Schlagwort-Archive: Conficker

Datei-Infector nutzt von DOWNAD/Conficker bekannte Technik

Originalartikel von Jasper Manuel (Threat Response Engineer bei Trend Micro)

Trend Micro liegen Berichte über einen neuen, gefährlichen Datei-Infector vor. Die Malware (PE_LICAT.A) verwendet einen Domain-Generierungsalgorithmus. Diese Technik nutzten zuletzt WORM_DOWNAD/Conficker-Varianten. Sie ermöglicht es dem Datei-Infector, bösartige Dateien von verschiedenen Servern im Internet herunterzuladen und auszuführen.

Wie schon der Wurm generiert auch PE_LICAT.A eine Liste mit Domänennamen, von denen der Schädling weitere bösartige Dateien laden kann. Die Domain Name-Generierungsfunktion beruht auf einer Zufallsfunktion, die aus dem aktuellen Datum und der Zeit des UTC (Coordinated Universal Time)-Systems berechnet wird. Das Ergebnis ändert sich in jeder Minute.

Dem Escalation Engineer Alvin Bacani zufolge generiert die Malware bei jeder Dateiinfektion durch PE_LICAT.A einen pseudozufälligen Domain Name, mit den genauen Werten der Systemzeit. Dann versucht der Schädling Verbindung zu besagtem Domain Name aufzunehmen. Bei Erfolg lädt er die Datei von der pseudozufälligen URL herunter und führt sie aus. Bei einem Fehlschlag wiederholt er die Aktion bis zu 800 Mal und generiert dabei jedes Mal eine „neue“ URL. Damit stellt die Malware sicher, dass sie sich auf aktuellem Stand hält, und auch wenn eine oder mehrere Domänen vom Netz genommen werden, können andere ihren Platz einnehmen.


Systeme, die infiziert und mit dem aktuellen UTC-Datum und der Zeit synchronisiert sind, kontaktieren dieselbe Sammlung von Domänennamen. Auf der Grundlage von PE_LICAT.A-Code werden die heruntergeladenen Dateien erst validiert, bevor sie ausgeführt werden – dieselbe Technik wie sie WORM_DOWNAD nutzt.

Nutzer, deren Systeme infiziert wurden, riskieren noch weitere bösartige Dateien auf ihre Systeme herunterzuladen, und zwar jedes Mal wenn PE_LICAT.A ausgeführt wird.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.

Wo ist denn eigentlich DOWNAD/Conficker?

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Ein Jahr ist vergangen, seit WORM_DOWNAD.AD (auch Conficker genannt) seinen Eroberungsfeldzug der Systeminfektionen rund um die Welt startete. Seither hat Trend Micro neue Varianten entdeckt, einschließlich WORM_DOWNAD.KK, einer aktualisierten Version, in der der Wurm die Zahl der von ihm generierten Domänen von 250 auf 50.000 erhöhen konnte.

In den letzten Monaten war es ziemlich ruhig um DOWNAD/Conficker. Das heißt jedoch nicht, dass die Welt nun sicher ist vor einer ähnlich hohen Anzahl von Infektionen. Tatsächlich zeigen Daten der Conficker Working Group, zu der auch Trend Micro gehört, dass der Wurm auch weiterhin aktiv ist. Eine kürzliche Veröffentlichung stellt auch fest, dass es allein in der ersten Woche 2010 durchschnittlich mehr als 100 Millionen einzigartige IP-Adressen gab, die mit den Tracking-Systemen der Gruppe verbunden waren. Die Grafik zeigt die Anzahl der einzigartigen IP-Adressen, die mit den Tracking-Systemen innerhalb eines Jahres verbunden waren.

Der Q3-Report „State of the Internet“ von Akamai bekräftigt diese Zahlen nochmals. Dem Report zufolge gibt es weiterhin signifikante Port-445-Aktivitäten. Updates des Wurms beweisen auch, dass es eine Verschiebung im Trend der Länder gegeben hat, aus denen die meisten Angriffe kamen: China und die Vereinigten Staaten werden jetzt von Russland und Brasilien auf die Plätze verwiesen.

Trend Micro empfiehlt Anwender deshalb dringend, ihre Systeme und Programme immer auf aktuellem Stand zu halten. Des weiteren sollte Autorun deaktiviert sein, um das Risiko einer neuen oder wiederholten Infektion zu minimieren.

Trend Micros Smart Protection Network schützt die Anwender in Echtzeit vor allen bekannten Varianten von DOWNAD/Conficker, indem es Spam-Nachrichten stoppt, bevor diese die Maileingänge der Anwender erreichen können. Auch verhindert diese Content-Sicherheitsinfrastruktur den Zugang zu bösartigen Sites und Domänen sowie das Herunterladen von bösartigen Dateien.

FAKEAV verwendet Conficker-Wurm als Köder

Original Artikel von Robby Dapiosen (Anti-Spam Research Engineer)

Erst vor Kurzem haben Cyber-Kriminelle eine andere Möglichkeit gefunden, ihre Opfer mit Hilfe von Microsoft in die Falle zu locken.

Die unten stehende Abbildung 1 zeigt einen Screenshot einer solchen Kampagne. Der Empfänger der E-Mail wird aufgefordert, die angehängte .zip-Datei (Abbildung 2) herunterzuladen und zu installieren.
Tatsächlich handelt es sich dabei um eine bösartige Datei, die vorgibt, den Computer nach einer möglichen Infektion mit dem Conficker-Wurm zu durchsuchen.

Bemerkenswert an diesen Spam-Mails ist die gefälschte Kopfzeile. Die Adresse im Von-Feld ist identisch mit der Adresse des Empfängers (Abbildung 3).

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Die in der angehängten .zip-Datei enthaltene ausführbare Datei ist eine FAKEAV-Variante, die als TROJ_FAKEAV.BL identifiziert wird.
Nach der Ausführung von TROJ_FAKEAV.BL erscheint ein Willkommensbildschirm des gefälschten Virenschutzes Power-Antivirus-2009, wie in Abbildung 4 gezeigt. Danach folgt ein gefälschtes Suchfenster, damit Benutzer die ausgeführte Datei für eine rechtmäßige Anti-Viren-Anwendung halten (Abbildung 5). Dann erscheinen, wie in Abbildung 6 gezeigt, die folgenden gefälschten Meldungen, die den Benutzer vor einer Infektion warnen.

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Da die Spam-Nachricht gesperrt und die bösartige Datei identifiziert wird, sind Trend Micro Benutzer vollständig vor diesem Angriff geschützt. Kunden ohne Trend Micro Produkte sollten HouseCall verwenden, das Trend Micro Scan-Tool, das Viren, Trojaner, Würmer, unerwünschte Browser-Plug-ins und andere Malware identifiziert und entfernt.