WM-Würmer, Rootkits, Zero-Day-Attacken und noch mehr Malware
Im Januar 2006 gab es zudem ein Jubiläum: der erste PC-Virus, Brain, der Computer über Disketten infizierte, feierte seinen zwanzigsten Jahrestag. Wie der nachstehende Bericht aufzeigt, haben sich seit damals viele Dinge geändert.
Gegenwärtig gibt es mehr als 185.000 Viren und ihre Zahl steigt auch weiterhin sehr schnell. Die größte Veränderung in den vergangenen 20 Jahren liegt jedoch nicht in der Art der Viren oder der Menge der Malware – es sind vielmehr die Motive der Virenautoren. Die wichtigste Änderung ist die Entwicklung vom virenschreibenden Hobbyprogrammierer hin zu organisierten kriminellen Banden, die Viren schreiben und einsetzen, um finanziellen Gewinn zu erzielen. Dieser Trend setzt sich fort: der Großteil neuer Malware hat finanzielle Hintergründe. Mit der eingesetzten Malware werden infizierte PCs in Bots verwandelt, die zur Verbreitung von Spam, zum Phishing mit E-Mails oder zum Diebstahl von persönlichen Daten und Finanzinformationen dienen.
Im März 2005 führte F-Secure das BlackLight-Modul zur Erkennung von Rootkits ein. Bei Rootkits handelt es sich um effektiv getarnte Mechanismen, mit denen Malware-Autoren unter Umgehung von Schutzmaßnahmen Computer "einnehmen" und gänzlich unbemerkt ihren Tätigkeiten nachgehen können. Seit dieser Zeit ist eine ständig wachsende Anzahl unterschiedlichster Malware zu verzeichnen, die die Rootkit-Technologie zu Tarnzwecken verwendet. Interessanterweise bieten die meisten Hersteller von Sicherheitssoftware immer noch keine Rootkit-Erkennungstechnologien an – unverständlich, nachdem der Fall des Sony DRM-Rootkits im letzten Jahr für Schlagzeilen sorgte. Und solche Fälle nehmen zu – erst im Mai 2006 wurde auf einer Online-Spiele-Site ein Schleusenprogramm gefunden, das die Rootkit-Technologie verwendet, um insgeheim Informationen von Spielern zu sammeln, während diesen vorgegaukelt wurde, ein scheinbar nützliches Pokerzusatzprogramm herunterzuladen. Glücklicherweise wurden diese Machenschaften vom F-Secure BlackLight-Radar entlarvt und erfolgreich neutralisiert.
In der ersten Jahreshälfte 2006 erreichte zudem die auf Mobiltelefone gerichtete Malware die 200er-Marke und hat diese nun längst überschritten. Wenn Sie diese Zahl mit der Anzahl der PC-Viren vergleichen, ist dies noch kein Grund für einen schrillenden Alarm, aber es ist ein Indiz für einen zunehmenden Trend. Da Mobiltelefone immer mehr computerähnliche Funktionen erhalten und unter anderem die Möglichkeit bieten, finanzielle Transaktionen durchzuführen, ist es sicher, dass die Malware-Gemeinschaft mit neuen Exploits reagieren wird.
Ein hektischer Jahresbeginn
Das Jahr 2006 begann sehr hektisch mit dem Zero-Day-Exploit im Grafik-Modul von Windows, der sich die Windows Metafiles (WMF)-Bildverarbeitung des Moduls zunutze machte – ein Exploit, der Ende 2005 gefunden wurde. Innerhalb weniger Tage wurden Unmengen bösartiger Dateien gefunden, die den Exploit verwendeten – und weit und breit kein Hersteller-Patch in Sicht. Ilfak Guilfanov von DataRescue war der Erste, der ein temporäres Patch für diese Sicherheitslücke entwickelte. Am 5. Januar brach Microsoft mit der Verbreitung eines Updates mit der Gewohnheit, Updates nur einmal pro Monat zur Verfügung zu stellen. Einer der Vorfälle war ein zielgerichteter Angriff auf das britische Parlament. Über einen südkoreanischen Computer wurden E-Mails an einige Dutzend hochrangiger E-Mail-Adressen gesendet. Die E-Mails forderten die Empfänger auf, die angehängte Datei – MAP.WMF – zu öffnen. Mit diesem Vorgang wurde auf dem betroffenen Computer ein Schleusenprogramm installiert, das den unbeschränkten Zugriff auf alle Daten des Rechners ermöglichte. Besonders bemerkenswert an diesem Fall waren die unter Verwendung von Social-Engineering-Methoden verfassten E-Mail-Texte, die fast wie eine Nachricht aus einem Agentenfilm anmuteten, indem sie einerseits ganz auf Verschwiegenheit setzten und andererseits natürlich die Neugier der Empfänger weckten.
Der Januar blieb ein ereignisreicher Monat durch einen weiteren E-Mail-Wurm, der sich ab dem 17. Januar äußerst aggressiv verbreitete. Interessant war dieser neue Wurm namens Nyxem.E (mit Aliasnamen wie MyWife, Blackworm und Blackmal) durch zwei Eigenschaften: er verwendete einen Webzähler, um die Anzahl der infizierten Computer aufzuzeichnen, und war darauf programmiert, an einem bestimmten Tag in jedem Monat Dateien zu überschreiben. In den Tagen der Cyberkriminalität sehen wir nur selten Malware mit schädlicher Payload. Der Webzähler war eine weitere interessante Eigenschaft dieser Malware. Zwar handelt es sich nicht um die erste Malware, die einen Zähler verwendet, aber in diesem Fall waren wir in der Lage, über den Zähleranbieter statistische Daten zu erhalten, mit denen wir alle den Zähler "besuchenden" IP-Adressen erfassen konnten. Wir bildeten die IP-Adressen mit unserer F-Secure Worldmap-Technologie ab und erstellten so eine Weltkarte mit Anzeige der betroffenen Rechner.
Die Länder mit den meisten Infektionen waren Indien, Peru, Türkei und Italien. Als die Malware sich am 3. Februar aktivierte, hatten die meisten Benutzer ihre Computer dank der in der Presse verbreiteten Warnungen bereits bereinigt. Dennoch wurden Excel-Kalkulationstabellen und/oder Word-Dokumente von Tausenden von Benutzern überschrieben. Insgesamt wurden von dem Wurm elf verschiedene Dateiformate überschrieben. Nyxem.E aktiviert sich auch weiterhin an jedem dritten Tag eines Monats und versucht, Dateien auf dem infizierten System zu überschreiben. Die meisten Berichte betroffener Benutzer stammen aus Indien.
Macintosh Virus
Die virenfreien Zeiten von Macintosh sind vorüber. Mit Leap.A trat im Februar der erste, jemals für Mac OSX gefundene Virus auf. Die Malware wurde ursprünglich im Diskussionsforum MacRumors abgelegt. Dem Virus, der sich mittels iChat und über infizierte lokale Dateien verbreitet, folgten schnell andere Viren für die gleiche Plattform. Unter anderem auch ein Proof-of-Concept-Virus namens OSX/Inqtana.A, der eine Schwachstelle in der Bluetooth OBEX-Push-Funktionalität nutzt, um sich auf Computern zu verbreiten.
Rootkits bleiben nach wie vor ein Problem
Zu den großen Vorkommnissen von 2005 zählt der Sony BMG-Rootkit-Fall. Sony vertrieb damals mit
einem DRM (Digital Rights Management)-Kopierschutz versehene CDs. Der Kopierschutz nutzte Rootkit-Technologien, um seine Existenz vor dem Benutzer zu verheimlichen. Rootkits blieben im ersten Quartal 2006 mit neuer Malware, die Rootkit-Technologien zum Verbergen der installierten Dateien verwendet, ein Problem. Zu den Beispielen zählen Varianten des Wurms Feebs, die sich mittels Rootkit-Methoden versteckten. Der Wurm verbreitet sich als E-Mail-Anhang, generiert aber keine eigenen E-Mails, sondern wartet, bis der Benutzer eine Nachricht versendet, und hängt bei der Übertragung ohne Wissen des Anwenders automatisch seinen bösartigen Anhang an die E-Mail an. "Vorteilhaft" an diesem Vorgehen ist, dass die elektronische Nachricht stets wie eine "echte" E-Mail aussieht, die sie letztendlich ja auch ist! Verglichen mit anderen E-Mail-Würmern ist die Verbreitungsgeschwindigkeit jedoch um ein Vielfaches langsamer.
Im Februar erreichten uns Berichte über einen Fall, der dem des Sony BMG-Vorfalls sehr ähnelte. Die deutsche DVD-Ausgabe des Films "Mr & Mrs Smith" enthielt einen Kopierschutzmechanismus, der eine Rootkit-ähnliche Tarntechnologie verwendete.
wrapup 2006 mr_ms_smith
Das auf der DVD verwendete Kopierschutzsystem von Settec Alpha-DISC verbirgt seinen Prozess vor dem Anwender. Da es aber glücklicherweise – und damit anders als das von Sony verwendete BMG-Rootkit – keine Dateien oder Registrierungsschlüssel verbirgt, ist es unmöglich, dieses Rootkit für die Tarnung bösartiger Dateien zu missbrauchen.
Unsere Empfehlung an Softwarehersteller aller Art (nicht nur von kopiergeschützten Produkten) ist eindeutig. Sie sollten es stets vermeiden, die Komponenten vor Benutzern – besonders vor Administratoren – zu verbergen. Sie dienen selten den Bedürfnissen des Benutzers, und in vielen Fällen ist es sehr einfach, mit diesen Methoden missbräuchlich Sicherheitslücken zu erstellen.
Zwei der am häufigsten zur Installation von Bot-Clients verwendeten Würmer verfügten über Rootkit-Technologien. Im März wurden Varianten der Bagle- und Mydoom-Wurmfamilien gefunden, die Rootkit-Technologien verwendeten, um ihre Dateien, Prozesse und Registrierungsschlüssel zu verbergen. Die Bagle-Varianten sind für die Demonstration der Virenentwicklung und Zusammenarbeit zwischen Virenautoren besonders interessant. Vor zwei Jahren war Bagle ein einfacher Virus. Er bestand aus einer EXE-Datei und verbreitete sich selbst per E-Mail. Der Virus hat sich verändert. Die Bagle-Autoren pflegen zum Beispiel ein komplexes Netzwerk und haben eine Suite aus Programmen erstellt, die wie im folgenden Diagramm veranschaulicht, zusammenarbeiten.
Die in beiden erwähnten Fällen verwendete Rootkit-Technik wird als sogenanntes Kernel-Mode-Rootkit bezeichnet. Damit wird ausgedrückt, dass das Rootkit direkten Zugriff auf alle Systemfunktionen besitzt und seine Entdeckung so noch schwieriger wird. Sollten die Bagle-Autoren ernsthaft beschlossen haben, ihr Augenmerk verstärkt auf den Ausbau ihrer Malware-Suite mit Rootkit-Technologien zu legen, dann erscheint dieser erste Schritt als sehr gefährlich. Deshalb werden wir diese Machenschaften ständig im Auge behalten. Glücklicherweise steht mit dem Rootkit-Eliminierungs-Scanner BlackLight von F-Secure ein Tool zur Verfügung, das diese Bedrohungen erkennen kann.
Mitte Mai erschien eine neue Variante, die Rootkit-Methoden missbrauchte. Durch die Rootkit-Erkennungstechnologie BlackLight von F-Secure wurde auf einer Online-Poker-Site ein Schleusenprogramm enttarnt, das verdeckt Spielerdaten für einen potenziellen Missbrauch aufzeichnete. Das auch als Rakeback-Berechnungsprogramm bekannte Online-Tool RBCalc.exe wurde unwissentlich von der legalen Spiele-Site Checkraised.com verbreitet. Das Schleusenprogramm, eine Methode zur Umgehung der üblichen Authentifizierung oder Absicherung von Fernzugriffen auf einen Computer, wurde unter Verwendung eines Rootkit-Treibers durch heimliche Ablage von Dateien auf dem Computer der Benutzer installiert, um die Aktivitäten unbemerkt durchzuführen. Damit war der Programmautor in der Lage, die Anmeldeinformationen auf dem Computer des Benutzers für verschiedene Online-Poker Websites zu missbrauchen. Mit dem gewonnenen Zugang konnte der Hacker nun gegen sich selbst spielen, absichtlich verlieren und den Gewinn einstreichen. Kurz nach der Entdeckung entfernte Checkraised.com die betroffenen Exe-Dateien von seiner Website und gab dort ein offizielles Statement ab. Die Anwender wurden aufgefordert, ihre bisherigen Kennworte für die Poker-Site zu ändern. Darüber hinaus erhielten die Anwender eine Anleitung für die manuelle Entfernung der Malware.
Mobile Malware für Jedermann
Seit Juni 2004 treten immer mehr Handyviren auf. Ihr Schadenspotenzial ist aber bisher sehr begrenzt. Mit dem Aufkommen des Trojaners Redbrowser wurde Ende Februar die erste Java- oder J2ME-Malware gefunden. Redbrowser gibt vor, kostenlose WAP-Services anzubieten und versucht, den Benutzern finanzielle Schäden zuzufügen. Während der Ausführung sendet der Trojaner eine kostspielige SMS an eine russische Rufnummer. Der Schaden für den Benutzer: Pro Nachricht werden etwa 5 US-Dollar Gebühren fällig. Glücklicherweise war der Exploit durch die Verwendung der russischen Sprache jedoch sehr eingeschränkt. Dennoch rechnen wir in der Zukunft vermehrt mit vergleichbaren Angriffen – dann auch in anderen Sprachen.
Mit Flexispy wurde im März 2006 die erste mobile Spyware-Anwendung gefunden. Bei der kommerziellen Anwendung meldet sich der Kunde bei einem Portal an, wobei die Software, wenn sie auf dem Mobiltelefon installiert ist, alle Anrufe, SMS- und MMS-Nachrichten überwacht und auf dem Portal ablegt. F-Secure Mobile Anti-Virus erkennt und entfernt diese Spyware-Anwendung, da sie sich ohne Information über ihre Funktion selbst installiert.
Im März 2006 wurde die 200er-Marke für mobile Malware erreicht und überschritten.
Wrapup 2006 NumberOfMobileMalware
Die F-Secure Virus Worldmap
Bei der F-Secure Virus Worldmap handelt es sich um ein System, das in den Security Research Labs verwendet wird, um die weltweite Verbreitung von Viren in Echtzeit anzuzeigen. Das System ist in der Lage, frühere Ereignisse wiederzugeben. Dies kann z. B. zum Vergleich eines aktuellen Ausbruchs mit einem vorherigen genutzt werden, um daraus die notwendige Alarmstufe abzuleiten. Eine öffentliche Version wurde im März auf unserer Website platziert und ermöglicht es nun jedem Anwender, sich über die weltweite Verbreitung von Viren zu informieren. Besucher unserer Website können sich nun immer und überall einen Überblick über die jeweilige Virensituation verschaffen.
wrapup 2006 fs_worldmap
Phishing ist populär
Eine von F-Secure über alle Top-Level-Domänen (com/net/org/us/biz/info) hinweg durchgeführte einfache Suche nach gebräuchlichen Namen für Banken und ähnlichen Finanzinstituten ergab eine recht gute Präsenz dieser "Branche" im Web. Natürlich sind einige dieser Institute völlig legitim, die meisten davon sind jedoch betrügerisch und möchten Leichtgläubigen das Geld aus der Tasche ziehen.
Schlüsselwort Anzahl der Domänen
citibank* 497
bankofamerica* 407
lloyds* 994
bnpparibas* 41
egold* 691
hsbc* 1258
chase* 6470
paypal* 1634
ebay* 8057
Eine aktuelle Studie zum Thema Website-Phishing-Techniken ergab, dass eine optisch täuschend echte Website in der Lage war, 90% der an der Studie beteiligten Probanden zu übertölpeln – auch die technisch versiertesten. Es war die Aufmachung, das Aussehen, nicht das eigentliche Spoofing der Sicherheitsmerkmale, das überzeugte, ein Aspekt, den unser Phishing-Experte recht denkwürdig fand.
Über alle Lehrauffassungen hinweg und als Zusammenfassung dieses im letzten Sommer in der Zeitschrift Neuron veröffentlichen Artikels bleibt zu sagen: Wenn man etwas nicht oft sieht, sieht man es oft nicht. Mit vielleicht etwas anderen Worten: Wenn Sie nicht oft Fälschungen sehen, können Sie Fälschungen häufig nicht erkennen. Aus diesem Grund setzen viele Phisher bei der Entwicklung optisch täuschender Phishing-Sites weniger auf technische List und Finessen, sondern vielmehr auf die Schwächen der menschlichen Wahrnehmung. Wenn etwas so aussieht, wie es das menschliche Gehirn erwartet, weigert es sich, etwas anderes darin zu sehen.
Warum gestatten Banken nicht die Personalisierung Ihrer Banking-Oberfläche mit einem von Ihnen bevorzugten Bild. Vielleicht mit Ihrem Porträtfoto? Mit dem Ihres Haustiers? Ihrer Freundin? Dem Logo Ihrer Lieblingsmannschaft? Mit etwas, das zu Ihnen gehört – das Sie vermissen würden, wenn es nicht dort wäre. Mittlerweile gibt es Unternehmen, die an optischen Personalisierungstechnologien arbeiten. Wir von F-Secure halten dies für einen guten Ansatz, der dabei helfen könnte, den Umfang des Phishing-Netzes zu reduzieren.
Moderner Autoklau
Neben den Viren gibt es mittlerweile neue Bedrohungen, die zum Malware-Umfeld zählen: moderne Autodiebe brauchen zum Einbruch keine Brecheisen oder umfunktionierte Kleiderbügel mehr – sie nutzen Laptops. Wenn Ihr teurer Wagen ein schlüsselloses und mit 40-Bit verschlüsseltes Authentifizierungs-/Zündsystem verwendet, können möglicherweise 60 Sekunden darüber entscheiden, ob Sie mit Ihrem Auto fahren können oder nicht.
Robert Vamosi hat einen Artikel zum Thema schlüssellose Zündsysteme verfasst, der auf einer Studie der Johns Hopkins University und der RSA Security basiert. Hersteller von RFID-Systemen sehen häufig keinen Grund zur Sorge. Vamosi schreibt in diesem Zusammenhang: Vielleicht sollten sie David Beckham fragen, dessen BMW X5 mit exakt dieser Technik ausgestattet war und in Spanien gestohlen wurde. Unser Rat kann demnach nur sein: Solange dies nicht geändert wird, sollten Sie sich eine Aluminiumfolie als sichere Aufbewahrungshülle für Ihren Schlüssel besorgen! Sie finden diesen interessanten Artikel unter folgender Adresse: http://reviews.cnet.com/ 4520-3513_7-6516433.html?tag=txt
Und was macht Word?
Ende Mai gab es große Diskussionen über eine neue Zero-Day-Sicherheitslücke in Word. Ein US-Unter-nehmen erhielt gezielt E-Mails von externen Quellen, die als interne Mails getarnt waren und ein Worddokument angehängt hatten. Bei der Ausführung startete diese Datei verborgen durch ein Rootkit ein Schleusenprogramm, das Angreifern einen unbeschränkten Zugriff auf den betroffenen Computer ermöglichte und von einem unter der chinesischen Domäne 3322.org registrierten Host betrieben wurde.
DOC-Dateien sind aus verschiedenen Gründen üble Vehikel für Angreifer. Als vor einigen Jahren Makroviren das größte Problem darstellten, verwehrten viele Unternehmen nativen DOC-Dateien bereits an ihren E-Mail-Gateways den Zugang. Heutzutage werden DOC-Dateien in der Regel zugelassen. Viel entscheidender aber sind die Schwachstellen in Word und die mangelnde Sorgfalt oder Bereitschaft der Benutzer, im gleichen Umfang wie für das Betriebssystem Windows auch für die Anwendung Word Patches zu installieren.
Bei 3322.org handelt es sich um einen kostenlosen Host-Bouncing-Service in China. Jeder kann einen beliebigen Hostnamen unter 3322.org (z. B. wasauchimmer.3322.org) registrieren, und der Service verweist auf diesen Hostnamen unter jeder gewünschten IP-Adresse. Es gibt tatsächlich eine Reihe dieser Dienste. Darunter: 8866.org, 2288.org, 6600.org, 8800.org und 9966.org. Wenn sich unter Ihren E-Mails Word-Dokumente befinden, deren Herkunft Sie anzweifeln, raten wir Ihnen dringend, die Protokolle Ihres Unternehmens-Gateways zu prüfen, um herauszufinden, ob ein Datenverkehr mit den erwähnten Diensten besteht.
Der mobile Da Vinci-Virus – Wahrheit oder Erfindung?
Ebenfalls Ende Mai sorgte eine indische Online-Publikation mit einer Meldung über einen neuen mobilen Virus mit dem Namen "Da Vinci-Virus" für Aufregung. Diese Meldung ging mit dem Marketing-Hype rund um den Hollywood-Film "The Da Vinci Code" einher.
wrapup 2006 davincim
Bis Ende Mai erhielt das F-Secure Data Security Laboratory keine Meldung und auch kein Sample zu dieser Malware. Ist es nun Wahrheit oder Erfindung? Die Zeit wird es zeigen. Weitere Informationen hierzu finden Sie unter: http://ww1.mid-day.com/news/city/2006/may/137895.htm
Weltcup oder Eigentor?
Zu guter Letzt beschreiben wir einen Fall, der Fußball-Fans in Deutschland betrifft. Mit E-Mails zum Thema Weltmeisterschaft verspricht ein neuer Massenmail-Wurm namens Banwarum (auch bekannt als Zasran und Ranchneg) bei Antwort günstige Kaufgelegenheiten für Tickets. Der Wurm versendet sich selbst als kennwortgeschütztes Archiv und enthält in der Nachricht das entsprechende Kennwort. Die E-Mails sind in deutscher Sprache verfasst.
Es gibt bereits drei Varianten dieses Wurms, alle mit ähnlicher Funktionalität. FSAV erkennt die Wurmvarianten .A und .B mit der Aktualisierungsversion 2006-05-24_04 und die Variante .C mit der Aktualisierungsversion 2006-05-25_01. Eine der gesendeten E-Mails hat etwa folgenden Inhalt:
"Hallo,
du wolltest die Weltmeisterschaftsspiele sehen? Frag nicht nach meinem Namen und warum ich dies tue. Hier hast Du 5 Tickets, bei denen es sich um eine spezielle Online-Version handelt. Drucke sie aus und unterzeichne sie. Das Kennwort für das Archiv lautet (psw).
Mit freundlichen Grüßen Ein Unbekannter ;)"
Allen Fußballfans empfiehlt F-Secure, Tickets und weitere Informationen nur über die offizielle Site der FIFA zu beziehen.
Virenstatistik erstes Halbjahr 2006
Zu den Top-10-Viren, die auf der F-Secure Worldmap für das erste Quartal 2006 verzeichnet wurden, gehören:
1.
Email-Worm.Win32.Nyxem.e
17,3 %
2.
Net-Worm.Win32.Mytob.x
11,2 %
3.
Email-Worm.Win32.NetSky.q
11,2 %
4.
Net-Worm.Win32.Mytob.az
11 %
5.
Email-Worm.Win32.Sober.y
5,7 %
6.
Email-Worm.Win32.Bagle.fj
4,3 %
7.
Email-Worm.Win32.Mydoom.m
3,3 %
8.
Email-Worm.Win32.Doombot.g
2,4 %
9.
Net-Worm.Win32.Mytob.c
2,2 %
10.
Net-Worm.Win32.Mytob.bi
2,2 %
20 Jahre nach der Entdeckung des ersten Virus, Brain, sind bis Juni 2006 über 185.000 Viren gemeldet und registriert worden.
Quelle: Pressemeldung F-Secure GmbH, 27.06.06
Dieser Beitrag wurde bisher 1109 mal gelesen.
(Rang 1050 auf Doppelklicker.de)
