3. Juli 2009

Der Moskauer Sicherheitsspezialist Doctor Web präsentiert einen Sicherheitsreport für den vergangenen Juni. Die Monatsanalyse belegte nochmals, dass sich Malware wie zuvor schnell und einfach per E-Mail verbreiten lässt. Der Virenüberwachungsdienst von Doctor Web verzeichnete einen rapiden Anstieg von Phishing-Mails, die auf Kunden von Online-Banking- und E-Payment-Diensten abgezielt haben. Die Internetmafia weist ebenfalls ein großes Interesse für zeitgleiche Attacken gegen mehrere Software-Plattformen auf.

E-Mail-Viren

E-Mail-Viren machen von sich schon seit Juni reden. Man kann ohne zu übertreiben sagen, dass der Monat Juni nach Verbreitung von Malware und bösartigen Links via E-Mail die Jahresstatistik anführt. Im Laufe des ganzen Monats wurde die Wachsamkeit der Benutzer mit verschiedenen Tricks eingeschläfert. Dabei wollten Übeltäter die Aufmerksamkeit der Adressaten für zugeschickte Mails gewinnen.

Die zugeschickten Mails bestehen hauptsächlich aus einfachem Text. Seltener werden sie im Stil weltweit bekannter Unternehmen wie Microsoft angefertigt.

Bösartige Dateien wurden entweder per Anhang bzw. Link verbreitet. Im letzten Fall öffnete sich die Schaddatei im Browser und lud ein Virus auf den PC. Nur einige wenige Virenschreiber haben im Juni ihre Kräfte in die Aufmachung von Malware-Sites investiert.

Das Betreff solcher Mails zeichnete sich durch eine Vielfalt aus. Die meisten Schaddateien verbreiteten sich als E-Cards. Früher hatten sich Trojanische Pferde als Updates für E-Mail-Clients (Microsoft Outlook, Ritlabs The Bat!) und als Codecs für Pornospots breit gemacht. Einige Mails enthielten Zahlungsbestätigungen für die im Internetshop gekaufte Ware. Sonstige erzählten von Kontoänderungen ohne Angabe des Banking- bzw. Bezahlsystems.

Die Monatsauswertung zeigt, dass sich mehrere Schadprogramme via E-Mail verbreitet haben. Als Tabellenführer erwies sich Trojan.PWS.Panda.122, der durch verschiedene Packprogramme getarnt wurde. Die Malware-Welle rollte auch durch Trojan.Siggen.2447, Trojan.DownLoad.29459, Trojan.DownLoad.38602 und das Pseudovirus Trojan.Fakealert.4471 heran.

Ein besonderes Interesse stellt der Versand von in der russischen Sprache aufgemachten Mails mit dem Betreff „An Hauptbuchhalter“ und einer angehängten Datei (1,2 MB). Diese Datei entpuppte sich als selbstextrahierendes Archiv mit einer ausführbaren Datei. Diese installiert sich auf dem System automatisch nach dem Starten der scr-Datei. Die Malware wird von Dr.Web als Trojan.Packed.2524 eingestuft. Diese Schaddatei lädt auch zwei weitere Dateien mit. Die erste erweist sich als Trojanisches Pferd Trojan.KeyLogger.3534, das Daten über geöffnete Fenster sowie Passwörter usw. sammelt und an Datendiebe weiterleitet. Die zweite ist ein legales Programm TeamViewer, das PCs per Fernzugriff nach Benutzererlaubnis verwalten soll. Bei diesem Schadprogramm handelt es sich aber über die Überwachung der Benutzeraktionen sowie weitere Datenmanipulationen.

Ende Juni wurde auch der Versand von Werbe-Mails festgestellt, die auf Websites mit medizinischen Präparaten weiterleiteten. Die verschiedene Funktionalität von Malware spricht dafür, dass mehrere Gruppen von Cyber-Kriminellen ihr Geschäft betreiben.

Multiplattform-Virus

In den letzten Monaten zeigen die Virenschreiber ein großes Interesse für Malware und jeweilige Verbreitungsmethoden, mit denen sie gleichzeitig mehrere verschiedene Plattformen (Browser bzw. Betriebssysteme) angreifen können. Früher gab es nur einige wenige Versuche, die unter Windows und Linux funktionierende Viren auf die Welt zu bringen. Heute beobachten wir einen Schritt vorwärts.

In der April-Auswertung teilte Doctor Web über Trojan.BrowseBan mit, der als Pug-in für Web-Browser Mozilla Firefox und Opera installiert werden kann.

Im Juni geriet ins Blickfeld der Übeltäter der Microblogging-Dienst Twitter. Der Dienst hat ein millionenschweres Publikum, dabei sind Microblogs zwischeneinander verbunden. So kann der Synergie-Effekt von der Internetmafia genutzt werden, indem ein einziger Link, der auf Malware-Sites weiterleitet, an Tausende Microblog-Besitzer verschickt wird.

Es sei auch bemerkt, dass Twitter-Nutzer verschiedene Betriebssysteme verwenden. Dies haben sich Virenschreiber zunutze gemacht. Der Angriff dieser Serie im Juni, von dem Doctor Web erzählt hatte, zielte sowohl auf Windows- als auch Mac-Anwender. Das Betriebssystem des Anwenders wurde dabei automatisch identifitziert. Je nach Betriebssystem wurde anschließend die jeweilige Schaddatei geladen.

Da die Nachrichtengröße bei Twitter eingeschränkt ist, benutzen die Übeltäter verschiedene Dienste, mit deren Hilfe sie Kurzadressen online stellen können. Beim Anklicken wird man auf Malware-Sites (http://tinyurl.com, http://bit.ly) weitergeleitet. Diese Links sind gekürzt und unpersönlich. Dadurch steigt die Effizienz der Angriffe. Obwohl einige Dienste solche Aktivitäten überwachen, bleibt Twitter ein gutes Werkzeug für Cyber-Kriminelle.

Ende Juni wurden bei Twitter weitere Links auf einen Videospot verschickt. Unter diesem Vorwand verbreitete sich das Dateivirus Win32.Virut.56.

Soziale Netzwerke

Soziale Netzwerke erfreuen sich in letzter Zeit großer Beliebtheit. Diese Beliebtheit wird von Übeltätern massenhaft ausgenutzt. Die Tabellenführer in diesem Bereich waren Trojan.Hosts und Trojan.Facebook.

Trojan.Hosts ändert nach der Installation die Systemdatei hosts auf solche Weise, dass der Benutzer auf eine speziell angefertigte Website weitergeleitet wird. Hier wird man aufgefordert, eine Anmeldung via SMS kostenpflichtig vorzunehmen.

Trojan.Facebook verbreitet vom gekaperten PC nach einer Kontaktliste des Benutzers Links auf einen vermeintlichen Werbespot, für den auch ein Codec installiert werden soll. In der Tat entpuppt sich das Codec als Malware. Nach der Installation wiederholt sich der Zyklus.

Die Verbreitungsmethoden für Schadsoftware über Kurznachrichten in sozialen Netzwerken und Instant-Messanging-Diensten (z.B. ICQ, E-Mail usw.) bleiben längere Zeit unverändert. In der Regel wird man gebeten, auf den gegebenen Link zu klicken bzw. die angehängte Datei zu starten.

Anwender, die solche Tricks durchschaut haben, können in Zukunft solche Atrappen mühelos umgehen. Die Virenschreiber setzen deshalb nur auf neue Nutzer. Das heißt, dass Einsteiger jederzeit attackiert werden können. Die Zahl der Neulinge nimmt auch immer weiter zu.

Solche Bedrohungen haben aber im Vergleich mit anderen keinen massenhaften Charakter. Sie nehmen nur einen geringen Anteil im gesamten Malware-Kuchen ein. Die Internetnutzer sind heute mehr über Bedrohungen in sozialen Netzwerken unterrichtet als über die durch USB-Geräte verbreiteten Viren. Der Grund dafür: soziale Netzwerke werden verstärkt von Medien belichtet.

Spam

Spammer fangen damit an, Ad-hoc-News in ihren Mails auszunutzen. Bereits einige Stunden nach dem Tod von Michael Jackson wurde diese Nachricht in Spam-Mails und sozialen Netzwerken zynisch ausgeschlachtet. Bisher fassten die Spamschreiber das Thema Iran ins Auge.

Im Juni konnten die Virenforscher von Doctor Web einen Anstieg von Phishing-Mails verzeichnen. Insgesamt nahm der Versand von allgemeinen Spam-Mails sowie vermeintlichen Mails von Banken und Bezahlsystemen zu. Diese Mails haben auf Kunden amerikanischer (Bank of America, JPMorgan Chase Bank, Community State Bank) und australischer (St. George Bank) Banken sowie von PayPal, des Auktionshauses eBay und Versandhändlers Amazon abgezielt.

Malware im Mailverkehr

Malware auf PCs der Anwender