockvogel” verdient hätten.

Im Rahmen der Celebrity Study 2008 untersuchte Panda Security weltweit Spam-Mails. Weniger als 4% aller empfangenen Mail sind heutzutage erwünscht, beziehungsweise regulär. Über 96% aller elektronischen Nachrichten bestehen aus unerwünschten Spam-Mails, deren Links oder Anhänge den Empfänger mit Malware infizieren sollen. Mit interessante Betreffzeilen versuchen die Internet-Betrüger, die Empfänger zum Öffnen der Mails und zum Download/Anklicken der verseuchten Dateien/Links zu animieren. Auf der Liste der effektivsten “Köder” rangieren die neuesten Promi-Geschichten an erster Stelle. Die Ergebnisse der Studie belegen, dass Namen von Hollwood-Schauspielern am häufigsten in den Betreffzeilen der Spam-Mails des vergangenen Jahres erschienen. Brad Pitt und Tom Cruise stehen als erfolgreiche “Lockvögel” deutlich an der Spitze und zeichnen sich für fast einen Viertel der schädlichen Emails über vermeintliche Promi-News verantwortlich. Auch Angelina Jolie (Platz 4), Lindsay Lohan (Platz 5), Jessica Alba (Platz 7) und Jennifer Aniston (Platz 10) eignen sich hervorragend dazu, die Empfänger zum Klick auf den beworbenen Link oder zum Download der angepriesenen Datei zu verleiten. Doch nicht nur Schauspieler, sondern auch Musiker werden bei Online-Kriminellen heiß gehandelt. So stehen zum Beispiel Britney Spears auf Platz 3 und Lindsay Lohan auf Platz 5 der Rangliste der meist versendeten Promi-Mailings. Dass die millionenschwere Hotel-Erbin Hilton mit ihren ständigen Skandalen immer wieder für spannende, virtuelle Schlagzeilen sorgt, kommt den Online-Kriminellen beim Spam-Versand ebenfalls zugute. So nimmt sie mit einem Anteil von über sechs Prozent Platz 9 der Oscar verdächtigen Malware- Lockvögel ein.

Häufige Promi-Namen in Spam-Mails:
Celebrity %
Brad Pitt 12.57
Tom Cruise 12.14
Britney Spears 12.01
Angelina Jolie 11.62
Lindsay Lohan 10.15
American Idol 9.79
Jessica Alba 9.52
Oprah Winfrey 8.08
Paris Hilton 6.64
Jennifer Aniston 5.14
Andere 2.34

Christina Aguilera, Barack Obama, Lewis Hamilton, Tiger Woods, Rihanna, Shakira, Madonna, Scarlett Johansson und Fidel Castro sind nur einige der vielen, berühmten Namen, die im vergangenen Jahr ebenfalls ein- oder mehrere Male beim Spam-Versand eine “Oscar-Nominierung” verdient hätten.

So lauten typische Betreffzeilen der Spam-Mails, die mit prominenten Persönlichkeiten locken:
“Angelina Jolie nude”
“Britney Spears hot images”
“Rihanna exposed”
“Scarlett Johansson spills boobs”.

Weblinks:
pandalabs.com
flickr.com

Microsoft hat erst vergangene Woche eine Sicherheitslücke im Internet Explorer geschlossen. Jetzt versuchen Internetkriminelle, durch diese Lücke einen Schädling auf verwundbare Rechner zu schleusen.

Der Internet-Link auf die Webseite mit der Schadsoftware befindet sich in einem Word-Dokument, das als Dateianhang an einer Spam-Mail im Postfach von Internetnutzern landet. Beim Öffnen des Dokuments versucht dieses, die infizierte Webseite aufzurufen, die die Schwachstelle im Internet Explorer missbraucht, um den Schädling zu installieren. Avira schützt vor dem Befall des Rechners: Die Virenschutzlösungen warnen den Anwender vor einer Infektion der Webseite mit HTML/Rce.Gen.

Die infizierte Webseite versucht, die Datei jc.exe auf den Rechner zu befördern und zu installieren. Es handelt sich dabei um das Trojanische Pferd TR/Rincux.AW, das Aviras Schutzlösungen mit der VDF-Erkennungsdatei 7.01.02.40 namentlich erkennen. Der Schädling erstellt die Datei wininet.dll im Systemverzeichnis von Windows. Zudem modifiziert er die Systemregistrierung, um bei einem Neustart ebenfalls ausgeführt zu werden. Er kontaktiert einen Server im Internet und überträgt dabei Daten über den Rechner.

Wie in der jüngeren Vergangenheit häufiger zu beobachten war, missbrauchen die kriminellen Drahtzieher die Sicherheitslücken zum Einschleusen von Schadcode, kurz nachdem Microsoft ein Update dafür veröffentlicht hat. Insbesondere Firmen prüfen in der Regel die Updates nach der Veröffentlichung erst einmal auf Verträglichkeit mit der eingesetzten Software und installieren sie die Updates erst mit großer Verzögerung auf den Rechnern. Somit können die Cyberkriminellen mit einem hohen Verbreitungspotenzial ihrer Schädlinge rechnen.

Trend Micro warnt vor schädlichen Halloween-Seiten mit Computervirus: “Trick or Threat” – Vorsicht vor “Halloween-Scherzen” im Internet. Internetergebnisse bei der Suche nach “Halloween Costumes” führen z.B. auf eine manipulierte Webseite mit Viren.

Trend Micro warnt Anwender vor gefälschten Webseiten in Verbindung mit Halloween. Cyberkriminelle nutzen das saisonale Interesse und manipulieren Webseiten. Suchergebnisse nach “Halloween” oder damit verbundene Begriffe führen Anwender auf Schadseiten, die den als Sicherheitsprogramm “Antivirus 2009″ getarnten Trojaner verbreiten.

Besonders zu Halloween suchen viele Anwender über das Internet nach Kostümen und Dekorationen, um diesen Tag entsprechend zu feiern. Nach Forschungen von Trend Micro ist diese Suche aber nicht ungefährlich: Die Eingabe der Suchworte “Halloween” und “Costumes” in Suchmaschinen wurde durch Cyberkriminelle manipuliert. Manche Suchergebnisse führen den Anwender auf gefährliche Internetseiten, die sich als seriöse Anbieter tarnen.

Bei Besuch der Webseite startet ein für den Anwender unbemerkbares Javascript, welches mehrere Weiterleitungen auf die Schadseite veranlasst. Auf dem Bildschirm erscheint eine Dialogbox, die Nutzer dazu verleitet, eine vermeintliche Antivirensoftware herunter zu laden und zu installieren. Es handelt sich hierbei um das mehrfach durch Cyberkriminelle verbreitete “Antivirus 2009″, bei Trend Micro als Mal_FakeAV6 erkannt.

Bereits im vergangenen Jahr war die Malware-Szene ähnlich bei der Suche nach “Christmas Gift Shopping” aktiv. Trend Micro beobachtet verstärkt, dass besonders saisonale Themen gerne von Cyberkriminellen ausgenutzt werden, um Schadsoftware zu verbreiten. Das Schadprogramm “Antivirus 2009″ ist zudem in Zusammenhang mit Social-Networking-Webseiten vor mehreren Wochen aufgetreten. Anwendern rät Trend Micro daher zu besonderer Vorsicht.

Trend Micro Kunden sind bereits durch das Smart Protection Network geschützt, die entsprechenden URLs werden geblockt. Informationen zu aktuellen Sicherheitsbedrohungen sind im TrendLabs Malware Blog unter blog.trendmicro.com verfügbar.

Update-Manager helfen, installierte Software aktuell zu halten und schließen so eventuelle Einfallstore für Kriminelle. Wer möglichst viele Gefahrenquellen ausschließen will, sollte mehrere dieser Tools parallel laufen lassen, rät das Computermagazin c’t in der aktuellen Ausgabe 19/08.

Viele populäre Programme wie Mozilla Firefox, Apple QuickTime, Adobe Reader und Flash verfügen schon über eigene Aktualisierungsfunktionen. Genervt von den ständigen Update-Meldungen haben aber viele User diese Funktion abgeschaltet. Dabei sind die neuen Software-Versionen durchaus wichtig. Mit den Updates werden in der Regel auch kritische Sicherheitslücken geschlossen, über die Angreifer aus dem Internet Zugriff auf den PC erlangen können.

Damit Anwender nicht mühsam manuell nach aktuellen Versionen suchen müssen, gibt es sogenannte Update-Manager. Diese kostenlosen Tools durchforsten die vorhandene Software auf dem PC und vergleichen die installierten Versionen mit den aktuell verfügbaren.

“Uneingeschränkt empfehlenswert ist keines der gestesteten Produkte”, urteilt c’t-Sicherheitsexperte Daniel Bachfeld. Der Secunia Personal Software Inspector beispielsweise legt seinen Fokus auf Sicherheit und vergleicht nicht nur die installierte und die verfügbare Version, sondern bezieht die Secunias Datenbank über Sicherheitslücken in Produkten mit ein. So kann Software durchaus veraltet sein, ohne dass sie ein Sicherheitsproblem darstellt. Bei der Bedienung überzeugte hingegen der FileHippo Update Checker, der die Ergebnisse übersichtlich im Browser darstellt und zudem über einen Update-Button verfügt, mit dem man ohne Umwege die neueste Version installieren kann. Allerdings erkennt dieses Tool nur die gängigsten Anwendungen. In punkto Erkennungsrate und Flexibilität hatte das Programm SUMo die Nase vorn, das bis zu 90.000 Anwendungen unterstützt.

“Am besten man kombiniert diese drei Produkte miteinander, dann ist man auf der sicheren Seite”, so c’t-Redakteur Daniel Bachfeld.