Das PUSHDO-Botnet war kürzlich wieder in den Schlagzeilen als Übeltäter in einem Distributed Denial-of-Service (DDoS)-Angriff auf eine Reihe bekannter Websites. Einige Publikationen haben den neuen Angriff auch ausführlich dokumentiert. Da wir im letzten Jahr einige Monate damit verbrachten, das PUSHDO/CUTWAIL-Botnet zu untersuchen und zu überwachen und aufgrund der Prüfung der neuesten Samples können wir mit Sicherheit sagen, dass dieser bestimmte Angriff nicht auf PUSHDO zurück zu führen ist.

In erster Linie sind PUSHDO-Varianten üblicherweise Downloader, die häufig an einen Command-and-Control (C&C)-Server berichten. Die DDoS-Malware in der Attacke jedoch ist ein Spambot. Zwar nutzt PUSHDO-Botnets ein Spambot (von der Sicherheitsindustrie als CUTWAIL bezeichnet), um User mit Spam zu überfluten, doch bei dem Vergleich unseres CUTWAIL-Samples mit dem DDoS-Spambot in besagtem Angriff, haben wir keine schlüssigen Beweise gefunden, dass die beiden miteinander in Verbindung stehen.

Sicherheitsexperten erkennen diese neue Spambot-Variante als „Harebot“ oder „Shgray“. Einige der Anbieter haben sie auch als „Pandex“ identifiziert, ein anderer Name für PUSHDO-Varianten. Dies scheint der Grund dafür zu sein, dass der neue Angriff für PUSHDO-bezogen angesehen wird.

Manche mögen dies für ein nicht sehr relevantes Argument halten, doch ist es dennoch wichtig. Auch wenn es sich beim neuen Spambot tatsächlich um eine weiterentwickelte Version der CUTWAIL-Varianten (was noch nicht bewiesen ist) handelt, heißt das dennoch nicht, dass die PUSHDO-Botnet-Besitzer hinter diesem massiven DDoS-Angriff stecken. Diese beiden Gruppen könnten sich als eine einzige oder auch als zwei völlig unterschiedliche Organisation entpuppen. Unabhängig davon liegt der Grund dafür, ein DDoS-fähiges Spambot zu erzeugen, noch immer völlig im Dunkeln – auch für Sicherheitsforscher.

Beim Durchsehen verschiedener Blogs stieß ich auf einen Eintrag von Kaspersky Labs. In dem Blog gab der Autor des Eintrags offen zu, dass sein Arbeitgeber – unter der Vorgabe, die Testqualität verbessern zu wollen – die Konkurrenz ausgetrickst habe, um die eigene Position in den Medien zu verbessern.

Dafür hatte Kaspersky saubere Dateien erzeugt und Erkennung von Malware vorgetäuscht, um „vorzuführen“, dass andere Anbieter diese kopieren. Dies war eine riskante Entscheidung, denn die Forschungsorganisationen der Branche vertrauen einander und nutzen gemeinsam die vorhandenen Samples, um die Kunden zu schützen – für Trend Micro jedenfalls hat dies oberste Priorität. An dieser Stelle möchte ich auch hinzu fügen, dass Trend Micro nicht zu denjenigen Herstellern gehört hat, die von dem Trick betroffen waren, denn wir checken unsere Erkennungen selbst und verlassen uns nie auf die Kontrolle durch einen anderen Anbieter.

Abgesehen davon, dass es ein billiger Schabernack war, den Kaspersky veranstaltet hat, war ich sehr erfreut, die weitere Botschaft des Blog-Eintrags zu vernehmen: Der Anbieter hat endlich die Message verstanden, die Trend Micro seit langem verbreitet – nämlich die Testmethodologie muss sich ändern, und wirklichkeitsnahe Tests wie die von NSS Labs müssen durchgeführt werden!

Der Bedarf an geänderten Testmethoden stand auch hinter der Gründung der  Anti-Malware Testing Standards Organization (AMTSO), die sich für realistischere und nützlichere Benchmarks einsetzt.

Diese Geschichte zeigt, welchen Einfluss die Medien auf die Antivirus-Branche hat, sodass sogar ein geachteter Anbieter die Erkennungsraten manipuliert, allein um in der Presse positiv da zu stehen, anstatt sich auf die eigenen Kunden zu konzentrieren. Der Vorfall lehrt aber auch, dass die AMTSO die richtige Richtung einschlägt. Reine Erkennungsraten beruhen allein auf den Zahlen oder dem direkten Eins-zu-Eins-Vergleich und sind daher überholt, wenn es um den Wert und die Performance einer Sicherheitslösung geht. Kunden benötigen ganzheitliche Betrachtungsweisen, die ihnen ein realitätsnahes, auf Szenarien beruhendes Feedback zu der Wirkungsweise von verschiedenen Lösungen geben. Ich bin froh, dass Testorganisationen wie NSS Labs, AV-Comparatives und AV-Test dies mittlerweile verstanden haben und anfangen, diese Prinzipien anzuwenden.

Eine neue Spam-Kampagne verschickt Nachrichten, die vorgeben, von Google zu kommen als Reaktion auf Bewerbungen um Jobs bei der Firma. Damit haben die Spammer eine neue Taktik gewählt, nutzen sie doch sonst eher bestimmte Gelegenheiten wie Feiertage oder gerade viel diskutierte Begebenheiten beziehungsweise Trends, um ihren Spam attraktiv zu machen.

Die Spam-Nachrichten enthalten sogar das offizielle Google-Logo mit einem legitimen From: address-Format. Außerdem ist die Nachricht mit fast perfekter Grammatik verfasst (eher selten in dieser Art der Nachrichten), und das zeigt, es wird immer schwieriger, echte Mail-Nachrichten von gefälschten zu unterscheiden. Und warum sollten die Nutzer am Inhalt der Nachricht zweifeln? Google hat immer behauptet, einen mehr als idealen Arbeitsplatz zu bieten. Daher ist eine solche Mail eine wunderbare Neuigkeit. Dennoch sollten Nutzer an der Echtzeit zweifeln, da sie sich nicht um einen Job beworben haben.

Der letzte Teil der Nachricht ist dann richtig verdächtig, denn der Empfänger wird aufgefordert, einen zip-Anhang CV-20100120-112.ZIP herunter zu laden, der eine weitere Aufforderung zum Download einer weiteren Datei (document.doc) enthält mit einer versteckten Extension .exe. Diese aber enthält den Wurm WORM_SPYBOT.MCP.

Die Cyberkriminellen nutzen auch die bereits bekannte Technik, Leerzeichen einzusetzen, um die tatsächlichen Extensions der Dateianhänge zu verbergen. Damit scheint die Datei die Extension DOC zu haben, tatsächlich aber ist es EXE.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn das intelligente Sicherheitsnetzwerk verhindert, dass Spam die Inboxen der Nutzer erreicht. Außerdem erkennt und löscht es Dateien, die WORM_SPYBOT.MCP enthalten. Nutzer, die keine Lösung von Trend Micro im Einsatz haben, können den kostenlosen Ondemand-Scanner Housecall verwenden, um Viren, Trojaner, Würmer sowie nicht gewollte Browser-Plugins und andere Malware von infizierten Systemen zu entfernen.

Ein Typ namens Willie Hickey hat mir eine Nachricht geschrieben, um mir mitzuteilen, jemand habe anzügliche Fotos von mir publiziert und den Link dazu an meine „Freunde“ geschickt:

Mail von Willie Hickey

In der Mail fordert Hickey mich auf, die beigefügte URL anzuklicken, um zu sehen, um welche Fotos es sich handele. Dieses Social Engineering-„Kunstwerk“ soll offensichtlich bei dem Empfänger Angst und Zweifel darüber auslösen, um welche Fotos es sich dabei handeln könnte.

Empfänger sollten auf keinen Fall den Link anklicken, denn es gibt keine Fotos ebenso wenig wie einen Willie Hickey. Der Link aber führt zu einem bösartigen JavaScript, das den Browser auf eine russische IP-Adresse umleitet. Dort werden mehrere PDF-Exploits und ein ActiveX-Exploit genutzt, um eine Variante der ZeuS-Crimeware auszugeben. Dieses Sample hat mit neun von 40 sehr niedrige Entdeckungsraten bei VirusTotal.

Anwender von Trend Micro Lösungen sind über das Smart Protection Network vor dieser bösartigen Website geschützt, denn das intelligente Content-Sicherheitsnetzwerk hat die Site bereits geblockt. Falls jemand eine der meinen ähnliche Mail erhalten und den Link angeklickt hat, kann er/sie auch das kostenlose Tool HouseCall zur Säuberung nutzen.

Der Valentinstag naht, und wie üblich werden die Spammer ihre darauf bezogenen kriminellen Aktivitäten verstärken. Zwar ist es noch früh, doch die Sicherheitsanalysten von Trend Micro haben bereits zwei Spam-Muster ausgemacht, die die Tatsache ausnützen, dass sich viele Webseiten ansehen wollen, die Geschenke für diesen Tag anbieten.

Diese Spam-Nachrichten enthalten Links, die Nutzer auf eine Site leiten, die angebliche Valentinskarten anpreist, oder auf eine andere, die Markenuhrenimitate anpreist.

Jede spezielle Gelegenheit und jeder Feiertag ist mittlerweile auch eine Gelegenheit, die sich Spammer nicht entgehen lassen, um naive Nutzer mit ihrem Spam in die Falle zu locken. Die Nachrichten haben unterschiedliche Muster und Payloads. Einige leiten die Nutzer auf Sites um, die alles mögliche anbieten, vor allem Pharmaprodukte und Markenartikelimitate. Andere wiederum leiten User auf bösartige oder mit Schadcode verseuchte Sites, und weitere enthalten Malware als Anhang. Aus diesem Grund sollten Nutzer nie Nachrichten öffnen, die aus unbekannten Quellen stammen.

Das Smart Protection Network von Trend Micro schützt Anwender vor diesen Gefahren, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.

Wer keine Lösung von Trend Micro im Einsatz hat, kann sich dennoch schützen: Das kostenlose eMail ID Plug-in hilft dabei, legitime E-Mails in der eigenen Inbox zu identifizieren.

Internet-Nutzer müssen sich mittlerweile damit auseinandersetzen, dass alles, was ihnen im Web begegnet auch Betrug sein kann, einschließlich angeblicher Antivirus-Software. Trend Micros „Threat Encyclopedia“ umfasst mittlerweile mehr als 2000 Einträge zu FAKEAV.

Viele naive Nutzer fallen immer noch auf den uralten Trick der Scareware-Taktik der Anbieter der gefälschten Antivirensoftware herein: Die Opfer sollen glauben, ihre Systeme seien mit Schadsoftware infiziert und sollen aus Angst vor den Folgen dieser Gefahr für etwas zahlen, was sich als vollkommen unnütz entpuppt.

Die Techniken, die die Cyberkriminellen nutzen, entwickeln sich alarmierend schnell weiter, um ihre FAKEAV-Kreationen an unwissende Nutzer zu bringen. Häufig greifen sie auf „vergiftete“ Suchergebnisse zu den gerade populärsten Themen zurück oder auf Spam-Nachrichten, die bösartige URLs oder Dateianhänge enthalten. Der Verbreitung von FAKEAVs scheinen keine Grenzen gesetzt zu sein. Die verschiedenen Varianten versuchen aus allen wichtigen Nachrichten in der Welt Profit zu schlagen – jeden Tag erscheinen Hunderte neuer gefälschter AV-Domänen.

Infizierte Nutzer werden über FAKEAV nicht nur betrogen, sie werden auch zu direkten Teilnehmern in Botnetzen und unterstützen somit die weitere Verbreitung der Schadsoftware. FAKEAVs überlassen nämlich ihre Verbreitung den Botnetzen, sodass sich die Cyberkriminellen auf die Entwicklung von immer effizienteren Einschüchterungstaktiken und Pay-per-Install-Modellen konzentrieren können. Auf diese Weise haben sie sich mit anderen Cyberkriminellengruppen zusammengeschlossen, etwa den KOOBFACE-  und BREDOLAB-Banden, und ein sehr lukratives Geschäftsmodell entwickelt.

Nutzer sollten immer im Hinterkopf behalten, dass FAKEAVs nur einem einzigen Zweck dienen, nämlich dem Profit der Cyberkriminellen auf Kosten der Nutzer. Dies ist auch der Grund, warum diese Schadprogramme immer weiter entwickelt werden und in vielfältiger Weise ausgeliefert werden – sogar in die iPhones haben sie ihren Weg gefunden.

Dennoch ist es nie zu spät, vorsichtig zu sein und lediglich vertrauenswürdige Sites für Updates zu nutzen. Auch sollte man vermeiden, auf verdächtig erscheinende URLs zu klicken sowie Dateianhänge zu öffnen oder gar herunter zu laden, vor allem wenn sie von unbekannten Absendern kommen. Schließlich können sich Nutzer mit Software schützen, die auf Reputation setzt, wie Trend Micros Smart Protection Network. Damit sind die Anwender vor FAKEAV-bezogenen Infektionen sicher, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.

Eine meiner Bekannten hatte den folgenden Status ihres Facebook-Profils angegeben:

Facebook-Status

Bei diesem Eintrag beschlich mich ein ungutes Gefühl, und ich beschloss, mich etwas umzusehen.

Was Facebook anbelangt, gibt es nichts Besorgniserregendes, es scheint keine an sich bösartige App zu sein. Eine Anfrage bei Yahoo ergab, dass „Un named App“ nichts anderes als das “Boxes”-Tab der eigenen Facebook-Profilseite ist.

Doch Vorsicht: Es gibt dennoch ein reelles Risiko. Kriminelle haben sich diesbezügliche Sorgen der Facebook-Anwender zunutze gemacht und bereits damit begonnen, Google Suchergebnisse zu infizieren.

Google-Suchergebnisse

Ich startete bei Google ein Anfrage nach “facebook unnamed app” und musste feststellen, dass ein Drittel der Ergebnisse auf der ersten Seite auf eine bösartige Website zeigten, die mit dem Ziel aufgesetzt worden war, gefälschte Antiviren-Software unter der Bezeichnung Security Tool zu verteilen.

Ist ein Nutzer unvorsichtig genug und klickt den Link an, so erhält er eine Dialogbox, die ihn darüber informiert, dass er eine Riesenanzahl infizierter Dateien auf seiner Maschine hat. Er wird aufgefordert, das Security Tool für die Säuberung zu nutzen. Natürlich handelt es sich nicht um eine tatsächliche Sicherheitslösung. Das Tool soll das Opfer dazu bringen, in klingender Münze zu zahlen.

Security Tool – gefälschtes AV

Meine Empfehlung: “Suchen” Sie immer umsichtig, vor allem wenn es um Suchanfragen zu gerade populären Themen geht. Mittlerweile sind Such- und Gesprächstrends ein beliebtes Mittel für die Kriminellen, um Unschuldige auf bösartige Software umzuleiten.

Wer sich Sorgen um die eigene Computersicherheit macht, kann seinen PC mit einer reellen Sicherheitslösung scannen, und zwar mit dem kostenlosen Housecall-Dienst. Bei Fragen können Sie auch den Autor unter der Mailadresse rik_ferguson@trendmicro.com erreichen.

Noch bevor der erste Nutzer die neueste Apple-Technologie, das iPad, kaufen kann, ziehen die Cyberkriminellen bereits ihren Profit aus deren Popularität.

Die Sicherheitsanalysten von Trend Micro haben einige bösartige Suchergebnisse gefunden, bei Anfragen nach Informationen zu der Ankündigung des Apple-Tablets. Die infizierten Suchergebnisse entpuppten sich als Teil der anhaltenden Blackhat Search Engine Optimization (SEO) FAKEAV-Kampagnen. Das Anklicken der Suchergebnisse führt zum Download einer gefälschten Antivirus-Software, die Trend Micro als TROJ_FAKEAV.EAM identifiziert hat.

Bei Ausführung zeigt TROJ_FAKEAV.EAM eine professionell aufgesetzte grafische Benutzerschnittstelle an, um die Nutzer dazu zu bringen, die Software zu installieren. Dann erscheint ein gefälschter Infektions-Alert. Geht ein Nutzer darauf ein, sein System von den angeblichen Infektionen zu säubern, zeigt der Trojaner eine Werbeseite, die zu einer Phishing-Seite führen kann, sollte der User sich für den Kauf der FAKEAV entscheiden.

Seitdem Apple bekannt gegeben hat, wann das iPad erhältlich ist, ist das Tablet das heißeste Thema im Web. Und Cyberkriminelle lassen sich diese Gelegenheit nicht entgehen, daher ist es wahrscheinlich, dass viele Nutzer diesem neuen FAKEAV-Angriff auf den Leim gehen werden. Trend Micro warnt eindringlich vor bösartigen Links und empfiehlt, für Informationen zum iPad nur Sites zu besuchen, die eine gute Reputation haben.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem es den Zugriff auf bösartige Sites verhindert und auch den Download infizierter Dateien.

Ein Jahr ist vergangen, seit WORM_DOWNAD.AD (auch Conficker genannt) seinen Eroberungsfeldzug der Systeminfektionen rund um die Welt startete. Seither hat Trend Micro neue Varianten entdeckt, einschließlich WORM_DOWNAD.KK, einer aktualisierten Version, in der der Wurm die Zahl der von ihm generierten Domänen von 250 auf 50.000 erhöhen konnte.

In den letzten Monaten war es ziemlich ruhig um DOWNAD/Conficker. Das heißt jedoch nicht, dass die Welt nun sicher ist vor einer ähnlich hohen Anzahl von Infektionen. Tatsächlich zeigen Daten der Conficker Working Group, zu der auch Trend Micro gehört, dass der Wurm auch weiterhin aktiv ist. Eine kürzliche Veröffentlichung stellt auch fest, dass es allein in der ersten Woche 2010 durchschnittlich mehr als 100 Millionen einzigartige IP-Adressen gab, die mit den Tracking-Systemen der Gruppe verbunden waren. Die Grafik zeigt die Anzahl der einzigartigen IP-Adressen, die mit den Tracking-Systemen innerhalb eines Jahres verbunden waren.

Der Q3-Report „State of the Internet“ von Akamai bekräftigt diese Zahlen nochmals. Dem Report zufolge gibt es weiterhin signifikante Port-445-Aktivitäten. Updates des Wurms beweisen auch, dass es eine Verschiebung im Trend der Länder gegeben hat, aus denen die meisten Angriffe kamen: China und die Vereinigten Staaten werden jetzt von Russland und Brasilien auf die Plätze verwiesen.

Trend Micro empfiehlt Anwender deshalb dringend, ihre Systeme und Programme immer auf aktuellem Stand zu halten. Des weiteren sollte Autorun deaktiviert sein, um das Risiko einer neuen oder wiederholten Infektion zu minimieren.

Trend Micros Smart Protection Network schützt die Anwender in Echtzeit vor allen bekannten Varianten von DOWNAD/Conficker, indem es Spam-Nachrichten stoppt, bevor diese die Maileingänge der Anwender erreichen können. Auch verhindert diese Content-Sicherheitsinfrastruktur den Zugang zu bösartigen Sites und Domänen sowie das Herunterladen von bösartigen Dateien.

Die Trend Micro Sicherheitsforscher in EMEA haben einen Blackhat SEO-Angriff entdeckt, der Suchanfragen nutzt, die den String “free printable” enthalten, um den Suchverkehr zu übernehmen und ihn in eine gefälschte Suchmaschine umzuleiten.

Die Analysten fanden heraus, dass diese Anfragen mit dem String “free printable” Ergebnisse liefern, die auch infizierte Websites umfassen. Diese Websites enthalten bösartige Java Scripts,die als JS_REDIRECT.SMF und JS_REDIRCT.MAC identifiziert wurden. Sie stoßen bei jedem Besuch der infizierten Website eine Reihe von Umleitungen an, die schließlich zu einer gefälschten Such-Engine führen, die automatisch den ursprünglich gesuchten String in die eigene Search Textbox stellt.

Das Ziel der Cyberkriminellen scheint das Hijacking des Suchverkehrs in Search Engines zu sein, um ihn in ihre eigenen Such-Engines umzuleiten und so Geld zu verdienen. Noch ist nicht klar, ob es dabei bleibt, doch Nutzer sollten vorsichtig sein, denn die Cyberkriminellen könnten sehr einfach die endgültige Zielseite auf eine Malware-Hosting Site ändern.

Folgendes Diagramm zeigt, wie die Hijacking-Suchläufe funktionieren:

Es ist anzunehmen, dass der SEO-Angriff von der Tatsache profitiert, dass das Interesse an kostenlos auszudruckenden Dateien ziemlich hoch ist. Trend Micro empfiehlt Anwendern dringend, keine Suchanfragen zu stellen, die die Wörter „free printable“ enthalten, da sie an bösartige Sites weiter geleitet werden könnten. Nähere Informationen zu dieser Art von Angriffen finden sich unter dieser Adresse.