Blogjoy.de

Experten von Kaspersky Lab stießen im zurückliegenden Vierteljahr bei der Analyse des Verschlüsselungs-Trojaners Gpcode.ai auf interessante Parallelen zwischen einer Vielzahl von Schadprogrammen. Der Trojaner basiert auf einer Art “Universalcode”, der in verschiedenen Varianten in Trojan-Downloaders, Trojan-Spys und Backdoors vorkommt.

Diese Entdeckung und weitere Beobachtungen aus den vergangenen drei Monaten können im Quartalsbericht “Malware-Bedrohungen im dritten Quartal” auf viruslist.de nachgelesen werden.

Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky Lab auf mehrere Indizien, darunter den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit dem Gpcode seine Anwesenheit im Arbeitsspeicher markiert. Als die Experten ihre umfangreiche Virenkollektion nach dieser Zeile durchsuchten, war das Ergebnis mehr als überraschend: Sie tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören. Die Stichproben hatten jedoch noch mehr Gemeinsamkeiten. So installieren sie zahlreiche Dateien, modifizieren Windows-Ordner und stimmen auch zu mehr als 80 Prozent im Programmcode überein.

Die Antiviren-Experten waren damit auf eine Art “Universalcode” gestoßen, der sich vielseitig einsetzen lässt. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem “Universalcode” ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.

Im nächsten Schritt analysierte Kaspersky Lab die im Universalcode enthaltenen Links anhand zahlreicher aktueller Malware-Versionen. Wie die Recherchen ergaben, besteht zwischen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Nun galt es, den Programmierer des “Universalcodes” zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht.

Mit ZeuS war der Urheber der Schädlinge bald gefunden. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen http-Proxy-Server. Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_. Sämtliche Versionen der Malware fasste Kaspersky Lab daraufhin zu einer eigenständigen Familie namens Zbot zusammen.

Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Es handelt sich also tatsächlich um einen “universellen” Code, dessen Flexibilität ihn besonders gefährlich macht. Ebenso wie auch bei Gpcode.ai lässt sich jede neue Ausgabe mit einer völlig anderen Funktionalität ausstatten. Wie beliebt der Schädling damit in der russischen Cyberkriminellen-Szene war, zeigt die Anzahl der Botnetze, die auf seine Technik setzte. Diese basierte dabei auf der Kombination aus Zupacha und ZeuS mit Zunker als Steuerzentrale. Eines der größten Zunker-Botnetze umfasste mehr als 106.000 Rechner und wuchs täglich um mehr als 1500 Maschinen, bevor es entdeckt wurde. Die rasante Verbreitung von Zupacha resultiert auch aus seiner einfachen Konfiguration.

Handy-Viren: Internet-fähige Mobilfunkgeräte werden für Hacker immer interessanter

Moderne Handys mit Betriebssystemen wie Windows Mobile, Symbian OS, PalmOS oder BlackBerry entwickeln sich immer mehr zu internet-fähigen Kleinst-PCs – und werden damit potenziell auch für Hacker interessant. Darauf weist die IT-Wochenzeitung COMPUTERWOCHE in ihrer aktuellen Ausgabe (22/2007) hin. Zwischen Softwareherstellern und Mobilfunkbetreibern ist nun ein Streit darüber entbrannt, wie groß die Bedrohung eines Virenbefalls auf dem Handy derzeit wirklich ist.

Hersteller von Antivirenprogrammen schätzen das aktuelle Gefahrenpotenzial als sehr hoch ein. Laut McAfee waren 2006 bereits 83 Prozent aller Mobilfunkbetreiber von Handy-Viren betroffen. Jan Volzke, Manager Mobile Security bei McAfee, urteilt: “Die Sicherheitskonzepte der Mobilfunker stammen noch aus der Telefoniezeit und werden der Daten-/IP-orientierten Welt nicht gerecht.” Aus Sicht vieler Mobilfunkanbieter dagegen wird die Gefahr oftmals überschätzt. So weist Albert Fetsch, Pressesprecher bei O2, darauf hin, dass “die Zahl der Viren zunimmt, aber bei weitem nicht das Ausmaß wie in der PC-Welt hat.”

Tatsächlich gibt es laut COMPUTERWOCHE derzeit rund 350 Handy-Viren, denen eine Anzahl von etwa 200.000 PC-Schädlingen gegenübersteht. Dass Mobilfunkviren bislang nur wenig Schaden angerichtet haben, hängt aber nicht nur mit der momentan vergleichsweise geringen Anzahl zusammen. So erfordert ein Großteil der Malware noch eine direkte Installation durch den Anwender, weshalb Schädlinge gegenwärtig nur selten auf unbemerkte Weise auf das Handy gelangen.

Eine Entwarnung für Handy-Nutzer bedeutet dies allerdings nicht. So versuchen Hacker, so genannte Crossover-Schädlinge zu programmieren. Diese sind in der Lage, bei der Datensynchronisation von Handy und PC auf das jeweils andere Gerät überzuspringen. COMPUTERWOCHE rät: Um dies zu verhindern, sollten Anwender nicht nur auf dem Rechner, sondern auch auf dem Mobilfunkgerät eine Antivirensoftware installieren. Darüber hinaus ist es ratsam, bei modernen Handys die so genannte “Remote-Sperre” zu aktivieren. Diese ermöglicht es Nutzern, ihr Mobilgerät über ein vordefiniertes Codewort per Kurzmitteilung zu sperren. Dies ist nicht nur im Falle eines Diebstahls nützlich, sondern auch, wenn das Handy als Absender von SMS- oder MMS-Spam auffällt.

Zur Zeit ist mal wieder ein neuer Computervirus im Umlauf.
Nach dem BKA, 1&1, Ebay usw. habem sich kriminelle Leute jetzt
anscheinend auf das schwedische Möbelhaus IKEA spezialisiert.

Mails mit einem Betreff wie “Ihre IKEA Bestellung” oder ähnlich, fordern dazu auf, die Rechnung im Anhang zu begutachten. Detaillierte Rechnungsinformationen und weitere Unterlagen seien der angehängten Datei zu entnehmen. In dem Email Anhang befindet sich ein Virus.

Hier ein Auszug der Email, die uns ebenfalls zugestellt wurde:

“die Gesamtsumme für Ihre Rechnung beträgt: 325,95 Euro.
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

Kopie dieses Schreibens wird Ihnen gleichzeitig auch per Post zugeschickt.
Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
Ihre Rechnung ist im PDF-Format erstellt und mit einer “Digitalen Signatur” unterzeichnet worden. Den entsprechenden
Verifikationsbericht finden Sie im Anhang dieser E-Mail.”

Falls Sie also eine Email-Rechnung bekommen immer vorsichtig, auch wenn Sie beim jeweiligen Unternehmen Kunde sind. Es könnt auch bei Ihnen bekannten Absendern ein Email-Virus enthalten sein.

Hinweis: kein seriöses Unternehmen sendet eine Rechnung mit ausführbarer Datei (exe, com) oder gepackt als Zip. Richtige Rechnungen kommen meistens als PDF.