Rubrik: Virenwarnung/Hintergrund

Eine Millionen Viren bis zum Ende des Jahres durchaus denkbar

Der neueste Trend bei der Verbreitung von Malware heißt Drive-by Downloads

(11.04.08) - F-Secure zieht Bilanz über die ersten drei Monate des Jahres: Rückblickend zeigt sich, dass die Zahl der neu entdeckten Malware noch nie höher war. Täglich erreichen 25.000 Malware-Samples die F-Secure Labore. Wenn diese Entwicklung weiter anhält, wird die Zahl der Viren und Trojaner bis zum Ende des Jahres die Marke von einer Million knacken.

Obwohl heute mehr Viren als jemals zuvor geschrieben werden, haben Nutzer jedoch oft das Gefühl es seien weniger. Einer der Gründe dafür sind die neuartigen Taktiken, mit denen Cyberkriminelle Computer infizieren.

Die wichtigsten Trends der letzten drei Monate waren:

·         Drive-by Downloads - Verschiebung der Angriffe von SMTP auf HTTP

·         Verstärktes Rootkit-Aufkommen

·         Der erste Ransom-Trojaner für mobile Endgeräte

·         Würmer für Symbian Smartphones

Der neueste Trend bei der Verbreitung von Malware heißt Drive-by Downloads. Die Angriffe beginnen meist mit einer Spam-Mail, die statt des klassischen Anhangs einen Weblink enthält. Dieser Link führt zu einer infizierten Webseite - so wird nicht mehr nur SMTP, sondern auch HTTP zu einer Gefahr für die Sicherheit.

Drive-by Downloads infizieren den PC automatisch, sobald der Nutzer die präparierte Webseite nur anklickt. Nur ein aktualisierter Browser, sowie Browser Plug-Ins und ein Betriebssystem auf dem neuesten Stand können das vermeiden. Dazu müssen also alle Patches installiert sein. Die meisten Nutzer haben jedoch Lücken und Schwachstellen in ihrem System, so dass sie nicht ausreichend geschützt sind. Infektionen durch automatische Exploits (Programme, die eine Sicherheitslücke im Computersystem ausnutzen) bemerken die Nutzer meist nicht - auch auf dem Bildschirm ist nichts Bedenkliches zu sehen.

Die Cyberkriminellen bedienen sich verschiedener Methoden, um Traffic auf den infizierten Seiten zu generieren. Ein verbreiteter Weg dazu sind Spam-Mail Kampagnen: Dabei werden E-Mails mit interessantem Inhalt und einem Link zur infizierten Seite verschickt. Nachrichten mit den Titeln "Da ist ein Video über dich auf YouTube", "Du hast eine E-Card erhalten" oder "Danke für Ihre Bestellung" sind besonders verbreitet. 

Eine andere Methode nutzt die Mechanismen von Suchmaschinen aus. Cyberkriminelle gestalten dabei Webseiten, die Tausende verschiedener Schlagwörter enthalten. Diese werden dann von Google indiziert - so wird die Seite ganz einfach von den Nutzern gefunden.

Bei der dritten Vorgehensweise, verschaffen sich Hacker Zugriff auf renommierte und gut besuchte Seiten und integrieren eine kurze Zeile Javascript auf der Frontseite. Schon beim Anklicken dieser Seite infizieren die Nutzer ihren Rechner, obwohl alles völlig normal aussieht und funktioniert. Dies ist in den vergangenen drei Monaten bei den Webseiten einiger sehr beliebter Magazine geschehen. Das Tückische an dieser Methode: Nutzer vertrauen den Internetseiten, die zu ihren persönlichen Gewohnheiten gehören.

Ein weiteres Vehikel für Drive-by Downloads sind infizierte Werbenetzwerke. Cyberkriminelle können durch die Infizierung der Werbenetzwerke, ihren Schadcode Millionen von Nutzern präsentieren, ohne die Seite selbst hacken zu müssen. Geschehen ist dies bereits auf den Webseiten von Expedia, NHL, TV4.se und MLB.

Verstärktes Rootkit-Aufkommen

Der MBR Rootkit - bekannt als Mebroot - ist derzeit wahrscheinlich die am besten getarnte Malware und wurde bis jetzt über Drive-by Downloads verbreitet. Mebroot ersetzt den infizierte Master Boot Record (MBR). Da Mebroot die Modifizierungen des Systems sehr gering hält, kann der infizierte Rechner den Rootkit nur sehr schwer aufspüren.

MBR Viren waren vor etwa 15 Jahren, als noch DOS das übliche Betriebssystem war, die am weitesten verbreitete Virenform. In jüngster Zeit wurde in akademischen Schriften und Konferenzen diskutiert, ob diese Art des Stealth MBR Rootkit in Zeiten von Windows möglich wäre. Es war sehr überraschend, dass genau das 2008 wirklich eingetreten ist. Dies bedeutet, dass Cyberkriminelle heute über zwei Dinge verfügen: Die Geldmittel und das Wissen, um solch einen komplexen Angriff zu entwickeln.

Der erste Ransom-Trojaner für mobile Endgeräte

In China wurde jetzt der erste Ransom-Trojaner für Smartphones entdeckt. Solche Trojaner gab es bereits für den PC: Sie nehmen die Daten auf dem PC des Nutzers als "Geisel" und bieten danach an, alles wieder in den Normalzustand zu versetzen, sobald ein "Lösegeld" gezahlt wurde. Typischerweise verschlüsselt der Trojaner den Festplatteninhalt und schickt dem Nutzer ein Passwort zu, sobald das Lösegeld bei den Kriminellen eingegangen ist.

Kiazha, der erste Smartphone Ransom-Trojaner, infiziert das Gerät, wenn der Nutzer ein vermeintliches Shareware-Programm herunterlädt. Der Trojaner setzt dann einige schon länger bekannte Viren auf dem Smartphone frei. Danach bekommt der Nutzer die Aufforderungen, sieben Dollar mittels eines Online-Bezahlsystems zu überweisen, um den Originalzustand des Telefons wieder herzustellen. Smartphones sind inzwischen für viele Menschen extrem wichtig, so dass sie bereit sind ein Lösegeld zu zahlen, um ihre Daten wiederzubekommen. Aus diesem Grund wird zukünftig die Zahl solcher Trojaner weiter ansteigen.

Andere mobile Gefahren

Der Beselo Wurm verbreitet Malware über MMS und Bluetooth. Dabei bedienen sich die Cyber-kriminellen einer neuartigen Form von Social-Engineering, um die Nutzer dazu zu bewegen, eine empfangene SIS Anwendungsdatei zu installieren. Besonders interessant ist, dass die Beselo-Malware-Familie keine gewöhnlichen SIS-Dateiendungen verwendet, sondern ganz normale Media File-Dateiendungen. So glauben die Nutzer ein Bild oder eine Sounddatei statt einer Symbian Applikation empfangen zu haben. Viele Nutzer neigen dazu, jede Frage, die nach dem Anklicken der eingegangenen Datei erscheint, mit "Ja" zu beantworten - und installieren so die Malware.

Beselo nutzt besonders die folgenden Dateinamen: beauty.jpg, sex.mp3 und love.rm. Beselo-Würmer sind für "Symbian S60 2nd Edition"-Telefone geschrieben. Wenn Nutzer der dritten Edition versuchen ein solches File zu öffnen, wird eher eine Fehlermeldung erscheinen, als dass der Nutzer aufgefordert wird, die Datei zu installieren.

Eine weitere Gefahrenquelle ist HatiHati.A - eine wurmähnliche Applikation, die sich über MMC-Karten verbreitet und dann SMS-Nachrichten an eine vordefinierte "teure" Nummer schickt.
(F-Secure: ma)

 

 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken