Archiv für den Monat: Mai 2010

SASFIS Malware nutzt einen neuen Trick

Hinterlassen Sie eine Antwort

Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

Anfang des Jahres erlangte der SASFIS-Trojaner  zweifelhafte Berühmtheit durch gefälschte E-Mails, die vorgaben, von Facebook zu stammen. SASFIS-Infektionen ziehen meist Mengen an weiteren Malware-Infektionen nach sich, denn diese Schädlingsfamilie macht die Systeme anfällig für Botnet-Angriffe, vor allem durch ZeuS und BREDOLAB. Außerdem ist der Schädling mit verschiedenen FAKEAV-Varianten, vor allem mit solchen, die auf Porno-Sites agieren, in Verbindung.

Der TrendLabs-Forscher Shih-Hao Weng entdeckte nun eine neue SASFIS-Variante, die die so genannte Right-to-Left Override (RLO) Technik nutzt. Bisher war die Technik für Spamming bekannt, doch nun hat sie sich zu einer neuen Social-Engineering-Taktik gemausert.

Dieser SASFIS-Trojaner wird über eine Spam-Nachricht mit einem RAR-Dateianhang verbreitet. Darin ist eine XLS-Datei enthalten, die wie ein echtes Excel-Dokument aussieht. Tatsächlich handelt es sich aber um einen Screensaver, den Trend Micro als TROJ_SASFIS.HBC identifiziert hat. Der Trojaner setzt BKDR_SASFIS.AC auf das System, einen Schädling, der es ermöglicht, Threads in den normalen svchost.exe-Prozess einzufügen.

Das gefälschte Excel-Worksheet hat einen Win32 binären Header der Art, wie ihn lediglich ausführbare Dateien haben. Der tatsächliche Dateinamen (ohne die chinesischen Zeichen) ist phone&mail).[U+202e}slx.scr, wobei U+202e den Unicode Control Character darstellt, der das System anweist, aufeinander folgende Zeichen von rechts nach links zu rendern. Dadurch scheint es dem Nutzer, dass der Name der Datei phone&mail).xls.scr ist, und er nimmt irrtümlicherweise an, es handele sich um eine Excel-Datei, die er gefahrlos öffnen kann.

Die Technik nutzt auch andere Dateinamen für denselben Zweck: so etwa BACKS[U+2020e]FWS.BAT und I-LOVE-YOU-XOX[U+2020e]TXT.EXE, die als BACKSTAB.SWF und I-LOVE-YOU-XOXEXE.TXT gerendert werden. Im ersten Beispiel wird eine Batch-Datei als Adobe Flash „verkleidet“, im zweiten Fall eine ausführbare Datei als Text.

Nutzer können sich vor diesen Angriffen auf ihre System über die üblichen Best Practices schützen – etwa indem sie keine verdächtig aussehenden E-Mails öffnen und keine ausführbaren Anhänge herunterladen. Die Trend Micro Anwender sind über das Smart Protection Network geschützt, denn der Email Reputation Service verhindert es, dass Spam-Nachrichten in der Inbox landen. Auch kann der File Reputation Service die bösartigen Dateien als Schädlinge erkennen.

Windows WMI wird für Malware-Aktionen missbraucht

Hinterlassen Sie eine Antwort

Originalartikel von Lennard Galang (Escalation Engineer bei Trend Micro)

TrendLabs untersuchte kürzlich einen Fall, wobei zwei bestimmte Schädlinge den Windows-Dienst Windows Management Instrumentation (WMI) dazu nutzten, um ihre bösartigen Routinen auszuführen. WMI erlaubt es Nutzern, auf Informationen über ihre Betriebssysteme zuzugreifen, und ist deshalb vor allem für Administratoren wichtig, die in Unternehmensumgebungen Anwendungen in unterschiedlichen Programmiersprachen auf vernetzten Systemen verwalten. Der Dienst kann als Datenbank betrachtet werden, die Informationen zu allem und jedem bezüglich eines Betriebssystems und dessen Nutzer enthält.

Da WMI eine Riesenmenge an Daten umfasst, handelt es sich um ein sehr beliebtes Ziel für Malware. Cyberkriminelle können beispielsweise spezielle „Pragmas“ (Befehlen ähnliche Konstrukte) in den Service einschleusen, um die betroffenen Systeme für ihre Zwecke auszunützen. Dazu gehören:

  • Suche nach sensitive Informationen, auf die lediglich der Service zugreifen kann;
  • Anheben der Systemprivilegien eines böswilligen Nutzers, um in der Lage zu sein, auf dem betroffenen System und weiteren in demselben Netzwerk zu spionieren;
  • Einbetten von bösartigen Skripts in bestimmte Services.

Bei besagtem Angriff kommt ein WMI-Skript TROJ_WMIGHOST.A im Bundle mit einer DLL-Malware BKDR_HTTBOT.EA auf einem System an. Das Skript öffnet zwei Browser-Fenster: Das erste erlaubt der DLL-Malware über einen ActiveX-Content ausgeführt zu werden. Das zweite erlaubt der Backdoor-Routine, Office-Dateien (etwa Word, PowerPoint oder Excel) auf einer entfernten Site einzustellen und weitere bösartige Skripts von der Ghost IP auszuführen. Diese Backdoor-Routinen bringen für die User die Gefahr eines Datenverlusts.

Es ist nicht das erste Mal, dass WMI für bösartige Zwecke missbraucht wurde. Auf der Kiwicon 2008 stellte ein Sicherheitsberater „The Moth“ vor, einen Proof-of-Concept-Trojaner, der den Dienst ausnutzt, um bösartigen Code einzuschleusen, der die folgenden Routinen ausführt:

  • Einschleusen und Ausführen weiterer potenziell bösartiger Dateien auf das Host-System oder auf Wechselmedien;
  • Relaunch eines vorhandenen Rootkits, wenn eines entdeckt und entfernt wurde.

Anwender sind über das Trend Micro Smart Protection Network vor dieser Art von Angriffen geschützt. Auch können sie mithilfe des kostenlosen Tools SysClean-TROJ_WMIGHIST.A betroffene Systeme säubern.

Mebroot-Variante agiert wie TDSS

Hinterlassen Sie eine Antwort

Originalartikel von Kathleen Notario (Threat Response Engineer bei Trend Micro) und Udo Schneider (Solution Architect EMEA bei Trend Micro)

Die TDSS-Familie beschreibt eine ganze Reihe von Schädlingen und ist eine „alte Bekannte“, die eine ernsthafte Bedrohung für Anwender darstellt. Der Name “TDSS” stammt von dieser Zeichenkette, die immer wieder in Komponentendateien und Registry-Einträgen früherer Varianten vorkam. Die Malware ist für ihre Rootkit-Fähigkeiten bekannt und wird stetig weiter entwickelt, um immer bessere Mittel zu finden, ihr Vorhandensein auf den betroffenen Systemen zu verbergen.

Dafür nutzt TDSS ein mehrstufiges Verfahren und umfasst unter anderen folgende Funktionen: Werbe-Popups, Anti-AV-Funktionen oder das Nachladen und Ausführen anderer Komponenten. In vielen Fällen wird TDSS nur als eine Komponente genutzt, um die eigentliche Malware nachzuladen und zu verstecken. Daher lässt sich in diesen Fällen die Funktionalität beliebig anpassen und ist nicht auf Werbe Popups begrenzt! Bekannte Verbreitungswege sind Cracks und Key-Generatoren, aber auch Drive-By-Downloads wurden schon beobachtet.

Die Mebroot Malware-Familie wiederum ist für Master Boot Record (MBR)-Infektionen bekannt. Dadurch ist der Schädling u.a. im Dateisystem von AV-Scannern nicht mehr aufzufinden. Dabei biegt es nach dem Systemstart Low Level Funktionen der Festplatten und NDIS (Netzwerk) Treiber um und ist im MBR für das Betriebssystem (und Applikationen!) unsichtbar und außerdem in der Lage, an den meisten installierten Firewall/Network Security Lösungen vorbei Inhalt nachzuladen.

Die Sicherheitsforscher von TrendLabs identifizierten kürzlich ein Mebroot-Sample als TROJ_MEBROOT.SMC, das sich in einer neuen, doch bekannten Art und Weise installiert:

  1. Die ausführbare Hauptdatei setzt eine Datei in das %User Temp% Directory.
  2. Sie führt mittels der I timeSetEvent-Funktion regsvr32 /s aus.
  3. Sie kopiert besagte Datei in das Print Processor Directory als %System%\spool\PRTPROCS\W32X86\{random number}.tmp.
  4. Dann lädt sie die Datei über das API AddPrintProcessorA mit Hilfe des SPOOLSV.EXE Service.
  5. Sie entfernt die Datei über das API DeletePrintProcessorA und löscht sie dann.

Diese Routine ist tatsächlich bekannt, den es ist die Art und Weise wie eine TDSS-Malware weitere Komponenten auf die Anwendersysteme installiert, wobei die endgültige Payload den MBR verändert, indem Tausende von Bytes hinein geschrieben und die Image-Datei der Malware hinein gesetzt werden. Danach wird das betroffene System neu gestartet. Durch die Änderungen des MBR wird die Malware dabei automatisch ausgeführt. Ihre Image-Datei aktiviert die weiteren Routinen, wie etwa für das Verbinden mit einer zufällig generierten URL und das Verschicken von Informationen dorthin, auch wenn der User an Windows nicht angemeldet ist.

Beim Neustart verbindet sich die Malware zuerst mit microsoft.com, time.windows.com und yahoo.com. Danach verbindet sie sich als hart codierte Domänennamen mit Servern und zufällig aussehenden URLs, die mit Hilfe auf der Zeit und dem Datum des Systems beruhenden Algorithmus generiert werden. Sie führt noch einige Aktionen gegen das Aufspüren auf der betroffenen Maschine durch.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network gegen diese Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt die Schädlinge mit Hilfe des File Reputation Service.

180 Millionen US-Dollar Jahresumsatz: Das Geschäft mit FakeAV blüht

1 Antwort

Zusammenfassung des Originalartikels von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Der Betrug mit gefälschten Antivirenlösungen im Internet hat sich zu einer wahren Plage entwickelt. Trend Micro-Forscher haben ein Jahr lang eine bestimmte Bande von Online-Gangstern beobachtet, die sich auf dieses betrügerische Geschäft spezialisiert haben. Geschätzter Jahresumsatz: 180 Millionen US-Dollar.

Möglich werden solche Summen – wohl gemerkt, es handelt sich hier nur um eine einzige Bande – durch das perfide Spiel mit der Angst, das die Cyberkriminellen mit ihren Opfern, in diesem Fall in über 30 Ländern, treiben. Wer würde nicht nervös, wenn auf einmal Warnmeldungen auftauchen, dass der eigene Rechner mit Schadsoftware infiziert ist. Gleichzeitig aber wird eine scheinbare „Lösung“ für das Problem angeboten, nämlich die kostenpflichtige Installation einer allerdings völlig nutzlosen und unter Umständen sogar schädlichen Software?

Solche gefälschten Antivirenlösungen kosten zwischen 50 und 100 US-Dollar. Gelingt es den Cyberkriminellen, angenommene 100.000 Suchanfragen pro Tag zu Antivirenlösungen auf ein von den Gangstern frisiertes Suchergebnis zu lenken, das zu ihrer Schadsoftware führt, und sind nur 1.000 Anwender bereit, dafür zu zahlen, ergibt sich bereits ein Tagesumsatz von 50.000 US-Dollar.

Doch damit begnügen sich die Kriminellen in der Regel nicht. Im vorliegenden Fall haben sie die Computer, auf denen ihr Schadprogramm installiert wurde, als ferngesteuerte Zombierechner missbraucht, um deren ahnungslose Besitzer beim Surfen mit Werbung zu bombardieren, die von „Kunden“ der Online-Kriminellen stammen. Für jede platzierte Werbeeinblendung zahlen diese ein paar US-Cents. Im Falle dieser Online-Kriminellen kam es zu rund einer Million Werbeeinblendungen pro Tag, was zu einem zusätzlichen Tagesumsatz von 25.000 US-Dollar führte – und das bezogen auf nur ein einziges der so genannten Botnetze, von denen die Bande eine Vielzahl kontrolliert.

Natürlich versuchen viele der Opfer irgendwann, meistens bei drohenden Folgezahlungen, sich zu wehren, und verlangen eine Erstattung der gezahlten Beträge von ihrem jeweiligen Kreditkartenunternehmen. Je mehr solche Erstattungen beantragt werden, desto eher kündigen die Kreditkartenfirmen die Geschäftsbeziehung mit dem „Unternehmen“ der Online-Bande. Die Kriminellen sind dadurch gezwungen, immer wieder neue Tarnfirmen zu gründen, was hinsichtlich Zeit und Kosten auf Dauer zu aufwendig ist.

Um dieses Problem zu umgehen, haben sie im vorliegenden Fall in den Aufbau von Call Centern, in den USA, Asien und Osteuropa investiert. Die Anwender, die sich über die ständige Aufforderung, die gefälschte Antivirenlösung kostenpflichtig zu aktualisieren, beschweren wollten, konnten so mit der Tarnfirma der Cyberkriminellen in Kontakt treten

und erwirken, dass sie keine Aufforderungen zur Aktualisierung mehr erhielten. Möglich wurde dies über Änderungen in den Einstellungen der Schadsoftware, welche die Anwender selbst unter Anleitung der Call Center-„Mitarbeiter“ vornahmen. Kostenpunkt dieser „freundlichen“ Hilfe: 20 US-Dollar pro Anruf.

Um auf solche Tricks nicht hereinzufallen, ist das wirksamste Mittel, lieber einmal zu wenig als zu viel auf Links zu klicken.

Darüber hinaus gibt es, wenn plötzlich aus heiterem Himmel Sicherheitswarnungen auf dem Bildschirm erscheinen, andere Mittel, damit umzugehen, als sofort eine kostenpflichtige Software zu kaufen, deren Urheber unbekannt ist.

Trend Micro zum Beispiel bietet ein kostenloses Sicherheitswerkzeug an, das Rechner auf Infektionen hin durchsuchen und diese im Bedarfsfall beseitigen kann. HouseCall heißt das Werkzeug, das täglich seine Wirksamkeit unter Beweis stellt.

Neuer AutoRun-Wurm nutzt Action Key

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Würmer nutzen immer wieder Autorun.inf als Autostart-Technik. Über diese Datei können Würmer automatisch ausgeführt werden, jedes Mal wenn auf ein infiziertes Laufwerk zugegriffen wird. Mittlerweile haben User Workarounds gefunden, um die bösartige Datei per Hand zu entfernen. Sie nutzen unter anderem die Befehlszeile, um die Datei zu löschen, deaktivieren AutoPlay oder verwenden Windows Explorer (rechter Mausklick und Auswahl Explorer).

Doch auch die Kriminellen sind nicht untätig und finden immer neue Techniken, um ihre bösartigen Machwerke trotz Workarounds zu verbreiten. Eine dieser Techniken nutzt  Action Key in der Datei autorun.inf. Dabei handelt es sich um einen Parameter in autorun.inf, der nur von Wechsel- und festen Laufwerken unterstützt wird. Die Hauptaufgabe des Paramters besteht darin, den Text anzugeben, der im AutoPlay-Dialog des Handlers erscheint, der das Programm darstellt, das in dem Eintrag open oder shellexecute spezifiziert wird.




Um Workarounds zu umgehen, setzt der Wurm in diesen Parameter einen der folgenden Texte:

  • Open folder to view files
  • Open folder to view files using Windows Explorer

Einen solchen Wurm hat Trend Micro als  WORM_KOLAB.CQ identifiziert. Dessen AutoRun-Code zeigt der folgende Screenshot:

Infolge des Eintrags action=Open für das Lesen von Dateien wird die bösartige Datei jedes Mal ausgeführt, wenn ein Nutzer auf ein infiziertes Laufwerk über Windows Explorer zuzugreift.

Nutzer müssen noch mehr Vorsicht walten lassen, um sich vor Malware zu schützen. Externe Geräte wie digitale Bilderrahmen, iPods und andere MP3-Player, PDAs, USB Sticks, Flash Drives und digitale Kameras können Malware enthalten, die das Netzwerk zu Hause korrumpiert. Zusätzliche Sicherheitsmaßnahmen können etwa im Monitoring der externen Geräte und im Aktualisieren aller vorhandenen Sicherheitssoftware bestehen

Für Geschäftsanwender sollten unternehmensweite Sicherheitsregeln bezüglich des Datenzugriffs und der Nutzung von externen Geräten aufgestellt und deren Einhaltung durchgesetzt werden. Zusätzliche Informationen zum Schutz von Wechsellaufwerken finden sich unter „So maximieren Sie den Malware-Schutz Ihrer Wechsellaufwerke“. Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn die Content-Sicherheitsinfrastruktur erkennt die Dateien mittels des File Reputation Service als Schädling.