|
|
Rubrik: Virenwarnung/Hintergrund Kaspersky Lab veröffentlicht Analyse zu Backdoor.Win32.Sinowal Bootkit 2009 - die Geschichte von Sinowal (
Anzeige
Die neue Version des Bootkits wurde Ende März 2009 im Virenlabor von Kaspersky Lab analysiert. Sie verbreitet sich über gefährliche Homepages mit pornographischen Inhalten oder Angeboten für Piraterie-Software. Die meisten Server, die mit den Infektionen zusammenhängen, haben eine russische Verbindung. Sie sind Teil eines kriminellen Partnerprogramms, bei dem die Besitzer der Internetseiten mit den Crimeware-Autoren zusammenarbeiten. Backdoor.Win32.Sinowal gilt als das derzeit fortschrittlichste Schadprogramm, da es sich erfolgreich vor den meisten modernen Antiviren-Programmen verbirgt. Zu den relativ neuen Technologien zählt auch das Verfahren zum Generieren eines Domain-Namens für eine Website, von der Exploits verbreitet werden. Besucht der Anwender eine infizierte Site, startet ein spezielles Skript, das anhand des PC-Datums den Namen einer Webseite erstellt. Dorthin wird der Anwender gelenkt, um das auf seinen Rechner zugeschnittene Exploit empfangen zu können. Diese Technologie macht klassische Blacklists zur Blockierung infizierter Websites praktisch nutzlos. Durch Analyse des Namens-Algorithmus können Experten allerdings herausfinden, welche Namen in Frage kommen und sie entsprechend blockieren. Rusakov und Golovanov plädieren dafür, dass die Arbeitsmethoden dieses raffinierten Bootkits die Antiviren-Industrie dazu animieren sollten, die von den Bootkit-Autoren eingesetzten Technologien äußerst wachsam zu verfolgen, da sie schon sehr bald von vielen anderen Virenautoren genutzt werden könnten. (Kaspersky: ra) |
||
|
