Letzte Woche wurde das Pushdo-Botnetz dank der Bemühungen einiger Sicherheitsforscher vom Netz genommen. Das Botnet hatte über das Cutwail-Modul Spam verbreitet. Von den 30 als Command-&Control-Server (C&C) identifizierten Systemen wurden 20 stillgelegt, nachdem die entsprechenden Internet Hosting Provider davon in Kenntnis gesetzt wurden.

Die Aktion zeigt bislang Erfolg. Das Monitoring bei Trend Micro hat ergeben, dass die Spam-Menge über die Cutwail-Bots erheblich zurückgegangen ist und die C&C-Server seither inaktiv sind. Noch ist es zu früh, um Prognosen über den Langzeiteffekt dieser Aktion abzugeben. In der Vergangenheit waren schon häufiger Botnetz-Server stillgelegt worden, so etwa diejenigen von McColo Ende 2008. Leider konnten die Kriminellen in vielen Fällen die betroffenen Botnetze schnell wiederherstellen und ihre Tätigkeit innerhalb von Wochen wieder aufnehmen.

Botnetze lahmzulegen ist eine gute Sache, doch reicht es nicht aus, um die Spam-Pandemie zu stoppen. Das Botnetz mag erst einmal zerstört sein, doch die Spammer dahinter sind immer noch da und können weitere Botnetze erzeugen. Diese Kriminellen müssen verhaftet und hinter Gitter gebracht werden. Nur so haben wir eine Chance diesen Cyber-Krieg zu gewinnen. Trend Micro arbeitet eng mit den Polizeibehörden zusammen, um die Kriminellen zu finden.

Nähere Informationen zu den Aktivitäten des Pushdo/Cutwail-Botnetzes gibt es in dem Papier “A Study of the Pushdo/Cutwail Botnet”.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Auf der Blackhat- und DEFCON-Konferenz letzte Woche führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff gegen Heimanwender-Router vor. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu bekommen, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während der zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users probiert dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

• Aktivieren Sie die HTTPS-Admin-Konsole auf dem Gerät und vergessen Sie dabei nicht, die http-Konsole, wenn möglich, zu deaktivieren.
• Verwenden Sie ein starkes Kennwort für den Router, ändern Sie den Benutzernamen von Zeit zu Zeit.
• Deaktivieren Sie den Zugang von einem externen Netzwerk zur Admin-Konsole des Routers. Dies lässt sich meistens von der Konsole aus tun.
• Falls Sie nicht die von dem ISP automatisch mitgelieferten DNS-Server verwenden, so nutzen Sie einen anderen rekursiven Resolver oder einen, der für die öffentliche Nutzung angeboten wird, etwa OpenDNS. Damit sind Sie gegen die veröffentlichte Version dieses Angriffs geschützt.
• Wenn möglich, fügen Sie eine Firewall-Regel hinzu, die die Geräte im lokalen Netz daran hindert, Pakete an den Block zu versenden, in dem Ihre öffentliche IP-Adresse Mitglied ist. Dies hindert alle IPs im lokalen LAN daran, die externe IP des Routers zu kontaktieren. Ändert der ISP den Block, der in Ihrer Nachbarschaft genutzt wird, so muss die Regel entsprechend angepasst werden. Als zusätzlicher Vorteil verhindert diese Regel, dass Ihr System unbeabsichtigt an Ihre Nachbarn sendet.
• Halten Sie die Firmware des Router und anderer Netzwerkgeräte immer auf aktuellem Stand.

Mehr als zwei Wochen ist es her, seitdem die LNK-Sicherheitslücke bekannt und auch von ZBOT- und SALITY-Malware ausgenützt wurde. Jetzt gibt es einen Patch dafür. Doch mit oder ohne Patch, Angriffe über diese Lücke werden zunehmen.

Der dritte der in diesem Jahr außerhalb der Reihe veröffentlichten Patches ist den regulären August-Updates um eine Woche voraus. Microsoft selbst erklärte bei der Veröffentlichung des Patch, man habe „eine Steigerung bei den Versuchen, die Sicherheitslücke auszunutzen, festgestellt“ und sich deshalb für diesen vorgezogenen Release eines Fix entschieden.

Privatanwender sollten ihre Systeme so schnell wie möglich patchen, um sich vor der Gefahr zu schützen. Unternehmensanwender können das Aufspielen des Patch auf später verschieben und sich mit den bereits vorhandenen Workarounds schützen oder mit den Produkten von Trend Micro wie Deep Security und OfficeScan mit Intrusion Defense Firewall Plugins.

Gefälschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der für das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefälschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen Aktivitäten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu überwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-Zähler-Webdienst. Laut Information der Hit-Zählerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.

Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stündliche Tracking ermöglicht es den Kriminellen, die Nutzeraktivitäten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthält keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nützlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefälschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-Zählerseite keine aktuellen Daten dazu, wie viele Nutzer tatsächlich den KOOBFACE-Loader ausgeführt haben.

Mit dem QuickTime Player (Version 7.6.6) stoßen Filmdateien den Download von Dateien an. Cyberkriminelle wiederum nutzen dies, um Malware herunter zu laden. Benson Sy, Threat Research Engineer bei Trend Micro, hat zwei MOV-Dateien (001 Dvdrip Salt.mov und salt dvdrpi [btjunkie][xtrancex].mov) entdeckt, die beide den neuen Film Salt mit Angelina Jolie für ihre Zwecke nutzen. Die Dateien sind verdächtig, weil sie ziemlich klein sind im Vergleich zu den normalen Filmdateien.

Werden die Dateien in QuickTime geladen, so zeigen sie keine Live-Action-Szenen sondern verleiten den Nutzer zum Download von Malware, indem sie vorgeben, entweder einen Update-Codec zu sein oder eine weitere Player-Installation.

Trend Micro hat die beiden MOV-Dateien als TROJ_QUICKTM.A identifiziert. Apple ist ebenfalls von Trend Micro über den Angriff informiert worden und hat in einer ersten Reaktion mitgeteilt, dass bei der Attacke keine Sicherheitslücke im QuickTime Player ausgenutzt wird. Stattdessen nutzt der Angriff „social Engineering, um die User dazu zu bringen, die Schädlinge herunter zu laden“.

Die bösartigen Dateien scheinen eine Funktionalität in Quick Time auszunutzen, die als „Wired Actions“ bekannt ist und es ermöglicht, dass QuickTime-Dateien bestimmte Aktionen ausführen (in diesem Fall zu einer URL zu gehen). Es lässt sich in etwa mit der /launch-Funktion in pdf-Dateien vergleichen.

Die erste MOV-Datei nimmt Verbindung zu http://{BLOCKED}.{BLOCKED}.53.196/stat1/pix1.php auf. Von dort wird der User zu http://{BLOCKED}.{BLOCKED}.8.120/cms/976/1/QuickTime_Update_KB640110.exe umgeleitet. Danach wird der Nutzer aufgefordert, entweder die Datei zu speichern oder ablaufen zu lassen. Trend Micro hat den Schädling als TROJ_TRACUR.SMDI identifiziert.

Die zweite MOV-Datei wiederum nimmt Verbindung zu http://play.{BLOCKED}nstaller.com/0.c auf. Von dort wird der User dann zu http://player.{BLOCKED}nstaller.com/d77.ph umgeleitet. Hier wird eine Datei heruntergeladen, die Trend Micro als TROJ_DLOAD.QWK erkannt hat. Auch hier soll sich der Nutzer zwischen Speichern oder Ablaufen der Datei entscheiden. Wenn er ausgeführt wird, so lädt der Trojaner eine CAB-Datei herunter, die die Tango Toolbar, einschließlich der Komponenten, installiert.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Attacke über das Trend Micro Smart Protection Network geschützt. Denn dieses sorgt mit seinen eingebauten Webreputationsdiensten dafür, dass die Weiterleitung auf die bösartigen Webseiten und damit das Herunterladen der dort platzierten Schadsoftware unterbunden wird. Anwendern, die befürchten, ihr Rechner könnte bereits infiziert sein, steht das kostenlose Trend Micro-Tool HouseCall zur Verfügung, das Schadsoftware erkennt und beseitigen hilft.

Derzeit beobachten die Sicherheitsexperten von Trend Micro eine Welle von Pharma-Spam, wobei die zugehörige E-Mail nicht direkt die URL der gefälschten Pharma-Site angibt, sondern Links auf HTML-Seiten, die von infizierten Sites gehostet werden.

Diese Seiten werden in die Web-Root der kompromittierten Sites hochgeladen, während die HTML-Redirectors eine Verschleierungsschicht liefern, um die tatsächliche Landing-Seite zu verstecken – das ist in diesem Fall die berüchtigte falsche Pharma-Site Canadian Pharmacy oder Pharmacy Express. Diese HTML-Seiten sind ganz einfache Redirectors, und zwar entweder eine META Refresh-Weiterleitung oder eine JavaScript-Weiterleitung.

In unsere Spam-Fallen gehen täglich im Durchschnitt etwa 1000 neue kompromittierte Sites. Einige davon werden mehrmals  infiziert. Dies lassen mehrere HTML-Redirectors vermuten, die in die Web-Root der Site hochgeladen werden.

In den meisten Fällen werden zwei Dateien auf die infizierten Sites hochgeladen: der HTML-Redirector und eine JPEG-Datei. Letztere hat denselben Namen wie die HTML-Datei und wird als Darstellungs-Image in der Spam-Nachricht verwendet, wie das Bild 4 zeigt.

Die Webplattform der infizierten Websites variiert. Einige nutzen gar kein CMS andere wiederum lediglich einfache HTML-Dateien. Auch gibt es keine Gemeinsamkeiten zwischen den Webplattformen der Sites, sodass die Möglichkeit, dass die Site über einen Webanwendungs-Exploit infiziert wurde, auszuschließen ist.

Logischerweise wäre die einfachste Art der Infizierung dieser Websits der Diebstahl von FTP-Zugangsdaten. Schließlich boomt der Untergrundhandel mit gestohlenen FTP-Konten. Ein Unternehmenskäufer kann bis zu 300.000 FTP-Konten für nur 25 WMZ (Webgeld: 1 WMZ = 1 US-Dollar) kaufen. Auch gibt es Tools für den Massen-Upload von Dateien, wenn eine Liste mit FTP-Zugangsdaten vorhanden ist.

Die Forscher eines anderen Sicherheitsunternehmen haben bereits die beschriebenen Samples ausgemacht und bestätigt, dass es sich um ein Produkt des bekannten Rustock Spam Bots handelt. Das legt die Vermutung nahe, dass die Akteure hinter dieser Masseninfektion und die Betreiber des Rustock Spam Bots enge Beziehungen zueinander haben oder sogar ein und dieselben sind.

Die meisten Websites heute werden von CMS-Software mit einer benutzerfreundlichen Schnittstelle verwaltet. Damit wird das Management von Websites zwar sehr einfach, doch die Kehrseite der Medaille ist, dass die Webmaster diese kleinen HTML-Dateien, die auf ihre Sites hochgeladen werden, unter Umständen übersehen. Um dies zu verhindern, sollten sie folgende Empfehlungen beachten:

1. Regelmäßig die Web-Root nach hier abgelegten HTML-Dateien durchsuchen. Die Dateinamen dieser HTML-Dateien folgen bestimmten Konventionen (etwa ovary40.html, slouch77.html, island57.html, e.html, b.html). Manchmal jedoch sind sie ganz zufällig gewählt (yfogewef.html, esyqaso.html, oxbm.html).
2. Falls solche Dateien gefunden werden, sollten sie gelöscht werden.
3. Ändern der FTP-Passwörter nach dem Säubern der Site, um eine nochmalige Infektion zu verhindern. Wählen Sie starke Kennwörter!

Falls ein Webmaster eine Malware-Infektion, vor allem über einen Keylogger, vermutet, sollte zum letzten bekannten sauberen Backup zurückgekehrt werden, FTP-Kennwörter geändert und ein Integritätsprüfungswerkzeuge wie das quelloffene Intrusion Detection System OSSEC oder Deep Security zum Schutz der Website installiert werden. Schließlich muss die Sicherheitssoftware immer auf neustem Stand sein, um zu gewährleisten, dass der Schutz auch die neusten Bedrohungen mit einschließt.

Anders als ursprünglich angenommen setzt die noch nicht geschlossene Schwachstelle in der Windows Shell alle Anwender aller Versionen des Betriebssystems der Gefahr eines Angriffs aus. Dies bestätigt Microsoft in dem Security Advisory 2286198. Dem Hersteller zufolge entsteht die Schwachstelle, weil „Windows die Shortcuts nicht korrekt parst, sodass bösartiger Code ausgeführt werden kann, wenn der Icon eines speziell aufgesetzten Shortcuts angezeigt wird“.

Im Klartext bedeutet das, dass Anwender, die die Inhalte eines Ordners ansehen wollen, der so genannte Shortcuts enthält, dem Risiko einer Infektion ausgesetzt sind – und dies sogar ohne ein Dokument zu öffnen.

Sehr wahrscheinlich wird die Schwachstelle vor allem über diese Wechselmedien ausgenützt werden, dennoch rät Trend Micro zur Vorsicht beim Umgang mit allen Shortcut-Dateien, deren Authentizität nicht gewährleistet ist. Die Schwachstelle kann nämlich auch über verseuchte Freigaben oder bösartig komprimierte Archive wie Zip-Dateien ausgenützt werden.

Mittlerweile haben die Kriminellen auch einen funktionierenden Exploit für diese Schwachstelle veröffentlicht, sodass Angriffe immer wahrscheinlicher werden.

Microsoft gibt in dem Security Advisory 2286198 auch Anleitungen für einen Workaround, um die Anzeige der Icons für alle Shortcuts zu deaktivieren.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Art der Malware geschützt. Andere Nutzer können das kostenlose Cleanup-Tool Housecall von Trend Micro verwenden.

Kürzlich erschienen Berichte über eine neue Art von Malware, die sich über Wechselmedien verbreitet. Die Schädlinge nutzen eine neue Schwachstelle in Shortcut-Dateien aus, die es ermöglicht, Zufallscode auf dem System des Nutzers auszuführen. Microsoft hat die Schwachstelle bestätigt und ein Security Advisory veröffentlicht. Weil die Schwachstelle in Verbindung damit steht, wie Windows die Shortcut-Icons verarbeitet, lautet eine der Empfehlungen für einen Workaround darin, die Anzeige der Icons für alle Shortcuts zu deaktivieren. Wie dies zu erreichen ist, beschreibt das Advisory.

Trend Micros Sicherheitsforscher haben ein Sample der Malware als WORM_STUXNET.A identifiziert und deren Routinen analysiert. Nachfolgend eine Zusammenfassung der Ergebnisse:

Verbreitung

Anstatt wie bisher üblich eine AUTORUN.INF-Datei sowie eine Kopie der Malware selbst auf Wechsel- und festen Speichermedien abzulegen, deponiert WORM_STUXNET.A im Speichermedium eine .LNK-Datei – eine Shortcut-Datei, die auf eine ausführbare Datei zeigt. Die .LNK-Datei nutzt die Schwachstelle aus, um eine neue Kopie des WORM_STUXNET.A auf weitere Systeme abzulegen. Trend Micro hat diese .LNK-Dateien als LNK._STUXNET.A identifiziert.

Fähigkeiten zur Tarnung

Neben diesen Eigenkopien legt der Wurm auch ein Rootkit auf dem Wechselmedium ab. Das als RTKT_STUXNET.A erkannte Kit dient dazu, die eigenen Routinen zu verbergen. Damit bleibt der Wurm von dem Nutzer unbemerkt, und er erschwert auch die Analysen der Forscher.

Fussball-Verbindungen

Der Wurm versucht zudem, eine Verbindung zu verschiedenen Websites aufzubauen, und zwar interessanterweise zu solchen, die mit Fussball zu tun haben. Der Zweck dieser Routine ist nicht ganz klar, denn die Trend Micro-Sicherheitsforscher haben keine Spuren bösartiger Aktivitäten auf diesen Sites entdecken können.

Diese neue Methode der Ablage von .LNK-Dateien stellt eine weitere Entwicklung in der Verbreitung von Würmern über Wechselmedien dar. Wir berichteten bereits im Mai über die Technik der Nutzung der AUTORUN.INF Action Key, um automatisch bösartige Dateien auszuführen.

Trotz der vielfältigen möglichen Verbreitungstechniken, die das Web liefert, geben die Cyberkriminellen den Weg über USB-Malware nicht auf. Das zeigt auch, wie effizient diese Technik ist. Diese Art der Malware ist im Security Spotlight-Artikel Understanding USB Malware im Detail beschrieben.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Art der Malware geschützt. Andere Nutzer können das kostenlose Cleanup-Tool Housecall von Trend Micro verwenden.