Der Sicherheitsspezialist Doctor Web präsentiert einen Sicherheitsreport für den August 2009. Für Schlagzeilen in diesem Monat sorgte Win32.Induc. Dies ist ein Schädling, der die Entwicklungsumgebung Delphi infiziert. Er besitzt keine schädliche Funktionalität, birgt in sich aber großes Potenzial für Cyber-Kriminelle. Deshalb gilt unser Augenmerk der Detektion und Desinfektion von Win32.Induc. Die Virenschreiber machen sich weiter soziale Netzwerke und erprobte Social-Engeneering-Methoden zunutze. Es wurden auch neue Techniken zur Verbreitung von Malware und Spam-Mails eingesetzt und zwar via Captcha. Zu Schaden kamen auch Nutzer der VoIP-Telefonie. Der Trend wird von Übeltätern weiter ausgenutzt.

Delphi und andere Entwicklungsumgebungen unter Angriff

Win32.Induc verbreitet sich bereits einige Monate und infiziert Betriebssysteme, wo Delphi 4 bis 7 installiert ist. Der Schädling modifiziert eine der Bibliotheken, die bei der Projektkompilation verwendet wird. Auf diese Weise wird jedes Programm, das in der vom Virus befallenen Delphi-Version entwickelt wird, von Win32.Induc infiziert.

Dieses Virus fügt infizierten Systemen keinen sichtbaren Schaden zu. Dabei verbreitet sich der Schädling immer weiter. Solche Technik kann in der Zukunft zur Verbreitung von anderer Malware verwendet werden. Doctor Web erkennt in Win32.Induc eine potenzielle Bedrohung und bietet schon heute eine effiziente Desinfektion.

Win32.Induc wurde zusammen mit beliebter Software verbreitet. Nachdem die Kennungen von Win32.Induc in die Virendatenbanken aufgenommen worden waren, wurden diese Programme blockiert. Dies brachte sowohl Anwendern als auch Entwicklern nur Nachteile. Nachdem aber die Desinfektion von Win32.Induc befallenen Dateien mit einer neuen Signatur in der Dr.Web Virendefinitionsdatei möglich wurde, ging die Aktivität dieses Schadprogramms zurück.

Bild 1. Aktivität von Win32.Induc in der zweiten Augusthälfte

Im diesem Monat wurde auch ein ähnliches Schadprogramm und zwar ACAD.Siggen detektiert. Im Vergleich zu Win32.Induc verbreitet es sich als Modul, das in der Umgebung Visual Lisp entwickelt wurde. Diese Entwicklungsumgebung kommt in Autodesk AutoCAD zum Einsatz. ACAD.Siggen infiziert AutoCAD-Dateien, die im infizierten System geöffnet wurden.

Soziale Netzwerke: Paradies für Virenschreiber

Wegen steigender Beliebtheit bleiben Twitter und Facebook ein Anziehungspunkt für Übeltäter. Leider sind Anwender gegenüber anlockenden Angeboten in Kurznachrichten dieser Dienste zu leichtgläubig.

Die längst bekannte Win32.HLLW.Facebook-Familie versuchte die Anwender im August auf eine neue, ausgeklügelte Weise anzuheuern. Das Virus lockte die Anwender auf eine vorgeschobene Website, wo ein Video-Codec heruntergeladen werden sollte. Wenn die ausführbare Datei gestartet wurde, erfolgte die Infizierung. Dabei ist auch ein neuer Trend in Betrugstechniken hervorzuheben. Viele Webdienste schützen sich bekanntlich gegen die automatische Registrierung und den Spam-Versand im Namen des Anwenders. Dafür werden verschiedene Technologien eingesetzt. Diese sollen bestätigen, dass eine Nachricht vom Menschen und nicht vom Programm absendet wird. Zur Verifizierung wird oft Captcha eingesetzt. Dabei soll der Anwender eine zufällig generierte Zeichenfolge eingeben.

Bild 2. Meldung, die den Anwender Captcha eingeben lässt.

In den letzten Versionen des Wurmes Win32.HLLW.Facebook ist ein interessantes Modul Win32.HLLW.Facebook.194 aufgetaucht, das Captcha über einen infizierten Anwender nachmacht. Die Aufgabe des Moduls ist es, die Anwender eine richtige Zeichenkombination eingeben zu lassen und diese an den Server der Übeltäter zu senden. Nachdem die Aufgabe vom entfernten Server erhalten worden ist, taucht auf einem infizierten PC das Fenster mit einem Eingabefeld. Die Funktion des Systems wird sofort blockiert. Über einen betrogenen Anwender können die Cyber-Kriminellen Kontos auf verschiedenen Webservern erstellen, um neue Spam- und Phishing-Mails zu versenden.

In einigen Twitter-Kurznachrichten wurde auf verschlüsselte Links bit.ly hingewiesen, die auf Malware-Websites weiterleiteten. Nach dem Anklicken erhielt ein infizierter PC über einen RSS-Kanal weitere Befehle. Auf solche Weise agierte Trojan.PWS.Finanz.410.

Getarnt wurde solche Befehle auch im anderen Micro-Blogging-Dienst Jaiku. Die Technik ist wie zuvor: verschlüsselte Nachricht (gekürzter Link) leitet zur Malware weiter. Dabei werden Befehle über einen RSS-Kanal erhalten.

Für Übeltäter haben solche Techniken mehrere Vorteile. So können sie den illegalen Netzverkehr maskieren und dabei ihre eigene Präsenz tarnen. Twitter bietet in dieser Hinsicht hervorragende Möglichkeiten. Es gibt Benutzerkonten, die sich nur an bestimmte Benutzergruppen richten. Es ist deshalb nicht leicht, diese zu identifizieren.

Ein Update ist dem anderen nicht gleich. Bedrohung für Mozilla Firefox Anwender

Das Thema der vorgeschobenen Websites setzt Adware.FF.1 fort. Es ist ein Werbemodul, welches die Anwender von Mozilla Firefox nicht in Ruhe lassen will.

Die Softwarehersteller sind gezwungen, für ihre Programme Updates zu veröffentlichen, die Sicherheitslücken schließen sollen. Man ist vielfältige Updates des Betriebssystems, des Antivirusprogramms und der Browser schon gewohnt. Die Übeltäter nutzen deshalb aktiv Adobe-Updates aus. So verbreitet sich Adware.FF.1 als Update für Adobe Flash Player. Die Malware-Website ähnelt dabei der authentischen Adobe-Website. Der Domainname der vorgeschobnen Website soll auch die Wachsamkeit des Anwenders einschläfern. Das Modul Adware.FF.1 installiert ein Plug-in für Mozilla Firefox. Es ändert anschließend die Kontext-Werbung in Google.

Bild 3. Ansicht der gefälschten Adobe-Website

Eine Variante von Adware.FF.3 enthält in seinem Installationsassistenten den authentischen Installator des Adobe Flash Players.

Virus im Programmpaket

Die Virenschreiber nutzen auch ein hohes Interesse der Anwender für neue Programmversionen aus. So wurde beim Release von iWorks’09 ein Download verbreitet, welcher einen Trojaner der Mac.Iservice-Familie enthielt. Diesmal nutzten die Virenschreiber ein hohes Interesse für Mac OS X Snow Leopard. Die mit Mac.DnsChange infizierten Downloads wurden über Torrent-Tracker verbreitet. Beim Aktivieren des Schädlings wurden während des Surfens DNS-Abfragen vorgeschoben.

Telefonie im Dienst der Cyber-Kriminalität

Im August ist auch Trojan.SkypeSpy erschienen. Der Trojaner fängt den Skype-Audioverkehr ab. Abgehörte Gespräche werden dabei als MP3-Datei gespeichert. Die Ausgangscodes von Trojan.SkypeSpy sind längst frei verfügbar. Dies kann mehrere Varianten dieses Trojaners nach sich ziehen. Wir nehmen aber vor, dass die Verbreitung des Schädlings eher einen lokalen Charakter haben wird. Der Grund: kommerziell gerechtfertigt sind Lauschnagriffe nur im Geschäftsumfeld.

Dieser Trojaner belegt nochmals, dass jede Technologie bzw. jeder Service, der sich bei Anwendern großer Beliebtheit erfreut, die Cyber-Kriminellen auf sich aufmerksam macht.

Quittung für das Bot-Netz

In vergangenen Monat war auch Trojan.Botnetlog.11 aktiv. Der Schädling verbreitete sich als vermeintliche E-Mail-Quittung.

Um Anwender diese Quittung öffnen zu lassen, wird in einer E-Mail mitgeteilt, dass das Absenden wegen falsch angegebener E-Mail-Adresse fehlgeschlagen ist. Der E-Mail ist ein ZIP-Archiv angehängt, wo sich Trojan.Botnetlog.11 befindet. Mehr zu diesem Schädling finden Sie in unserem Bericht vom 12. August 2009.

Bemerkenswert ist es dabei, dass bei jedem neuen Versand eine neue Variante dieses Trojaners detektiert wird. Die Dr.Web Technologien ermöglichen es, die zugesendeten neuen Varianten von Trojan.Botnetlog.11 in die Virendefinitionsdatei automatisch mit aufzunehmen.

Letzte Varianten dieses Schadprogramms werden von Dr.Web als Trojan.DownLoad.45107 detektiert. Das nachfolgende Bild zeigt, wie die Epidemie von Trojan.Botnetlog.11 während des Monats verlief.

Bild 5. Aktivität von Trojan.Botnetlog.11 im August 2009

Phishing-Website im Paket

Im August rollte eine neue Phishing-Welle an. Dabei wurde dem Anwender ein Formular im HTML-Format in einer Phishing-Mail vorgeschoben. Diese Datei sollte nach Plan vom Anwender im Browser geöffnet werden. Anschließend sollte das Formular ausgefüllt und über den Button abgesendet werden. Die Anwenderdaten sollten auf diese Weise auf einem extra vorbereiteten Server gelangen.

Bild 6. Mailversand an USAA-Kunden.

Dafür bedarf es keiner vorgeschobenen Websites, die in kürzester Zeit gesperrt werden können. Es entstehen auch Schwierigkeiten mit dem Sperren der Server, weil die Täterschaft mit Hilfe des Servers schwieriger zu belegen ist. Dieser Trick wurde im August gegen PayPal- und USAA-Kunden eingesetzt.

Ein anderer Trick wurde in Phishing-Mails von der vermeintlichen Jandex.Money Administration verwendet. Die Mail war im HTML-Format. Im Mail-Körper gab es ein Button, der auf eine Phishing –Website weiterleitete. Im Code des Skripts wurden wieder gekürzte Links verwendet.

Phishing-Attacken erlebten auch Kunden von Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, sowie des Auktionshauses eBay und Zahlungssystems PayPal.

Fazit

Win32.Induc war ein Hauptereignis in diesem Monat. Der Schädling sorgte für Diskussionsstoff und stellte die Frage, ob ein ungefährliches Virus detektiert und desinfiziert werden soll. Doctor Web vertritt die Meinung, dass Win32.Induc auf jeden Fall desinfiziert werden soll, denn seine Verbreitungsmethoden können später von Übeltätern zur Entwicklung von anderer Malware verwendet werden.

Im Fokus der Virenschreiber bleiben auch soziale Netzwerke. Die Cyber-Kriminellen hecken für diese neue, ausgeklügelte Techniken aus. Ein krasses Beispiel liefert ein Bot-Netz, das über einen RSS-Kanal vom Twitter-Konto verwaltet wird. Die Leichtgläubigkeit der Anwender spielt auch in die Hand der Übeltäter.

Einen interessanten Trick lieferten Datendiebe, die bei Anwendern Captcha-Daten erzwingen wollten. Dieser Trick wird auch in der Zukunft zum Einsatz kommen, weil Captcha überall gegen automatische Registrierungen verwendet wird.

Frei verfügbare Ausgangscodes von Trojan.SkypeSpy belegen das Erscheinen neuer Programme, die diesen Trick verwenden, um Gespräche zwischen Skype-Anwendern abzufangen und an den Server der Übeltäter zu senden. Normalanwender haben dabei nichts zu befürchten. Nur vertrauliche Gespräche können nach unserer Meinung Lauschangriffen ausgesetzt sein.

Malware im E-Mail-Verkehr

Geprüft: 97,916,911,140
Infiziert: 26,740,352(0.0273%)

Malware auf PCs der Anwender

Geprüft: 147,141,361,062
Infiziert: 16,543,297(0.0112%)