TREND MICRO (Nasdaq: TMIC, TSE:4704) hat mit TROJ_DONBOMB.A einen Trojaner identifiziert, welcher den aktuellen Bomben-Terror in London als Grundlage seiner Social Engineering-Technik verwendet. Der Trojaner verbreitet sich via eMail und enthält eine gefälschte Absenderadresse des Nachrichtensenders CNN. Im Textkörper wurde eine modifizierte HTML-Kopie der CNN-Webseite eingefügt, der Anhang verspricht Amateuraufnahmen des tragischen Vorfalls von vergangener Woche.
Der Trojaner TROJ_DONBOMB.A verwendet Social Engineering-Techniken, die in der jüngsten Vergangenheit auch bei anderer Malware immer häufiger zu beobachten sind: Um höhere Infektionsraten zu erreichen, täuschen die eMails vor, dass sie von einer bekannten und seriösen Nachrichtenagentur versendet wurden.
Die Verwendung eines konkreten und aktuellen Anlasses ist eine sehr bekannte und oft verwendete Methode bei Virenschreibern. Relativ neu ist aber das Vortäuschen der infizierten eMails, von einer bekannten Nachrichtenagentur abzustammen. Die Vermutung liegt nahe, dass diese Methode in Zukunft immer mehr an Bedeutung gewinnen wird.
Im letzten Halbjahr gab es verschiedene Malware, die ganz ähnliche Social-Engineering-Techniken verwendete:
- Die Familie der BOBAX-Würmer verbreitete sich in zahlreichen Varianten innerhalb des ersten Halbjahres 2005. Die letzte Variante stellt der am 2. Juni 2005 entdeckte Wurm BOBAX.P dar. In jeder dieser Varianten waren Falschinformationen über den Tod von Osama Bin Laden oder Saddam Hussein enthalten. Dabei wurden über 53.000 Rechner durch diese Malware-Familie infiziert.
- Der Virus VBS_PHEL.P, am 10. Juni 2005 entdeckt, verbreitete eine gefälschte Story über einen Selbstmordversuch des Popstars Michael Jacksons während seines Prozesses wegen sexueller Belästigung von Kindern. Die Schwachstelle gegen die sich der Virenangriff richtete ist seit über 5 Jahre bekannt. Dennoch schaffte es der Virus weltweit einige Dutzend Rechner zu infizieren.
- WORM_ANTIMAN.A, entdeckt am 26. April 2005, versprach ein Video zu enthalten, welches die "wahren Gründe" des Todes von Papst Johannes Paul II. aufdeckt. Nur einige hundert Infektionen durch diesen Wurm wurden registriert. Dies lag aber vor allem daran, dass sämtliche Varianten in rumänischer Sprache verfasst waren. Eine englische Variante hätte sicherlich zu einer wesentlich höheren Verbreitung geführt.
"Die Menschen sind immer neugierig auf neue Nachrichten, egal ob gute oder schlechte", erklärt David Kopp Leiter der TrendLabs EMEA bei Trend Micro. "Effektives Social Engineering beruht darauf, die Aufmerksamkeit der Menschen einzufangen. Für Virenschreiber, die kaltschnäuzig Vorteile aus menschlichen Tragödien ziehen, um ihre eigene zweifelhafte Bekanntheit zu steigern, stellt diese Technik eine äußerst effiziente Methode dar", so Kopp weiter.
Der Trojaner TROJ_DONBOMB.A verwendet Social Engineering-Techniken, die in der jüngsten Vergangenheit auch bei anderer Malware immer häufiger zu beobachten sind: Um höhere Infektionsraten zu erreichen, täuschen die eMails vor, dass sie von einer bekannten und seriösen Nachrichtenagentur versendet wurden.
Die Verwendung eines konkreten und aktuellen Anlasses ist eine sehr bekannte und oft verwendete Methode bei Virenschreibern. Relativ neu ist aber das Vortäuschen der infizierten eMails, von einer bekannten Nachrichtenagentur abzustammen. Die Vermutung liegt nahe, dass diese Methode in Zukunft immer mehr an Bedeutung gewinnen wird.
Im letzten Halbjahr gab es verschiedene Malware, die ganz ähnliche Social-Engineering-Techniken verwendete:
- Die Familie der BOBAX-Würmer verbreitete sich in zahlreichen Varianten innerhalb des ersten Halbjahres 2005. Die letzte Variante stellt der am 2. Juni 2005 entdeckte Wurm BOBAX.P dar. In jeder dieser Varianten waren Falschinformationen über den Tod von Osama Bin Laden oder Saddam Hussein enthalten. Dabei wurden über 53.000 Rechner durch diese Malware-Familie infiziert.
- Der Virus VBS_PHEL.P, am 10. Juni 2005 entdeckt, verbreitete eine gefälschte Story über einen Selbstmordversuch des Popstars Michael Jacksons während seines Prozesses wegen sexueller Belästigung von Kindern. Die Schwachstelle gegen die sich der Virenangriff richtete ist seit über 5 Jahre bekannt. Dennoch schaffte es der Virus weltweit einige Dutzend Rechner zu infizieren.
- WORM_ANTIMAN.A, entdeckt am 26. April 2005, versprach ein Video zu enthalten, welches die "wahren Gründe" des Todes von Papst Johannes Paul II. aufdeckt. Nur einige hundert Infektionen durch diesen Wurm wurden registriert. Dies lag aber vor allem daran, dass sämtliche Varianten in rumänischer Sprache verfasst waren. Eine englische Variante hätte sicherlich zu einer wesentlich höheren Verbreitung geführt.
"Die Menschen sind immer neugierig auf neue Nachrichten, egal ob gute oder schlechte", erklärt David Kopp Leiter der TrendLabs EMEA bei Trend Micro. "Effektives Social Engineering beruht darauf, die Aufmerksamkeit der Menschen einzufangen. Für Virenschreiber, die kaltschnäuzig Vorteile aus menschlichen Tragödien ziehen, um ihre eigene zweifelhafte Bekanntheit zu steigern, stellt diese Technik eine äußerst effiziente Methode dar", so Kopp weiter.
