Der vergangene Monat war durch eine neue Rootkit-Variante von BackDoor.Tdss gekennzeichnet. Diese Variante konnte durch Dr.Web erfolgreich detektiert und neutralisiert werden. Das Rootkit versteckte sich in der Regel im System und ermöglichte Übeltätern die volle Kontrolle über einen infizierten Rechner. Des weiteren werden wir auf Malware eingehen, die angeblich den Standort von Handy-Benutzern bestimmen kann. Weitere Trends: der Versand von Kurzmitteilungen in sozialen Netzwerken bleibt wie zuvor eine der Hauptmethoden zur Verbreitung von Trojanern, die Virenverbreitung per E-Mail ließ Ende November nach.

BackDoor.Tdss.565 und seine Varianten

Am 12. November 2009 veröffentlichte Doctor Web eine neue Version des GUI-Scanners. Mit dem aktualisierten Scanner konnte man das von BackDoor.Tdss.565 (u.a. als TDL3 bekannt) befallene System erfolgreich desinfizieren.

Diese Rootkit-Spezies verfügt über eine Vielzahl von raffinierten Tricks, die es ermöglichen, fast alle am Markt vorhandenen Antivirentechnologien zu umgehen. Auf diese Weise kann Malware mühelos und für die meisten Antivirenprogramme unsichtbar ins System eindringen.

So verfügt BackDoor.Tdss.565 über eine neue Methode der Installation im System und täuscht dadurch alle zur Zeit vorhandenen Tools zur Verhaltensanalyse. Dies belegt, dass Virenschreiber nicht nur die signaturbasierte Suche und Heuristik, sondern auch Tools zur Verhaltensanalyse ins Visier genommen haben.

Außerdem schufen die digitalen Räuber einen verschlüsselten virtuellen Datenträger, der sich auf der Festplatte des Anwenders befinden sollte. Dort befinden sich einige Dateien, die für das Weiterleben des Trojaners erforderlich sind. Um diesen Datenträger ins System unsichtbar einzuschleusen, wird er durch spezielle Techniken maskiert.

Um weiter funktionsfähig zu bleiben, infiziert das Rootkit einen Treiber, der für eine intakte Funktion lokaler Datenträger verantwortlich ist. Dabei wird automatisch festegestellt, welche Art der Oberfläche von Datenträgern auf einem infizierten PC verwendet wird. Anschließend wird der entsprechende Treiber infiziert.

BackDoor.Tdss.565 verwendet auch weitere spezifische Techniken. Die Hersteller von Antivirensoftware mussten möglichst schnell ein Gegengift entwickeln. Die Sicherheitsspezialisten von Doctor Web waren die ersten, die diese Aufgabe gemeistert haben. Das Ergebnis ist jetzt im Dr.Web Scanner zu sehen, der bei allen Dr.Web Antivirenprodukten für Windows aktuell ist!

Gefälschte Navigationssoftware

Gefälschte Antivirensoftware wird zur Zeit aktiv weiter verbreitet. Davon hat Doctor Web mehrmals in monatlichen Sicherheitsreports und Viren-News mitgeteilt.

Handy-Software erfreut sich bei Cyber-Kriminellen in letzter Zeit großer Beliebtheit. Kein Wunder, denn fast jeder verfügt heute über ein Mobiltelefon. In den letzten Monaten war keine Handy-Malware in Sicht. Im November wurden aber E-Mails mit Informationen über die Software versendet, die den aktuellen Standort des Handy-Benutzers bestimmen kann. Das Ziel der Betrüger war es, durch solche Malware Passwörter der Benutzer zu klauen.

Anfang November wurden E-Mails mit der Software versendet, die angeblich den Standort eines beliebigen Handy-Benutzers verfolgen kann. Potenzielle Opfer bekundeten großes Interesse an der kostenfreien Software. Die angehängte Datei erwies sich aber als Trojan.PWS.AccHunt.11 (Passwort-Dieb).

Trojan.PWS.Multi.109 wurde ähnlich verbreitet, hieß aber diesmal etwas anders. Im Anhang gab es zwei Dateien: ein Installationsassistent und ein extra vorbereitetes Installationspaket. Die Installation des Programms erfolgte zunächst erfolgreich, danach wurde ein weiteres fehlendes Installationspaket angefordert. Man dachte, dass Malware-Entwickler überhaupt vergessen hätten, weitere zusammengehörende Dateien ins Installationspaket hinzuzufügen. Die übermittelten Passwörter waren aber schon in den Händen der Übeltäter.

Tricks in Online-Spielen

Es ist kein Geheimnis, dass Internetnutzer in Online-Spielen gehörige Geldsummen für verschiedene Privilegien ausgeben. Die Rechtsinhaber verdienen gut daran. Die Übeltäter wollen natürlich mitverdienen und hecken vielfältige Betrugsmaschen aus. Die Verbreitung von Malware geht mit der Abzocke einher.

In diesem Sicherheitsreport wollen wir auf das in Russland beliebte Online-Spiel "Para Pa: Gorod Tantsev" (zu Deutsch: Tanzstadt) eingehen. Die Beliebtheit des Spiels wächst ständig. Spieler, die virtuelle Vorrechte haben wollen, gibt es immer mehr. Dafür müssen sie aber ihr virtuelles Guthaben aufladen.

Die Übeltäter bieten Spielern verschiedene Programme an, durch die man täglich sein Guthaben aufladen, Vorrechte des Administrators und viele andere Möglichkeiten erhalten kann.

In der Tat werden Spieler zu Opfern. Man wird erpresst und riskiert dabei, sein Spieler-Profil zu verlieren. Die Übeltäter wollen nicht nur an das Geld des Spielers, sondern auch an seine Privatdaten herankommen. Um sein Benutzerkonto zurückzubekommen, muss man zahlen. Dafür gibt es solche Plattformen wie files4money.com, files4sms.com, mix-file.com.

Hier werden auch verschiedene Schadprogramme als kostenfreie Software ausgegeben. Auf solche Weise wurde z.B. BackDoor.Dax.47 verbreitet.

E-Mail-Viren

Für den vergangenen Monat war auch der Versand neuer Varianten von Trojan.PWS.Panda sowie Trojan.Proxy charakteristisch. Da aber Anwender von Antimalwareherstellern ständig auf dem Laufenden gehalten werden, sehen sich die Virenschreiber gezwungen, ihre Taktik zu wechseln.

Um den Versand von böswilliger Software zu maskieren, wurde z.B. die Administration von Facebook in Verbindung gebracht. Im November gelangten auch MySpace-Mitglieder ins Visier der Übeltäter. In speziell angefertigten E-Mails wurde ihnen mitgeteilt, dass ihre Passwörter geändert wurden. Ein neues Passwort sollten man im angehängten Archiv finden. In anderen Mails wurde man aufgefordert, ein Tool herunterzuladen, um sich auf der Website des sozialen Netzwerks wieder einloggen zu können. Dabei wurden die Anwender auf eine gefälschte Website weitergeleitet.

Zur Verbreitung von Malware via E-Mail werden von Cyber-Kriminellen weit bekannte Namen genannt. Im November fiel NACHA (The Electronic Payment Association) zum Opfer. So teilte man den angeschriebenen Anwendern mit, dass ihr E-Payment abgelehnt wurde. Weitere Informationen sollte man auf der NACHA-Website erfahren. Auf diese Weise wurde auf PCs der leichgläubigen Anwender eine neue Variante von Trojan.PWS.Panda geladen.

Die Verbreitung von Malware durch Spam-Mails blieb im November auf dem Vormonatsniveau, d.h. in der ganzen Spamflut konnte man vielfältige Spielarten von Schadprogrammen sowie Links zu Malware-Websites erkennen. In der zweiten Hälfte des Monats ließ der Spam-Versand nach. Ende des Monats fiel der Anteil von Spam-Mails im Vergleich zum Monatsanfang um das Doppelte. Diese Pause kann aber nicht lange dauern. Die Cyber-Kriminellen wollen voraussichtlich aufatmen und ihre Aktivitäten neu aufstellen.

Phishing

Im Anschluss an E-Mail-Viren erzählen wir Ihnen über Phishing-Methoden, mit denen Cyber-Kriminellen Privatdaten der Anwender klauten.

Um den Zugriff auf Benutzerkonten der Vkontakte-Mitglieder zu erhalten, wurden Mails mit Links auf eine Malware-Website versendet. Auf einer gefälschten Seite sollte man seine Daten eingeben. Diese wurden sofort an Übeltäter gesendet. Anschließend wurde man auf eine echte Website weitergeleitet. So wurden Benutzerdaten unauffällig geklaut.

Es gab aber auch kompliziertere Tricks. Im Namen von Google wurden Mails versendet, in denen man aufgefordert wurde, Geld zu verdienen. Dafür sollte man zunächst auf eine angegebene Website gehen und sich mit einem entsprechenden Programm bekannt machen.

In einigen Mails war eine Twitter-Kurznachricht mit dem Link zum extra vorbereiteten Artikel zu finden. Es gab auch Links, die direkt zu Google Services weiterleiteten.

In beiden Fällen hatten solche Aktionen das Ziel, das Opfer auf eine speziell vorbereitete Website zu bringen, wo danach detaillierte Informationen gesammelt wurden. Um es zu schnellen Handlungen zu bewegen, gab es extra einen Zeitticker.

Malware im E-Mail-Traffic

Malware auf PCs der Anwender