Archiv für den Monat: März 2010

Die Suchergebnisse zum Anschlag auf die Moskauer U-Bahn führen zu FAKEAV

1 Antwort

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Die Nachrichten über den Bombenanschlag auf die Moskauer U-Bahn, bei dem mindestens 38 Menschen getötet wurden, haben am Montag die Welt erschüttert. Gleichzeitig lassen sich Cyberkriminelle diese Chance nicht entgehen, aus dem Unglück Profit zu schlagen. Sie setzen ihre Blackhat Search Engine Optimization (SEO) Taktik ein, um ihre bösartigen Links als Top-Ergebnisse für Suchanfragen bei Google zu platzieren. Diese Links erreichten etwa zwei Stunden lang die zwei obersten Plätze mit den Schlüsselwörtern „Moscow Subway Explosion“. Mittlerweile rangieren die Ergebnisse für die Schlüsselwörter „Moscow Bombing“ unter den 11 ersten Plätzen.

Nicht nur bei Google ist die Moskauer Tragödie ein heißes Thema — vor allem für die Kriminellen. Auch in den sozialen Netzwerken wie Twitter zeigen Suchanfragen für Moskau in bösartige URLs eingebettete Ergebnisse innerhalb von Tweets.



Die Links leiten Nutzer natürlich nicht auf Nachrichten-Sites sondern öffnen stattdessen eine gefälschte Scanning-Seite. Danach kommt die Benachrichtigung, der Computer sei anfällig für Malware-Angriffe und man empfehle eine Überprüfung auf Infektionen.

<

Stimmt der Nutzer der Installation der gefälschten Antivirus-Software zu, so lädt er die FAKEAV-Datei herunter, die Trend Micro als TROJ_FAKEAV.SMDY identifiziert hat.



Eines sollte jeder Nutzer mittlerweile wissen: Die Cyberkriminellen werden jedes populäre Thema für ihre Angriffe ausnutzen. Deshalb ist höchste Vorsicht geboten, bevor ein Link, der bei Suchanfragen ganz oben steht, angeklickt wird – auch wenn er vorgibt, von einem Freund in Twitter zu kommen!

Die Anwender von Trend Micros Produkten sind vor dieser Gefahr über das Smart Protection Network geschützt. Die Content-Sicherheitsinfrastruktur blockiert den Zugriff auf bösartige Sites und verhindert den Download von Malware.

Neue Scareware-Taktik soll weitere FAKEAV-Käufer anlocken

1 Antwort

Originalartikel von Jeffrey Bernardino (Threat Response Engineer bei Trend Micro)

Eine weitere FAKEAV-Pattern hat TrendLabs als TROJ_FAKEAV.BLW identifiziert. Wie auch frühere Varianten erscheint die Malware als legitime Antivirusanwendung, die gefälschte „Erkenntnisse“ aufzeigt, Firewalls und weitere Sicherheitsfunktionen außer Kraft setzt sowie Popup-Warnungen erzeugt, um betroffene Nutzer dazu zu bewegen, gefälschte Antivirus-Software zu kaufen.

Doch anders als die Vorgänger, nutzt diese Variante den Dateinamen AV.exe. Trifft die Malware auf einen Computerlaien, so mag dieser glauben, es sei eine legitime Antivirusanwendung. Sie nutzt Registry Shell-Spawning als Autostart-Technik, und das bedeutet, die Malware wird jedes Mal ausgeführt, wenn ein Nutzer eine Datei mit der .exe-Endung ausführt. Sie verwendet einen der folgenden Anwendungsnamen:

  • %1 Antispyware 2010
  • Antivirus %1 2010
  • %1 Guardian 2010
  • %1 Guardian
  • %1 Defender 2010
  • %1 Antivirus
  • %1 Antivirus 2010
  • %1 Antivirus Pro
  • %1 Antivirus Pro 2010
  • %1 Internet Security
  • %1 Internet Security 2010

%1 bezieht sich auf das Betriebssystem der betroffenen Maschine. Damit kann die Malware die Funktionalität des Betriebssystems auf der infizierten Maschine nutzen. Wann immer ein infizierter Nutzer versucht, mit dem Internet Explorer oder Firefox ins Internet zu kommen, zeigt die Malware Warnungen an, der Browser sei bösartig.

Damit verursacht der Schadcode Panik, denn die beiden stellen die am weitesten verbreiteten Browser dar – und möglicherweise wird der Nutzer das betrügerische Produkt kaufen, denn er wird auf mehrere betrügerische Antivirus-Domänen geführt. Diese Liste stellt sicher, dass die Malware auf die anderen Domänen zugreifen kann, auch wenn eine oder mehrere bereits vom Netz genommen wurden. Schließlich verhindert die Malware, dass ein Nutzer Dateien eines Sicherheitsherstellers ausführt und somit, dass der betroffene Computer gescannt wird.



Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt und blockiert über den File Reputation Service das Herunterladen von bösartigen Dateien. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mittels des kostenlosen Tools HouseCall schützen. Dieser Ondemand-Scanner identifiziert und entfernt Viren, Trojaner, Würmer und nicht erwünschte Browser-Plugins.

FAKEAV mit neuer Routine

Hinterlassen Sie eine Antwort

Originalartikel von Kathleen Notario (Threat Response Engineer bei Trend Micro)

Die Sicherheitsforscher von Trend Micro haben eine neue FAKEAV-Variante entdeckt, die nicht nur die übliche betrügerische Alert-Routine durchführt, sondern eine zusätzliche Komponente herunterlädt – nämlich eine .DLL-Datei, die in die LSP-Kette (Layered Service Provider) eingefügt wird. Als Folge davon wird eine .DLL-Datei jedes Mal dann geladen, wenn eine Anwendung Windows Sockets (Winsock) nutzt. LSP-Technologie wird sehr häufig von Malware ausgenutzt. In vorliegendem Fall besteht der Zweck des FAKEAVs darin, Web Browsern den Zugriff auf bestimmte Sites zu verwehren.

Der Code der .DLL-Datei listet eine Reihe von beliebten Websites auf, etwa facebook.com, youtube.com sowie myspace.com. Wird die Datei ausgeführt, so prüft der Code, ob die Anwendung eine der folgenden ist und beginnt dann, Sites zu blockieren:

  • iexplore.exe
  • firefox.exe
  • svchost.exe

Sie ersetzt den HTML-Inhalt der Site mit dem in der Abbildung gezeigten:

Screenshot einer Website mit ausgetauschtem Content

Lediglich Benutzer, die den Registry Key HKEY_CURRENT_USER\Software\IS2010 auf ihren Systemen haben, können auf die Site zugreifen. Besagter Key existierte jedoch nur, wenn die FAKEAV-Anwendung Internet Security 2010 (TROJ_FAKEAL.SMDO, TROJ_FAKEAL.SMDP, oder TROJ_FAKEINIT.BC) vorhanden ist. Der Alert wird solange erscheinen, bis obige FAKEAV-Varianten auf den Systemen „installiert“ sind.

Mit dieser neuen Technik versucht die Malware mehr Angst bei den Nutzern zu schüren, denn sie erweckt den Eindruck, der Zugriff auf die Sites sei tatsächlich restriktiv. Damit ist es noch wahrscheinlicher, dass die User ein Antivirus-Produkt installieren und für das betrügerische FAKEAV zahlen.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt und blockiert über den File Reputation Service das Herunterladen von bösartigen Dateien. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mittels des kostenlosen Tools HouseCall schützen. Dieser Ondemand-Scanner identifiziert und entfernt Viren, Trojaner, Würmer und nicht erwünschte Browser-Plugins.

Browser sichern mit aktuellen Patches

1 Antwort

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

Neue ZBOT-Variante wählt Kunden großer europäischer Banken als Angriffsziel

1 Antwort

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Die Sicherheitsforscher von Trend Micro haben eine neue ZBOT-Variante entdeckt, die vor allem Banken aus vier europäischen Ländern als Ziel auserkoren hat. Diese Variante greift große populäre Bankinstitute mit vielen Kunden aus Italien, England, Deutschland und Frankreich an. Zu den Instituten gehören die UniCredit Group, Tochter der Bank of Rome, die britische Abbey National, die Fiducia Group, der führende IT-Service Provider für verschieden Banken  in Deutschland, Hongkongs HSBC sowie Crédit Mutuel, die größte Einzelhandelsbank Frankreichs.

„Zurzeit haben wir Daten, die zeigen, dass diese Banken tatsächlich das Ziel der Verbrecher sind. Wir nennen einige der Banken ausdrücklich, um die Menschen auf die Gefahr aufmerksam zu machen“, erklärt Ivan Macalintal, Advanced Threat Researcher bei Trend Micro.

ZBOT ist eine Crimeware, die mithilfe eines Toolkits erstellt wird, das auch die Anpassung der aus der Ferne kontrollierten Malware übernimmt. Infizierte Maschinen werden zum Bestandteil des kriminellen ZeuS-Botnets gemacht. ZBOT-Varianten sind darauf spezialisiert, Online-Banking-Informationen zu stehlen und diese an die C&C-Server (Command & Control) zurück zu schicken. Zwar ist ZeuS traditionell bekannt für die kriminellen Aktivitäten, doch der jüngste Schachzug zeigt eine neue Qualität der kriminellen Online-Geschäfte, wobei verschiedene Organisationen miteinander kooperieren können, um den Online-Diebstahl und Betrug durchzuführen. Weitere Details zur Malware bietet das Whitepaper “Zeus: A Persistent Criminal Enterprise“.

Die von der ZBOT-Variante genutzten Domänen, werden beide auf demselben Server gehostet, der in Serbien unter einem registrierten Namen betrieben wird. Die verwendete IP-Adresse und der registrierte Namen sind wohlbekannt, da sie Teil der FAKEAV-Hosting Domänen sind und an früheren kanadische Spam-Kampagnen für Medikamente beteiligt waren.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service. Diejenigen, die keine Trend Micro-Software im Einsatz haben, können sich über das kostenlose Tool HouseCall schützen. Dies erkennt und beseitigt alle Arten von Viren, Trojanern, Würmern und nicht erwünschten Browser-Plugins vom System des Nutzers. Auch das ebenfalls kostenlose Tool RUBotted lässt sich einsetzen, um herauszufinden, ob das eigene System bereits Teil eines Botnetzes ist.