Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 283174

Doctor Web Deutschland GmbH Quettigstrasse 12 76530 Baden-Baden, Deutschland http://www.drweb-av.de
Ansprechpartner:in Herr Stephan Wild +49 89 62817533
Logo der Firma Doctor Web Deutschland GmbH
Doctor Web Deutschland GmbH

Rückblick und Analyse der Bedrohungen im Monat Juli 2009

(PresseBox) (Hanau, )
Der russische Sicherheitsspezialist Doctor Web stellt seinen Sicherheitsreport für Juli 2009 vor: Als Trendsetter des vergangenen Monats erwiesen sich einige Exploits, die Sicherheitslücken von Windows sowie anderer beliebter Software ausnutzten und missbrauchten. Trotz zurückgehender Virenaktivität im E-Mail-Verkehr arbeiten Virenschreiber ständig daran, die Aufmerksamkeit der Anwender mit ihren Mails zu gewinnen.

Wie bereits im vorangegangenen Sicherheitsreport für das erste Halbjahr 2009 gewarnt wurde, entwickelte sich auch im vergangenen Monat JS.Gumblar zu einer ernsthaften Bedrohung. Die unten stehende Grafik zeigt die zunehmende Verbreitung dieser Gefahr in Russland.

Graphik 1

Dem Diagramm ist zu entnehmen, dass die Virenaktivität am 28. Mai ihren Spitzenwert erreichte und zu diesem Zeitpunkt einen 13.7 prozentigen Anteil unter allen Malware-Websites einnahm. In der Zwischenzeit ging die Verbreitungsgeschwindigkeit von JS.Gumblar zurück, dennoch bleibt die Bedrohung bis jetzt aktuell.

Trojan.Hosts

Doctor Web hat bereits mehrmals auf Ausbrüche der Trojan.Hosts-Familie aufmerksam gemacht. Insbesondere in der im Internet verbreiteten Nachricht über offen gelegte Passwörter für Tausende Benutzerkonten des beliebten russischen sozialen Netzwerks Vkontakte.ru geht es um Phishing-Malware, die Daten sammelt. Dies ist aber nur die Spitze des Eisbergs. Momentan zählt die Trojan.Hosts-Familie mehrere Hunderte Exemplare. Bei vielen werden vergleichbare Methoden zur Erhebung von Benutzerdaten verwendet. Die Virenforscher von Doctor Web befürchten, dass die Zahl der geklauten Benutzerdaten weit höher ist als bisher gemeldet. Die oben angeführten Zahlen gelten nur für Vkontakte.ru.

Im Falle einer Infizierung muss die hosts-Datei im Verzeichnis C:\WINDOWS\system32\drivers\etc editiert werden. Zudem müssen in dieser Datei der Header, die Zeile "127.0.0.1 localhost" sowie weitere Zeilen, die persönlich eingetragen wurden, unverändert bleiben. Andere Zeilen müssen entfernt werden.

FlashBack

Die Mitte des Julis wurde durch die Aktivität von Varianten der Win32.HLLM.MyDoom-Familie gekennzeichnet. Eine solche Situation war zuletzt 2004 zu beobachten. Gegenwärtig werden sie bei massenhaften DDoS-Angriffen gegen südkoreanische und amerikanische Websites verwendet. Auf dem Bild unten sind Daten aus der Konfigurationsdatei für eine Virus-Komponente angeführt, die unmittelbar eine DDoS-Attacke durchführt (detektiert als DDoS.Config).

Graphik 2

Derzeit beteiligen sich Zehntausende infizierte Computer an Angriffen gegen Websites von Behörden in den USA und Südkorea. Als Beispiel lassen sich whitehouse.gov, nsa.gov, president.go.kr und viele andere anführen. Neue Modifikationen werden hauptsächlich per Anhang in Spam-Mails verbreitet. So kann der in Vergessenheit geratene Schädling massenhafte Angriffe durchführen.

Mobiles Botnetz

Im Juli ist ein neuer Wurm für mobile Endgeräte unter Symbian Series 60 3rd Edition aufgetaucht. Der Wurm verbreitet sich als gutartige Software. Infizierte mobile Endgeräte verschicken SMS-Spam im Namen des Besitzers an die im Telefonbuch eingetragenen Personen. In einer solchen SMS-Nachricht wird dazu aufgefordert, auf einen Link zu klicken, der auf eine Malware-Website umleitet.

Mit diesem Schädling entstand die ganze Symbian.Worm-Familie, die als Symbian.Worm.1 detektiert wird. Besonders interessant ist dabei die Tatsache, dass der bösartige Download über eine digitale Signatur von Symbian Signed verfügt. Dieses Zertifikat wurde durch Symbian bereits zurückgenommen. Die entsprechende Pressemeldung findet sich auch im Blog des Unternehmens.

Symbian.Worm.1 stiehlt persönliche Teilnehmer-Daten und versendet diese an entfernte Server. Die SMS-Templates zum böswilligen Versand können bei der Internetverbindung aktualisiert werden. Es entsteht im Endeffekt ein "mobiles Botnetz", das von Cyber-Kriminellen betrieben wird und für diese persönliche Daten infizierter Anwender kapert.

Exploits

Anfang Juli wurde eine ernsthafte Anfälligkeit in einer der Komponenten von Microsoft DirectX entdeckt. Diese Komponente kommt in MS Internet Explorer 6 und 7 zum Einsatz. Bedroht waren alle Nutzer von Windows 2000/2003/XP (einschließlich aller letzten Updates und x64-Versionen dieser Betriebssysteme). Dabei wurde das Video in der ActiveX-Komponente msVidCtl.dll inkorrekt bearbeitet. Diese Sicherheitslücke kann zur Verbreitung von Malware über entsprechende Websites genutzt werden. Alle entdeckten Exploits, die diese Anfälligkeit ausnutzen, fallen unter Exploit.DirectShow.

Eine vergleichbare Schwachstelle wurde auch in der Office Web Components Spreadsheet ActiveX-Komponente entdeckt. Wegen dieses Fehlers konnten Daten in msDataSourceObject() nicht richtig bearbeitet werden. Alle aufgespürten Exploits dieser Art gehören nach Klassifikation von Dr.Web zur Exploit.SpreadSheet-Familie.

Auch die aktuelle Version von Firefox haben die Übeltäter ins Visier genommen. Mitte Juli wurde ein Fehler bei der Bearbeitung von Javascript-Szenarien entdeckt, der den Speicher des Just-in-Time-Compliers beschädigt. Alle entdeckten Exploits solcher Art fallen nach Ansicht von Dr.Web unter Exploit.Mozilla.

Ende des vergangenen Monats wurde auch eine Schwachstelle in Adobe-Produkten (Reader, Acrobat und Flash Player) entdeckt. Die Bibliothek authplay.dll, die SWF-Dateien in PDF-Dokumenten bearbeitet, erwies sich als anfällig. Sie ist beim Öffnen eines erstellten PDF-Dokuments sowie Aufrufen von Malware-Websites, die diese Schwachstelle ausnutzen, beteiligt. Alle entdeckten böswilligen PDF-Dateien gehören zur Exploit.PDF-Familie. Zum Zeitpunkt dieses Reports wurde die Sicherheitslücke noch nicht geschlossen. Alle oben genannten Vulnerabilities werden zum jetzigen Zeitpunkt zur Virenverbreitung über spezielle Websites aktiv ausgenutzt. Für alle diese Vulnerabilities sind bereits Patches verfügbar. Es wird deshalb dringend empfohlen, alle verfügbaren Updates zu installieren.

Wurm Win32.HLLW.Facebook in Twitter

Die Aktivität von Win32.HLLW.Facebook (Koobface) zeigte sich im vergangenen Monat wiederholt bei Twitter. Vor Win32.HLLW.Facebook warnen auch die Betreiber dieses Netzwerks. Die Virenanalysten von Doctor Web stellten fest, dass alle Modifikationen von Win32.HLLW.Facebook zahlenmäßig sehr gering sind. Die grundlegenden Funktionsalgorithmen des Schädlings haben keine Änderungen erfahren. Dadurch konnte er effektiv mit der Technologie Origins Tracing. aufgespürt werden. Nun werden die meisten neuen Varianten als Win32.HLLW.Facebook.origin detektiert.

Trojan.Winlock

Trojaner, die Windows blockieren, haben sich im Juli weiter verbreitet. Die meisten Schädlinge waren als Antivirenprodukte getarnt.

E-Mail-Viren und Phishing

Im Juli wurde Malware via E-Mail in geringerem Maße verbreitet als zuvor. Stattdessen tauchten Werbe-Mails für Medizin und Arzneimittel immer öfter auf. Es gab auch Fälle, wo solche Dienste wie Google Groups, Yahoo Groups, LiveJournal zum Hosten des Werbemülls verwendet wurden. Ansonsten war letzten Monat wenig Malware in der Spam-Flut anzutreffen. Eine Ausnahme bildet IRC.Flood.702, der als E-Card via ICQ verbreitet wurde.

Im Rahmen von E-Cards wurde die BAT.Hosts-Familie gestreut. Die Malware fügte dabei irreguläre Zeilen in die hosts-Systemdatei ein. Wenn der Anwender eine Homepage öffnen wollte, wurde er auf Phishing-Websites weitergeleitet. Solche Tricks zielten insbesondere auf Kunden spanischer Banken ab. Die entsprechenden Mails waren auch in spanischer Sprache verfasst. Unter den Phishing-Opfern waren im Juli auch Nutzer des Auktionshauses eBay und Kunden von America Online anzutreffen. Unter weiteren Phishing-Opfern waren Kunden solcher amerikanischer Banken wie Comerica Bank, Ally Bank und USAA.

Die Cyber-Kriminellen haben auch den Tod von Michael Jackson sowie die damit verbundenen Ereignisse ausgenutzt. Anstatt versprochener Hintergrundinformationen zu diesem Ereignis wurde ein Link versendet, der auf eine Malware-Website mit der nächsten Variante von Trojan.PWS.Panda.122 weiterleitete.
Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.