Originalartikel von David Sancho (Malware Researcher bei Trend Micro)

Das PUSHDO-Botnet war kürzlich wieder in den Schlagzeilen als Übeltäter in einem Distributed Denial-of-Service (DDoS)-Angriff auf eine Reihe bekannter Websites. Einige Publikationen haben den neuen Angriff auch ausführlich dokumentiert. Da wir im letzten Jahr einige Monate damit verbrachten, das PUSHDO/CUTWAIL-Botnet zu untersuchen und zu überwachen und aufgrund der Prüfung der neuesten Samples können wir mit Sicherheit sagen, dass dieser bestimmte Angriff nicht auf PUSHDO zurück zu führen ist.

In erster Linie sind PUSHDO-Varianten üblicherweise Downloader, die häufig an einen Command-and-Control (C&C)-Server berichten. Die DDoS-Malware in der Attacke jedoch ist ein Spambot. Zwar nutzt PUSHDO-Botnets ein Spambot (von der Sicherheitsindustrie als CUTWAIL bezeichnet), um User mit Spam zu überfluten, doch bei dem Vergleich unseres CUTWAIL-Samples mit dem DDoS-Spambot in besagtem Angriff, haben wir keine schlüssigen Beweise gefunden, dass die beiden miteinander in Verbindung stehen.

Sicherheitsexperten erkennen diese neue Spambot-Variante als „Harebot“ oder „Shgray“. Einige der Anbieter haben sie auch als „Pandex“ identifiziert, ein anderer Name für PUSHDO-Varianten. Dies scheint der Grund dafür zu sein, dass der neue Angriff für PUSHDO-bezogen angesehen wird.

Manche mögen dies für ein nicht sehr relevantes Argument halten, doch ist es dennoch wichtig. Auch wenn es sich beim neuen Spambot tatsächlich um eine weiterentwickelte Version der CUTWAIL-Varianten (was noch nicht bewiesen ist) handelt, heißt das dennoch nicht, dass die PUSHDO-Botnet-Besitzer hinter diesem massiven DDoS-Angriff stecken. Diese beiden Gruppen könnten sich als eine einzige oder auch als zwei völlig unterschiedliche Organisation entpuppen. Unabhängig davon liegt der Grund dafür, ein DDoS-fähiges Spambot zu erzeugen, noch immer völlig im Dunkeln – auch für Sicherheitsforscher.

Originalartikel von Martin Roesler (Director for Threat Research bei Trend Micro)

Beim Durchsehen verschiedener Blogs stieß ich auf einen Eintrag von Kaspersky Labs. In dem Blog gab der Autor des Eintrags offen zu, dass sein Arbeitgeber – unter der Vorgabe, die Testqualität verbessern zu wollen – die Konkurrenz ausgetrickst habe, um die eigene Position in den Medien zu verbessern.

Dafür hatte Kaspersky saubere Dateien erzeugt und Erkennung von Malware vorgetäuscht, um „vorzuführen“, dass andere Anbieter diese kopieren. Dies war eine riskante Entscheidung, denn die Forschungsorganisationen der Branche vertrauen einander und nutzen gemeinsam die vorhandenen Samples, um die Kunden zu schützen – für Trend Micro jedenfalls hat dies oberste Priorität. An dieser Stelle möchte ich auch hinzu fügen, dass Trend Micro nicht zu denjenigen Herstellern gehört hat, die von dem Trick betroffen waren, denn wir checken unsere Erkennungen selbst und verlassen uns nie auf die Kontrolle durch einen anderen Anbieter.

Abgesehen davon, dass es ein billiger Schabernack war, den Kaspersky veranstaltet hat, war ich sehr erfreut, die weitere Botschaft des Blog-Eintrags zu vernehmen: Der Anbieter hat endlich die Message verstanden, die Trend Micro seit langem verbreitet – nämlich die Testmethodologie muss sich ändern, und wirklichkeitsnahe Tests wie die von NSS Labs müssen durchgeführt werden!

Der Bedarf an geänderten Testmethoden stand auch hinter der Gründung der  Anti-Malware Testing Standards Organization (AMTSO), die sich für realistischere und nützlichere Benchmarks einsetzt.

Diese Geschichte zeigt, welchen Einfluss die Medien auf die Antivirus-Branche hat, sodass sogar ein geachteter Anbieter die Erkennungsraten manipuliert, allein um in der Presse positiv da zu stehen, anstatt sich auf die eigenen Kunden zu konzentrieren. Der Vorfall lehrt aber auch, dass die AMTSO die richtige Richtung einschlägt. Reine Erkennungsraten beruhen allein auf den Zahlen oder dem direkten Eins-zu-Eins-Vergleich und sind daher überholt, wenn es um den Wert und die Performance einer Sicherheitslösung geht. Kunden benötigen ganzheitliche Betrachtungsweisen, die ihnen ein realitätsnahes, auf Szenarien beruhendes Feedback zu der Wirkungsweise von verschiedenen Lösungen geben. Ich bin froh, dass Testorganisationen wie NSS Labs, AV-Comparatives und AV-Test dies mittlerweile verstanden haben und anfangen, diese Prinzipien anzuwenden.

Originalartikel von Danielle Veluz (Technical Communications bei Trend Micro)

Eine neue Spam-Kampagne verschickt Nachrichten, die vorgeben, von Google zu kommen als Reaktion auf Bewerbungen um Jobs bei der Firma. Damit haben die Spammer eine neue Taktik gewählt, nutzen sie doch sonst eher bestimmte Gelegenheiten wie Feiertage oder gerade viel diskutierte Begebenheiten beziehungsweise Trends, um ihren Spam attraktiv zu machen.

Die Spam-Nachrichten enthalten sogar das offizielle Google-Logo mit einem legitimen From: address-Format. Außerdem ist die Nachricht mit fast perfekter Grammatik verfasst (eher selten in dieser Art der Nachrichten), und das zeigt, es wird immer schwieriger, echte Mail-Nachrichten von gefälschten zu unterscheiden. Und warum sollten die Nutzer am Inhalt der Nachricht zweifeln? Google hat immer behauptet, einen mehr als idealen Arbeitsplatz zu bieten. Daher ist eine solche Mail eine wunderbare Neuigkeit. Dennoch sollten Nutzer an der Echtzeit zweifeln, da sie sich nicht um einen Job beworben haben.

Der letzte Teil der Nachricht ist dann richtig verdächtig, denn der Empfänger wird aufgefordert, einen zip-Anhang CV-20100120-112.ZIP herunter zu laden, der eine weitere Aufforderung zum Download einer weiteren Datei (document.doc) enthält mit einer versteckten Extension .exe. Diese aber enthält den Wurm WORM_SPYBOT.MCP.

Die Cyberkriminellen nutzen auch die bereits bekannte Technik, Leerzeichen einzusetzen, um die tatsächlichen Extensions der Dateianhänge zu verbergen. Damit scheint die Datei die Extension DOC zu haben, tatsächlich aber ist es EXE.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn das intelligente Sicherheitsnetzwerk verhindert, dass Spam die Inboxen der Nutzer erreicht. Außerdem erkennt und löscht es Dateien, die WORM_SPYBOT.MCP enthalten. Nutzer, die keine Lösung von Trend Micro im Einsatz haben, können den kostenlosen Ondemand-Scanner Housecall verwenden, um Viren, Trojaner, Würmer sowie nicht gewollte Browser-Plugins und andere Malware von infizierten Systemen zu entfernen.