Neue "Mobile Malware" infiziert mobile Geräte und Windows-PCs gleichermaßen

Infektion manuell über Bluetooth oder MMS oder über Web-Download
und Installation

(29.09.05) - Trend Micro hat einen Malicious Code entdeckt, der gleichzeitig mobile Geräte und Windows-PCs bedroht. SYMBOS_CARDTRP.A verbreitet sich über Bluetooth, MMS und infizierte Speicherkarten. Damit konkretisiert sich eine Bedrohung, vor der Trend Micro bereits seit geraumer Zeit warnt.

Im Laufe des letzten Jahres hat Mobile Malware vielfach die mediale Aufmerksamkeit auf sich gezogen. Die begrenzten Verbreitungsfähigkeiten haben dafür gesorgt, dass die Bedrohung von vielen Anwendern trotzdem noch nicht ernst genommen wurde.

Sicherheitsexperten warnen schon lange davor, dass sich Virenprogrammierer mit Vorliebe neuer Technologien für ihre Zwecke bedienen. Daher war es nur eine Frage der Zeit bis zum ersten, voll funktionsfähigen mobilen Angriff. Trend Micro hat einen Angriff identifiziert, der die Hartnäckigkeit der Virenprogrammierer und ihr Interesse an mobiler Malware zweifelsfrei beweist.

SYMBOS_CARDTRP.A verbreitet sich ursprünglich über Symbian Series 60 Geräte, verfügt aber auch über das Potenzial, PCs mit Microsoft Windows-Betriebssystem zu befallen. Das mobile Gerät kann dabei auf zwei Arten infiziert werden:

· Manuell über Bluetooth oder MMS

· Download und Installation aus dem Web

Die Funktionsweise

· SYMBOS_CARDTRP.A verbreitet sich wie auch seine Vorgänger über Bluetooth (innerhalb eines Radius von zehn Metern) und erzeugt Dateien auf der Speicherkarte des mobilen Gerätes.

· Die Malware überschreibt darüber hinaus normale Applikationen auf dem betroffenen Gerät mit schadhaften Kopien, sodass die Anwendungen nicht mehr korrekt ausgeführt werden.

· SYMBOS_CARDTRP.A enthält zusätzliche Funktionen, mit denen Windows-basierte PCs über die Speicherkarte des mobilen Endgerätes infiziert werden können. Sobald der Anwender die infizierte Speicherkarte auf seinem PC einsetzt, besteht die Gefahr einer Infektion. Danach versucht der Malicious Code, sich auf weitere PC-Systeme zu verbreiten.

· SYMBOS_CARDTRP.A hinterlässt die folgenden vier Dateien im Verzeichnis E:/, das üblicherweise von Speicherkarten verwendet wird:

o fsb.exe, die von Trend Micro als BKDR_BERBEW.Q erkannt wird. Mit diesen ausführbaren Dateien wird versucht, Systeme auszuspionieren und Passwortinformationen zu stehlen.

o Buburuz.ICO tarnt sich Icon-Datei für die Speicherkarte.

o autorun.inf versucht, fsb.exe automatisch auszuführen

o SYSTEM.exe, die von Trend Micro als WORM_WKILL.B erkannt wird.

· Wird die Speicherkarte in einen Windows-Computer eingesteckt, führt autorun.inf die Datei fsb.exe aus. Obwohl die Datei SYSTEM.exe nicht über eine automatische Startroutine verfügt, ist sie als legitimes Ordnersymbol getarnt, um Anwender zum Ausführen zu bewegen.

· Nach dem erfolgreichen Start ruft die Malware dann WORM_WUKILL.B auf, um weitere PCs zu infizieren.

Die Sicherheitsexperten von Trend Micro empfehlen folgende Maßnahmen zum Schutz vor SYMBOS_CARDTRP.A und anderen Angriffen:

· Nicht angeforderte Applikationen oder SMS sollten grundsätzlich abgelehnt werden. Dies gilt besonders, wenn sie von unbekannten Personen stammen.

· Anwender sollten Dateien nur von vertrauenswürdigen Sites herunterladen. Darüber hinaus muss die Applikation vor dem Start verifiziert werden, auch wenn sie von einer vertrauenswürdigen Site stammt. (Trend Micro: ra)