Der Sicherheitsspezialist Doctor Web präsentiert seinen Sicherheitsreport für August 2009. Insbesondere Win32.Induc, ein Schädling der die Entwicklungsumgebung Delphi infiziert, sorgte im vergangenen Monat für Schlagzeilen. Virenschreiber nutzen weiterhin soziale Netzwerke, um erprobte Social-Engineering-Methoden anzuwenden. Via Captcha wurden neue Techniken zur Verbreitung von Malware und Spam-Mails eingesetzt. Zu Schaden kamen auch Nutzer der VoIP-Telefonie, ein Trend der von Cyberkriminellen weiter vorangetrieben wird.
Speziell Delphi und andere Entwicklungsumgebungen sahen sich im August heftigen Angriffen durch Win32.Induc ausgesetzt. Die Malware verbreitete sich bereits einige Monate zuvor und infizierte Betriebssysteme, auf denen Delphi 4 bis 7 installiert ist. Der Schädling modifiziert dabei eine der Bibliotheken, die bei der Projektkompilation verwendet wird. Auf diese Weise wird jedes Programm, das in der vom Virus befallenen Delphi-Version entwickelt ist, von Win32.Induc infiziert.
Der Virus fügt infizierten Systemen keinen sichtbaren Schaden zu. Im Hintergrund verbreitet sich der Schädling aber immer weiter. Diese Technik kann in Zukunft zur Verbreitung von anderer Malware verwendet werden.
Win32.Induc wurde zusammen mit populärer Software verbreitet. Nachdem die Kennungen von Win32.Induc in die Virendatenbanken aufgenommen worden waren, wurden diese Programme blockiert. Dies brachte sowohl Anwendern als auch Entwicklern nur Nachteile. Nachdem aber die Desinfektion von Win32.Induc befallenen Dateien mit einer neuen Signatur in der Dr.Web Virendefinitionsdatei möglich wurde, ging die Aktivität dieses Schadprogramms zurück.
In diesem Monat wurde auch ein ähnliches Schadprogramm detektiert - ACAD.Siggen. Im Vergleich zu Win32.Induc verbreitet es sich als Modul, das in der Umgebung Visual Lisp entwickelt wurde. Diese Entwicklungsumgebung kommt in Autodesk AutoCAD zum Einsatz. ACAD.Siggen infiziert AutoCAD-Dateien, die in einem infizierten System geöffnet wurden.
Soziale Netzwerke: Paradies für Virenschreiber
Wegen ihrer wachsenden Beliebtheit, bleiben Twitter und Facebook weiterhin enorme Anziehungspunkte für Übeltäter. Mitglieder in Social Networks sind gegenüber lockenden Angeboten in Kurznachrichten dieser Dienste leider immer noch zu leichtgläubig.
Die längst bekannte Win32.HLLW.Facebook-Familie versuchte die Anwender im August auf eine neue, ausgeklügelte Weise auszutricksen. Das Virus lockte die User auf eine vorgeschobene Website, von der ein Video-Codec heruntergeladen werden sollte. Sobald die ausführbare Datei gestartet wurde, erfolgte die Infizierung. Hier zeichnet sich auch ein neuer Trend in Betrugstechniken ab. Viele Webdienste schützen sich bekanntlich gegen die automatische Registrierung und den Spam-Versand im Namen des Anwenders. Dafür werden verschiedene Technologien eingesetzt, die bestätigen sollen, dass eine Nachricht von einem Menschen und nicht von einem Programm gesendet wird. Zur Verifizierung werden dafür oft Captchas eingesetzt. Der Anwender soll dabei eine zufällig generierte Zeichenfolge eingeben. Dies ist für einen Menschen kein Problem, für einen Computer hingegen stellt das Captcha sehr wohl eine schwer zu lösende Aufgabe dar.
In den letzten Versionen des Wurmes Win32.HLLW.Facebook ist ein interessantes Modul Win32.HLLW.Facebook.194 aufgetaucht, das Captchas über einen infizierten Anwender nachmacht. Die Aufgabe des Moduls ist es, Anwendern eine richtige Zeichenkombination eingeben zu lassen und diese an den Server der Übeltäter zu senden. Nachdem die Aufgabe vom entfernten Server erhalten worden ist, taucht auf einem infizierten PC das Fenster mit einem Eingabefeld auf. Die Funktion des Systems wird sofort blockiert. Über einen betrogenen Anwender können die Cyber-Kriminellen Kontos auf verschiedenen Webservern erstellen, um neue Spam- und Phishing-Mails zu versenden.
In einigen Twitter-Kurznachrichten wurde auf verschlüsselte Links über den URL-Verkürzungsdienst bit.ly hingewiesen, die auf Malware-Websites weiterleiteten. Nach dem Anklicken erhielt ein infizierter PC über einen RSS-Kanal weitere Befehle. Auf solche Weise agierte Trojan.PWS.Finanz.410.
Getarnt wurden solche Befehle auch in einem anderen Micro-Blogging-Dienst: Jaiku. Die Vorgehensweise ist dieselbe wie bei Twitter: verschlüsselte Nachricht (gekürzter Link) leitet zur Malware weiter. Dabei werden Befehle über einen RSS-Kanal erhalten.
Für Übeltäter bieten derartige Techniken mehrere Vorteile. Sie können so ganz einfach den illegalen Netzverkehr maskieren und dabei ihre eigene Präsenz tarnen. Twitter liefert in dieser Hinsicht hervorragende Möglichkeiten. Es gibt Benutzerkonten, die sich nur an bestimmte Benutzergruppen richten. Daher ist es nicht leicht, diese zu identifizieren.
Kein Update gleicht dem anderen - Bedrohung für Mozilla Firefox Anwender
Auch Adware.FF.1 setzt auf vorgeschobene Websites. Es ist ein Werbemodul, das Anwender von Mozilla Firefox nicht mehr in Ruhe lässt.
Die Softwarehersteller sind gezwungen, für ihre Programme Updates zu veröffentlichen, die Sicherheitslücken schließen sollen. Ständige Updates des Betriebssystems, des Antivirusprogramms und der Browser sind keine Seltenheit und der Anwender ist bereits daran gewöhnt. Die Übeltäter nutzen deshalb aktiv Adobe-Updates aus. So verbreitet sich Adware.FF.1 als Update für Adobe Flash Player. Die Malware-Website ähnelt dabei der authentischen Adobe-Website. Der Domainname der vorgeschobenen Website soll außerdem die Wachsamkeit des Anwenders ablenken. Das Modul Adware.FF.1 installiert ein Plug-in für Mozilla Firefox und ändert anschließend die Kontext-Werbung in Google.
Eine Variante von Adware.FF.3 enthält in seinem Installationsassistenten den authentischen Installator des Adobe Flash Players.
Virus im Programmpaket
Die Virenschreiber nutzen auch ein hohes Interesse der Anwender für neue Programmversionen aus. Beim Release von iWorks'09 wurde ein Download verbreitet, der einen Trojaner der Mac.Iservice-Familie enthielt. Diesmal bezogen sich die Virenschreiber auf das hohe Interesse an Mac OS X Snow Leopard. Die mit Mac.DnsChange infizierten Downloads verbreiteten sich über Torrent-Tracker. Beim Aktivieren des Schädlings werden während des Surfens DNS-Abfragen vorgeschoben.
Telefonie im Dienst der Cyber-Kriminalität
Im August erschien zudem ein neuer Trojaner auf dem Markt der Cyber-Kriminalität: der Trojan.SkypeSpy. Dieser Trojaner fängt den Skype-Audioverkehr ab und speichert die abgehörten Gespräche als MP3-Datei. Die Ausgangscodes von Trojan.SkypeSpy sind längst frei verfügbar. Dies kann mehrere Varianten dieses Trojaners nach sich ziehen. Voraussichtlich wird die Verbreitung des Schädlings eher einen lokalen Charakter haben. Der Grund: kommerziell gerechtfertigt sind Lauschnagriffe nur im Geschäftsumfeld.
Dieser Trojaner belegt nochmals, dass jede Technologie beziehungsweise. jeder Service, der sich bei Anwendern großer Beliebtheit erfreut, auch Cyber-Kriminelle auf sich aufmerksam macht.
Quittung für das Bot-Netz
Im August war auch Trojan.Botnetlog.11 aktiv. Der Schädling verbreitete sich als vermeintliche E-Mail-Quittung.
Um Anwender diese Quittung öffnen zu lassen, wird in einer E-Mail mitgeteilt, dass das Absenden wegen falsch angegebener E-Mail-Adresse fehlgeschlagen ist. Der E-Mail ist ein ZIP-Archiv beigefügt, in dem sich der Trojaner Trojan.Botnetlog.11 befindet. Mehr zu diesem Schädling finden Sie in unserem Bericht vom 12. August 2009.
Bemerkenswert dabei ist, dass bei jedem neuen E-Mail-Versand eine neue Variante dieses Trojaners detektiert wird. Die Dr.Web Technologien ermöglichen es, alle zugesendeten neuen Varianten von Trojan.Botnetlog.11 automatisch in die Virendefinitionsdatei aufzunehmen. Die letzten Varianten dieses Schadprogramms werden von Dr.Web als Trojan.DownLoad.45107 detektiert. Das nachfolgende Bild zeigt den Verlauf der Epidemie von Trojan.Botnetlog.11 im Laufe des Monats.
Phishing-Website im Paket
Im August rollte auch eine neue Phishing-Welle an. Dabei wurde dem Anwender in einer Phishing-Mail ein Formular im HTML-Format vorgeschoben. Diese Datei sollte nach Plan vom Anwender im Browser geöffnet werden. Anschließend sollte das Formular ausgefüllt und über den Button abgesendet werden. Auf diese Weise sollten die Anwenderdaten auf einen extra vorbereiteten Server gelangen.
Dafür bedarf es aber keiner vorgeschobenen Websites, die in kürzester Zeit gesperrt werden können. Es entstehen außerdem Schwierigkeiten mit dem Sperren der Server, weil die Täterschaft mit Hilfe des Servers schwieriger zu belegen ist. Dieser Trick wurde im August gegen PayPal- und USAA-Kunden eingesetzt.
Ein anderer Trick wurde in Phishing-Mails von der vermeintlichen Jandex.Money Administration verwendet. Hier war die E-Mail direkt im HTML-Format. Im Mail-Körper gab es einen Button, der auf eine Phishing-Website weiterleitete. Im Code des Skripts wurden wieder gekürzte Links verwendet.
Phishing-Attacken erlebten im August auch Kunden von Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, sowie des Auktionshauses eBay und des Zahlungssystems PayPal.
Fazit
Win32.Induc war ein Hauptereignis in diesem Monat. Der Schädling sorgte für Diskussionsstoff und warf die Frage auf, ob ein ungefährliches Virus detektiert und desinfiziert werden sollte. Doctor Web vertritt hierbei die Meinung, dass Win32.Induc auf jeden Fall desinfiziert werden sollte, da seine Verbreitungsmethoden sonst später von Übeltätern zur Entwicklung anderer Malware verwendet werden können.
Im Fokus der Virenschreiber bleiben auch weiterhin soziale Netzwerke. Cyber-Kriminelle hecken für diese Zielgruppe immer neue, ausgeklügelte Techniken aus. Ein extremes Beispiel dafür liefert ein Bot-Netz, das über einen RSS-Kanal direkt von einem Twitter-Konto verwaltet wird. Die Leichtgläubigkeit der Anwender spielt direkt in die Hand der Übeltäter.
Einen interessanten Trick lieferten Datendiebe, die bei Anwendern Captcha-Daten erzwingen (wodurch?) wollten. Dieser Trick wird auch in Zukunft zum Einsatz kommen, da mitlerweile beinahe überall Captchas vewendet werden, um automatischen Registrierungen vorzubeugen.
Frei verfügbare Ausgangscodes von Trojan.SkypeSpy belegen das Erscheinen neuer Programme, die diesen Trick verwenden, um Gespräche zwischen Skype-Anwendern abzufangen und an den Server der Übeltäter zu senden. Normalanwender haben dabei nichts zu befürchten. Nur vertrauliche Gespräche können nach unserer Meinung Lauschangriffen ausgesetzt sein.
Speziell Delphi und andere Entwicklungsumgebungen sahen sich im August heftigen Angriffen durch Win32.Induc ausgesetzt. Die Malware verbreitete sich bereits einige Monate zuvor und infizierte Betriebssysteme, auf denen Delphi 4 bis 7 installiert ist. Der Schädling modifiziert dabei eine der Bibliotheken, die bei der Projektkompilation verwendet wird. Auf diese Weise wird jedes Programm, das in der vom Virus befallenen Delphi-Version entwickelt ist, von Win32.Induc infiziert.
Der Virus fügt infizierten Systemen keinen sichtbaren Schaden zu. Im Hintergrund verbreitet sich der Schädling aber immer weiter. Diese Technik kann in Zukunft zur Verbreitung von anderer Malware verwendet werden.
Win32.Induc wurde zusammen mit populärer Software verbreitet. Nachdem die Kennungen von Win32.Induc in die Virendatenbanken aufgenommen worden waren, wurden diese Programme blockiert. Dies brachte sowohl Anwendern als auch Entwicklern nur Nachteile. Nachdem aber die Desinfektion von Win32.Induc befallenen Dateien mit einer neuen Signatur in der Dr.Web Virendefinitionsdatei möglich wurde, ging die Aktivität dieses Schadprogramms zurück.
In diesem Monat wurde auch ein ähnliches Schadprogramm detektiert - ACAD.Siggen. Im Vergleich zu Win32.Induc verbreitet es sich als Modul, das in der Umgebung Visual Lisp entwickelt wurde. Diese Entwicklungsumgebung kommt in Autodesk AutoCAD zum Einsatz. ACAD.Siggen infiziert AutoCAD-Dateien, die in einem infizierten System geöffnet wurden.
Soziale Netzwerke: Paradies für Virenschreiber
Wegen ihrer wachsenden Beliebtheit, bleiben Twitter und Facebook weiterhin enorme Anziehungspunkte für Übeltäter. Mitglieder in Social Networks sind gegenüber lockenden Angeboten in Kurznachrichten dieser Dienste leider immer noch zu leichtgläubig.
Die längst bekannte Win32.HLLW.Facebook-Familie versuchte die Anwender im August auf eine neue, ausgeklügelte Weise auszutricksen. Das Virus lockte die User auf eine vorgeschobene Website, von der ein Video-Codec heruntergeladen werden sollte. Sobald die ausführbare Datei gestartet wurde, erfolgte die Infizierung. Hier zeichnet sich auch ein neuer Trend in Betrugstechniken ab. Viele Webdienste schützen sich bekanntlich gegen die automatische Registrierung und den Spam-Versand im Namen des Anwenders. Dafür werden verschiedene Technologien eingesetzt, die bestätigen sollen, dass eine Nachricht von einem Menschen und nicht von einem Programm gesendet wird. Zur Verifizierung werden dafür oft Captchas eingesetzt. Der Anwender soll dabei eine zufällig generierte Zeichenfolge eingeben. Dies ist für einen Menschen kein Problem, für einen Computer hingegen stellt das Captcha sehr wohl eine schwer zu lösende Aufgabe dar.
In den letzten Versionen des Wurmes Win32.HLLW.Facebook ist ein interessantes Modul Win32.HLLW.Facebook.194 aufgetaucht, das Captchas über einen infizierten Anwender nachmacht. Die Aufgabe des Moduls ist es, Anwendern eine richtige Zeichenkombination eingeben zu lassen und diese an den Server der Übeltäter zu senden. Nachdem die Aufgabe vom entfernten Server erhalten worden ist, taucht auf einem infizierten PC das Fenster mit einem Eingabefeld auf. Die Funktion des Systems wird sofort blockiert. Über einen betrogenen Anwender können die Cyber-Kriminellen Kontos auf verschiedenen Webservern erstellen, um neue Spam- und Phishing-Mails zu versenden.
In einigen Twitter-Kurznachrichten wurde auf verschlüsselte Links über den URL-Verkürzungsdienst bit.ly hingewiesen, die auf Malware-Websites weiterleiteten. Nach dem Anklicken erhielt ein infizierter PC über einen RSS-Kanal weitere Befehle. Auf solche Weise agierte Trojan.PWS.Finanz.410.
Getarnt wurden solche Befehle auch in einem anderen Micro-Blogging-Dienst: Jaiku. Die Vorgehensweise ist dieselbe wie bei Twitter: verschlüsselte Nachricht (gekürzter Link) leitet zur Malware weiter. Dabei werden Befehle über einen RSS-Kanal erhalten.
Für Übeltäter bieten derartige Techniken mehrere Vorteile. Sie können so ganz einfach den illegalen Netzverkehr maskieren und dabei ihre eigene Präsenz tarnen. Twitter liefert in dieser Hinsicht hervorragende Möglichkeiten. Es gibt Benutzerkonten, die sich nur an bestimmte Benutzergruppen richten. Daher ist es nicht leicht, diese zu identifizieren.
Kein Update gleicht dem anderen - Bedrohung für Mozilla Firefox Anwender
Auch Adware.FF.1 setzt auf vorgeschobene Websites. Es ist ein Werbemodul, das Anwender von Mozilla Firefox nicht mehr in Ruhe lässt.
Die Softwarehersteller sind gezwungen, für ihre Programme Updates zu veröffentlichen, die Sicherheitslücken schließen sollen. Ständige Updates des Betriebssystems, des Antivirusprogramms und der Browser sind keine Seltenheit und der Anwender ist bereits daran gewöhnt. Die Übeltäter nutzen deshalb aktiv Adobe-Updates aus. So verbreitet sich Adware.FF.1 als Update für Adobe Flash Player. Die Malware-Website ähnelt dabei der authentischen Adobe-Website. Der Domainname der vorgeschobenen Website soll außerdem die Wachsamkeit des Anwenders ablenken. Das Modul Adware.FF.1 installiert ein Plug-in für Mozilla Firefox und ändert anschließend die Kontext-Werbung in Google.
Eine Variante von Adware.FF.3 enthält in seinem Installationsassistenten den authentischen Installator des Adobe Flash Players.
Virus im Programmpaket
Die Virenschreiber nutzen auch ein hohes Interesse der Anwender für neue Programmversionen aus. Beim Release von iWorks'09 wurde ein Download verbreitet, der einen Trojaner der Mac.Iservice-Familie enthielt. Diesmal bezogen sich die Virenschreiber auf das hohe Interesse an Mac OS X Snow Leopard. Die mit Mac.DnsChange infizierten Downloads verbreiteten sich über Torrent-Tracker. Beim Aktivieren des Schädlings werden während des Surfens DNS-Abfragen vorgeschoben.
Telefonie im Dienst der Cyber-Kriminalität
Im August erschien zudem ein neuer Trojaner auf dem Markt der Cyber-Kriminalität: der Trojan.SkypeSpy. Dieser Trojaner fängt den Skype-Audioverkehr ab und speichert die abgehörten Gespräche als MP3-Datei. Die Ausgangscodes von Trojan.SkypeSpy sind längst frei verfügbar. Dies kann mehrere Varianten dieses Trojaners nach sich ziehen. Voraussichtlich wird die Verbreitung des Schädlings eher einen lokalen Charakter haben. Der Grund: kommerziell gerechtfertigt sind Lauschnagriffe nur im Geschäftsumfeld.
Dieser Trojaner belegt nochmals, dass jede Technologie beziehungsweise. jeder Service, der sich bei Anwendern großer Beliebtheit erfreut, auch Cyber-Kriminelle auf sich aufmerksam macht.
Quittung für das Bot-Netz
Im August war auch Trojan.Botnetlog.11 aktiv. Der Schädling verbreitete sich als vermeintliche E-Mail-Quittung.
Um Anwender diese Quittung öffnen zu lassen, wird in einer E-Mail mitgeteilt, dass das Absenden wegen falsch angegebener E-Mail-Adresse fehlgeschlagen ist. Der E-Mail ist ein ZIP-Archiv beigefügt, in dem sich der Trojaner Trojan.Botnetlog.11 befindet. Mehr zu diesem Schädling finden Sie in unserem Bericht vom 12. August 2009.
Bemerkenswert dabei ist, dass bei jedem neuen E-Mail-Versand eine neue Variante dieses Trojaners detektiert wird. Die Dr.Web Technologien ermöglichen es, alle zugesendeten neuen Varianten von Trojan.Botnetlog.11 automatisch in die Virendefinitionsdatei aufzunehmen. Die letzten Varianten dieses Schadprogramms werden von Dr.Web als Trojan.DownLoad.45107 detektiert. Das nachfolgende Bild zeigt den Verlauf der Epidemie von Trojan.Botnetlog.11 im Laufe des Monats.
Phishing-Website im Paket
Im August rollte auch eine neue Phishing-Welle an. Dabei wurde dem Anwender in einer Phishing-Mail ein Formular im HTML-Format vorgeschoben. Diese Datei sollte nach Plan vom Anwender im Browser geöffnet werden. Anschließend sollte das Formular ausgefüllt und über den Button abgesendet werden. Auf diese Weise sollten die Anwenderdaten auf einen extra vorbereiteten Server gelangen.
Dafür bedarf es aber keiner vorgeschobenen Websites, die in kürzester Zeit gesperrt werden können. Es entstehen außerdem Schwierigkeiten mit dem Sperren der Server, weil die Täterschaft mit Hilfe des Servers schwieriger zu belegen ist. Dieser Trick wurde im August gegen PayPal- und USAA-Kunden eingesetzt.
Ein anderer Trick wurde in Phishing-Mails von der vermeintlichen Jandex.Money Administration verwendet. Hier war die E-Mail direkt im HTML-Format. Im Mail-Körper gab es einen Button, der auf eine Phishing-Website weiterleitete. Im Code des Skripts wurden wieder gekürzte Links verwendet.
Phishing-Attacken erlebten im August auch Kunden von Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, sowie des Auktionshauses eBay und des Zahlungssystems PayPal.
Fazit
Win32.Induc war ein Hauptereignis in diesem Monat. Der Schädling sorgte für Diskussionsstoff und warf die Frage auf, ob ein ungefährliches Virus detektiert und desinfiziert werden sollte. Doctor Web vertritt hierbei die Meinung, dass Win32.Induc auf jeden Fall desinfiziert werden sollte, da seine Verbreitungsmethoden sonst später von Übeltätern zur Entwicklung anderer Malware verwendet werden können.
Im Fokus der Virenschreiber bleiben auch weiterhin soziale Netzwerke. Cyber-Kriminelle hecken für diese Zielgruppe immer neue, ausgeklügelte Techniken aus. Ein extremes Beispiel dafür liefert ein Bot-Netz, das über einen RSS-Kanal direkt von einem Twitter-Konto verwaltet wird. Die Leichtgläubigkeit der Anwender spielt direkt in die Hand der Übeltäter.
Einen interessanten Trick lieferten Datendiebe, die bei Anwendern Captcha-Daten erzwingen (wodurch?) wollten. Dieser Trick wird auch in Zukunft zum Einsatz kommen, da mitlerweile beinahe überall Captchas vewendet werden, um automatischen Registrierungen vorzubeugen.
Frei verfügbare Ausgangscodes von Trojan.SkypeSpy belegen das Erscheinen neuer Programme, die diesen Trick verwenden, um Gespräche zwischen Skype-Anwendern abzufangen und an den Server der Übeltäter zu senden. Normalanwender haben dabei nichts zu befürchten. Nur vertrauliche Gespräche können nach unserer Meinung Lauschangriffen ausgesetzt sein.
