Der Erfindungsreichtum Krimineller ist groß: Aktuell hat Symantec eine neue Bedrohung namens W32.Stuxnet http://www.symantec.com/... - auch bekannt als Stuxnet - entdeckt, die seit Kurzem Cyber-Angreifern den Zugang zu den Daten international operierender Unternehmen ermöglicht. Die neue Technik basiert auf dem Ausnutzen einer bisher unbekannten Zero-Day-Schwachstelle in der Windows Shell und erinnert teilweise an den Hydraq-Angriff Anfang 2010. Das Herzstück von W32.Stuxnet ist eine manipulierte .lnk Datei (Windows-Verknüpfung) gekoppelt mit einer Rootkit-Komponente, hinter der sich zwei Dateitypen verbergen: Erstens Dateien, die auf ''.lnk'' enden, und zweitens Dateien, die mit ''~WTR'' beginnen und mit ''.tmp'' enden. Darüber hinaus enthält der Schädling verschiedene weitere Funktionen und versucht unter anderem, Zugang zu den so genanten SCADA http://en.wikipedia.org/... (Supervisory Control and Data Acquisition)-Systemen zu erlangen. Diese Systeme werden zwar aus Sicherheitsgründen meistens nicht mit dem Internet verbunden. Dennoch kann sich der neue Virus durchaus Zugriff auf SCADA verschaffen, indem er USB-Speichermedien als Vehikel nutzt.
Das "Einfallstor" USB-Laufwerk mittels autorun.inf ist nicht neu. Neu ist indes, dass eben autorun.inf nicht mehr benötigt wird. Sobald der ahnungslose Nutzer das Laufwerk öffnet, wird auf das Dateisystem zugegriffen, um die auf dem Medium befindlichen Inhalte anzuzeigen, und die manipulierte .Ink-Datei wird aktiv. Ist das System erst einmal infiziert, kann der Nutzer nicht mehr nachvollziehen, ob und welche Dateien auf das USB-Laufwerk kopiert werden - diese werden vom Rootkit verborgen. Der Angreifer selbst tarnt sich im iexplore.exe (Internet Explorer), der von Firewalls nicht beargwöhnt wird. So kann er sich weitgehend frei bewegen und sogar seinerseits Sicherheitsvorkehrungen attackieren und beeinträchtigen.
Zum Schutz stellt Symantec stets Updates zur Verfügung, mit denen sich die Gefahr wirksam entschärfen lässt. Sicherheitslösungen von Symantec und Norton auf dem entsprechend neuesten Stand können den Schädling schnell und gründlich aus infizierten Systemen entfernen.
Zusätzlich hat Microsoft zwei spezielle Verhaltens- und Handlungsempfehlungen veröffentlicht:
- Die Anzeige der Shortcuts sollte deaktiviert werden - dadurch wird jeder Shortcut auf dem Computer als leeres Icon angezeigt.
- Auch der WebClient Service sollte deaktiviert werden, da dieser extern manipuliert werden kann und sich nicht auf USB beschränkt.
Symantec Security Response arbeitet kontinuierlich an der Analyse dieser neuen Bedrohung. Weitere Informationen sind im Symantec Connect Response Blog http://www.symantec.com/... zu finden.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_Presse verfolgen.
Das "Einfallstor" USB-Laufwerk mittels autorun.inf ist nicht neu. Neu ist indes, dass eben autorun.inf nicht mehr benötigt wird. Sobald der ahnungslose Nutzer das Laufwerk öffnet, wird auf das Dateisystem zugegriffen, um die auf dem Medium befindlichen Inhalte anzuzeigen, und die manipulierte .Ink-Datei wird aktiv. Ist das System erst einmal infiziert, kann der Nutzer nicht mehr nachvollziehen, ob und welche Dateien auf das USB-Laufwerk kopiert werden - diese werden vom Rootkit verborgen. Der Angreifer selbst tarnt sich im iexplore.exe (Internet Explorer), der von Firewalls nicht beargwöhnt wird. So kann er sich weitgehend frei bewegen und sogar seinerseits Sicherheitsvorkehrungen attackieren und beeinträchtigen.
Zum Schutz stellt Symantec stets Updates zur Verfügung, mit denen sich die Gefahr wirksam entschärfen lässt. Sicherheitslösungen von Symantec und Norton auf dem entsprechend neuesten Stand können den Schädling schnell und gründlich aus infizierten Systemen entfernen.
Zusätzlich hat Microsoft zwei spezielle Verhaltens- und Handlungsempfehlungen veröffentlicht:
- Die Anzeige der Shortcuts sollte deaktiviert werden - dadurch wird jeder Shortcut auf dem Computer als leeres Icon angezeigt.
- Auch der WebClient Service sollte deaktiviert werden, da dieser extern manipuliert werden kann und sich nicht auf USB beschränkt.
Symantec Security Response arbeitet kontinuierlich an der Analyse dieser neuen Bedrohung. Weitere Informationen sind im Symantec Connect Response Blog http://www.symantec.com/... zu finden.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_Presse verfolgen.
