Der russische Sicherheitsspezialist Doctor Web präsentiert seinen Sicherheitsreport für den vergangenen Monat und meldet darin neues Schadpotenzial durch eine Rootkit-Variante von BackDoor.Tdss. Darüber hinaus war Malware aktiv, die über ein Tool zur Ortung des Standorts von Handy-Benutzern die Daten von Computernutzern ausspionierte. Der Versand von Kurzmitteilungen in sozialen Netzwerken bleibt nach wie vor eine der Hauptmethoden zur Verbreitung von Trojanern. Dagegen ließ die Virenverbreitung per E-Mail Ende November nach.
BackDoor.Tdss.565 und seine Varianten Am 12. November 2009 veröffentlichte Doctor Web eine neue Version des GUI-Scanners. Mit dem aktualisierten Scanner konnte man das von BackDoor.Tdss.565 (u.a. als TDL3 bekannt) befallene System erfolgreich desinfizieren.
Diese Rootkit-Spezies verfügt über eine Vielzahl von raffinierten Tricks, die fast alle am Markt vorhandenen Antivirentechnologien umgehen, so dass Malware mühelos und für die meisten Antivirenprogramme unsichtbar ins System eindringt. BackDoor.Tdss.565 verfügt über eine neue Methode der Installation im System und täuscht dadurch alle zur Zeit vorhandenen Tools zur Verhaltensanalyse. Dies belegt, dass Virenschreiber nicht nur die signaturbasierte Suche und Heuristik sondern auch Tools zur Verhaltensanalyse ins Visier genommen haben.
In einem verschlüsselten virtuellen Datenträger, der sich auf der Festplatte des Anwenders einnistet werden Dateien abgelegt, die für das Weiterleben des Trojaners erforderlich sind. Um diesen Datenträger unsichtbar ins System einzuschleusen, wird er durch spezielle Techniken maskiert. Um funktionsfähig zu bleiben, infiziert das Rootkit einen Treiber, der für eine intakte Funktion lokaler Datenträger verantwortlich ist. Dabei wird automatisch festegestellt, welche Art der Oberfläche von Datenträgern auf einem infizierten PC verwendet wird. Anschließend wird der entsprechende Treiber infiziert.
Die Sicherheitsspezialisten von Doctor Web entwickelten das Gegenmittel gegen BackDoor.Tdss.565 am schnellsten. Der Scanner von allen Dr.Web Antivirenprodukten für Windows ist aktualisiert.
Gefälschte Navigationssoftware Gefälschte Antivirensoftware wird zur Zeit weiter aktiv verbreitet. Darüber hinaus war Handy-Software das bevorzugte Ziel von Cyberkriminellen. Im November wurden E-Mails mit Informationen über eine kostenlose Software versendet, die vermeinlich den aktuellen Standort eines Handy-Benutzers bestimmen kann. Potenzielle Interessenten handelten sich über die angehängte Dateie einen Trojaner ein (Trojan.PWS. AccHunt.11), der Passwörter des Nutzers ausspionieren kann.
Trojan.PWS.Multi.109 wurde ähnlich verbreitet, hieß aber diesmal etwas anders. Im Anhang gab es zwei Dateien: einen Installationsassistenten und ein extra vorbereitetes Installationspaket. Die Installation des Programms erfolgte zunächst erfolgreich, danach wurde ein weiteres fehlendes Installationspaket angefordert. Auf diese zweistufige Art gelangten die übermittelten Passwörter in die Hände der Malware-Entwickler.
Tricks in Online-Spielen
Nachdem Online-Spiele für die Rechteinhaber ein lukratives Geschäft sind, wollen Cyberkriminelle auch hier mitverdienen. Es ist kein Geheimnis, dass Internetnutzer in Online-Spielen gehörige Geldsummen für verschiedene Privilegien ausgeben. Die Verbreitung von Malware geht mit der Abzocke einher. Ein Beispiel ist das in Russland beliebte Online-Spiel "Para Pa: Gorod Tantsev" (zu Deutsch: Tanzstadt). Die Zahl der Spieler, die virtuelle Vorrechte haben wollen wächst stetig und diese Spieler sind bereit, in virtuelle Guthaben zu investieren. Die Übeltäter bieten Spielern verschiedene Programme an, durch die sie Guthaben täglich aufladen, Vorrechte des Administrators und viele andere Möglichkeiten erhalten können. Schnell werden Spieler, die auf diesen Deal eingehen, zu Opfern. Sie werden erpresst, ihr Spieler-Profil zu verlieren. Die Übeltäter wollen nicht nur an das Geld des Spielers, sondern auch an private Daten herankommen. Um ein Benutzerkonto zurückzubekommen, muss das Opfer zahlen. Dafür gibt es Plattformen wie files4money.com, files4sms.com, mixfile.com.
Hier werden auch verschiedene Schadprogramme als kostenfreie Software ausgegeben. Auf solche Weise wurde z.B. BackDoor.Dax.47 verbreitet.
E-Mail-Viren
Für den vergangenen Monat war darüber hinaus der Versand neuer Varianten von Trojan.PWS.Panda sowie Trojan.Proxy charakteristisch. Da Computernutzer von Antimalware-Herstellern kontinuierlich auf dem Laufenden gehalten werden, sehen sich die Virenschreiber zum Wechsel ihrer Taktik gezwungen.
Um den Versand von böswilliger Software zu maskieren, gelangten im November MySpace-Mitglieder ins Visier der Übeltäter. In E-Mails wurde ihnen mitgeteilt, dass ihre Passwörter durch den Administrator geändert wurden. Das neue Passwort war vermeintlich in anhängenden Archiv einsehbar. In anderen Mails wurden Nutzer zum Download eines Tools aufgefordert, um sich weiterhin auf der Website des Social Networks einloggen zu können. Dabei wurden die Anwender auf eine gefälschte Website weitergeleitet, auf der private Daten ausgelesen werden können.
Zur Verbreitung von Malware via E-Mail werden von Cyber-Kriminellen weiterhin bekannte Namen verwendet. Im November fiel NACHA (The Electronic Payment Association) den Angreifern zum Opfer. Den Anwendern wurde mitgeteilt, dass ihr E-Payment abgelehnt wurde. Weitere Informationen sollte man auf der NACHA-Website erhalten. Auf diese Weise wurde auf den PCs der leichtgläubigen Anwender eine neue Variante des Trojan.PWS.Panda geladen.
Die Verbreitung von Malware durch Spam-Mails blieb im November auf dem Vormonatsniveau. In der Spamflut konnte man vielfältige Spielarten von Schadprogrammen sowie Links zu Malware-Websites erkennen. In der zweiten Hälfte des Monats ließ der Spam-Versand nach. Ende des Monats reduzierte sich der Anteil von Spam-Mails im Vergleich zum Monatsanfang auf die Hälfte. Es wird spekuliert, dass die Cyberkriminellen diese kreative Pause zum Durchatmen verwenden und um ihre Aktivitäten neu aufzustellen.
Phishing
Durch neue Phishing-Methoden versuchen Cyberkriminelle an die Privatdaten von Anwendern zu gelangen. Um den Zugriff auf Benutzerkonten der Vkontakte-Mitglieder zu erhalten, wurden Mails mit Links auf eine Malware-Website versendet. Anwender erhielten die Aufforderung auf der gefälschten Seite Daten einzugeben, die von dort durch die Angreifer abgefangen wurden. Um den Betrug zu kaschieren, wurde der Anwender nach Dateneingabe auf die echte Website weitergeleitet.
Die Komplexität der angewendten Tricks steigt weiter. E-Mails im Namen von Google waren im Umlauf, in denen Anwender auf eine schnelle Verdienstmöglichkeit hingewiesen wurden. Dafür wurde der Anwender auf eine Website geleitet, um sich mit einem entsprechenden Programm vertraut zu machen.
In anderen Mails war eine Twitter-Kurznachricht mit dem Link zu einem extra vorbereiteten Artikel zu finden. Darüber hinaus wurden Anwender über Links direkt zu Google Services weitergeleitet.
Alle Fällen zielten darauf ab, Opfer auf eine speziell vorbereitete Website zu locken, auf der detaillierte Informationen gesammelt wurden. Um den Nutzer schnell zu unüberlegtem Handeln zu verführen, wurde zusätzlich ein Zeitticker eingebaut.
BackDoor.Tdss.565 und seine Varianten Am 12. November 2009 veröffentlichte Doctor Web eine neue Version des GUI-Scanners. Mit dem aktualisierten Scanner konnte man das von BackDoor.Tdss.565 (u.a. als TDL3 bekannt) befallene System erfolgreich desinfizieren.
Diese Rootkit-Spezies verfügt über eine Vielzahl von raffinierten Tricks, die fast alle am Markt vorhandenen Antivirentechnologien umgehen, so dass Malware mühelos und für die meisten Antivirenprogramme unsichtbar ins System eindringt. BackDoor.Tdss.565 verfügt über eine neue Methode der Installation im System und täuscht dadurch alle zur Zeit vorhandenen Tools zur Verhaltensanalyse. Dies belegt, dass Virenschreiber nicht nur die signaturbasierte Suche und Heuristik sondern auch Tools zur Verhaltensanalyse ins Visier genommen haben.
In einem verschlüsselten virtuellen Datenträger, der sich auf der Festplatte des Anwenders einnistet werden Dateien abgelegt, die für das Weiterleben des Trojaners erforderlich sind. Um diesen Datenträger unsichtbar ins System einzuschleusen, wird er durch spezielle Techniken maskiert. Um funktionsfähig zu bleiben, infiziert das Rootkit einen Treiber, der für eine intakte Funktion lokaler Datenträger verantwortlich ist. Dabei wird automatisch festegestellt, welche Art der Oberfläche von Datenträgern auf einem infizierten PC verwendet wird. Anschließend wird der entsprechende Treiber infiziert.
Die Sicherheitsspezialisten von Doctor Web entwickelten das Gegenmittel gegen BackDoor.Tdss.565 am schnellsten. Der Scanner von allen Dr.Web Antivirenprodukten für Windows ist aktualisiert.
Gefälschte Navigationssoftware Gefälschte Antivirensoftware wird zur Zeit weiter aktiv verbreitet. Darüber hinaus war Handy-Software das bevorzugte Ziel von Cyberkriminellen. Im November wurden E-Mails mit Informationen über eine kostenlose Software versendet, die vermeinlich den aktuellen Standort eines Handy-Benutzers bestimmen kann. Potenzielle Interessenten handelten sich über die angehängte Dateie einen Trojaner ein (Trojan.PWS. AccHunt.11), der Passwörter des Nutzers ausspionieren kann.
Trojan.PWS.Multi.109 wurde ähnlich verbreitet, hieß aber diesmal etwas anders. Im Anhang gab es zwei Dateien: einen Installationsassistenten und ein extra vorbereitetes Installationspaket. Die Installation des Programms erfolgte zunächst erfolgreich, danach wurde ein weiteres fehlendes Installationspaket angefordert. Auf diese zweistufige Art gelangten die übermittelten Passwörter in die Hände der Malware-Entwickler.
Tricks in Online-Spielen
Nachdem Online-Spiele für die Rechteinhaber ein lukratives Geschäft sind, wollen Cyberkriminelle auch hier mitverdienen. Es ist kein Geheimnis, dass Internetnutzer in Online-Spielen gehörige Geldsummen für verschiedene Privilegien ausgeben. Die Verbreitung von Malware geht mit der Abzocke einher. Ein Beispiel ist das in Russland beliebte Online-Spiel "Para Pa: Gorod Tantsev" (zu Deutsch: Tanzstadt). Die Zahl der Spieler, die virtuelle Vorrechte haben wollen wächst stetig und diese Spieler sind bereit, in virtuelle Guthaben zu investieren. Die Übeltäter bieten Spielern verschiedene Programme an, durch die sie Guthaben täglich aufladen, Vorrechte des Administrators und viele andere Möglichkeiten erhalten können. Schnell werden Spieler, die auf diesen Deal eingehen, zu Opfern. Sie werden erpresst, ihr Spieler-Profil zu verlieren. Die Übeltäter wollen nicht nur an das Geld des Spielers, sondern auch an private Daten herankommen. Um ein Benutzerkonto zurückzubekommen, muss das Opfer zahlen. Dafür gibt es Plattformen wie files4money.com, files4sms.com, mixfile.com.
Hier werden auch verschiedene Schadprogramme als kostenfreie Software ausgegeben. Auf solche Weise wurde z.B. BackDoor.Dax.47 verbreitet.
E-Mail-Viren
Für den vergangenen Monat war darüber hinaus der Versand neuer Varianten von Trojan.PWS.Panda sowie Trojan.Proxy charakteristisch. Da Computernutzer von Antimalware-Herstellern kontinuierlich auf dem Laufenden gehalten werden, sehen sich die Virenschreiber zum Wechsel ihrer Taktik gezwungen.
Um den Versand von böswilliger Software zu maskieren, gelangten im November MySpace-Mitglieder ins Visier der Übeltäter. In E-Mails wurde ihnen mitgeteilt, dass ihre Passwörter durch den Administrator geändert wurden. Das neue Passwort war vermeintlich in anhängenden Archiv einsehbar. In anderen Mails wurden Nutzer zum Download eines Tools aufgefordert, um sich weiterhin auf der Website des Social Networks einloggen zu können. Dabei wurden die Anwender auf eine gefälschte Website weitergeleitet, auf der private Daten ausgelesen werden können.
Zur Verbreitung von Malware via E-Mail werden von Cyber-Kriminellen weiterhin bekannte Namen verwendet. Im November fiel NACHA (The Electronic Payment Association) den Angreifern zum Opfer. Den Anwendern wurde mitgeteilt, dass ihr E-Payment abgelehnt wurde. Weitere Informationen sollte man auf der NACHA-Website erhalten. Auf diese Weise wurde auf den PCs der leichtgläubigen Anwender eine neue Variante des Trojan.PWS.Panda geladen.
Die Verbreitung von Malware durch Spam-Mails blieb im November auf dem Vormonatsniveau. In der Spamflut konnte man vielfältige Spielarten von Schadprogrammen sowie Links zu Malware-Websites erkennen. In der zweiten Hälfte des Monats ließ der Spam-Versand nach. Ende des Monats reduzierte sich der Anteil von Spam-Mails im Vergleich zum Monatsanfang auf die Hälfte. Es wird spekuliert, dass die Cyberkriminellen diese kreative Pause zum Durchatmen verwenden und um ihre Aktivitäten neu aufzustellen.
Phishing
Durch neue Phishing-Methoden versuchen Cyberkriminelle an die Privatdaten von Anwendern zu gelangen. Um den Zugriff auf Benutzerkonten der Vkontakte-Mitglieder zu erhalten, wurden Mails mit Links auf eine Malware-Website versendet. Anwender erhielten die Aufforderung auf der gefälschten Seite Daten einzugeben, die von dort durch die Angreifer abgefangen wurden. Um den Betrug zu kaschieren, wurde der Anwender nach Dateneingabe auf die echte Website weitergeleitet.
Die Komplexität der angewendten Tricks steigt weiter. E-Mails im Namen von Google waren im Umlauf, in denen Anwender auf eine schnelle Verdienstmöglichkeit hingewiesen wurden. Dafür wurde der Anwender auf eine Website geleitet, um sich mit einem entsprechenden Programm vertraut zu machen.
In anderen Mails war eine Twitter-Kurznachricht mit dem Link zu einem extra vorbereiteten Artikel zu finden. Darüber hinaus wurden Anwender über Links direkt zu Google Services weitergeleitet.
Alle Fällen zielten darauf ab, Opfer auf eine speziell vorbereitete Website zu locken, auf der detaillierte Informationen gesammelt wurden. Um den Nutzer schnell zu unüberlegtem Handeln zu verführen, wurde zusätzlich ein Zeitticker eingebaut.
