Schlagwort-Archive: Rootkit

Der Security-RückKlick KW 47

von Trend Micro

kw-47

 

 

 

 

 

 

 

Quelle:CartoonStock

Ransomware nutzt Facebook-Nachrichten für den Transport, viele Unternehmen verkennen die Gefahr immer noch, und auch Android-Smartphones bringen neue Risiken mit sich.
Weiterlesen

Umbreon Linux-Rootkit zielt auf x86- und ARM-Systeme

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Trend Micros Sicherheitsforscher erhielten kürzlich von einem Partner des Vertrauens Samples einer neuen Rootkit-Familie. Um dieser Gefahr entgegen zu wirken, liefert der Blog eine Analyse des Rootkits, und Trend Micro stellt auch die Samples der Industrie zur Verfügung.
Weiterlesen

Mebroot-Variante agiert wie TDSS

Originalartikel von Kathleen Notario (Threat Response Engineer bei Trend Micro) und Udo Schneider (Solution Architect EMEA bei Trend Micro)

Die TDSS-Familie beschreibt eine ganze Reihe von Schädlingen und ist eine „alte Bekannte“, die eine ernsthafte Bedrohung für Anwender darstellt. Der Name “TDSS” stammt von dieser Zeichenkette, die immer wieder in Komponentendateien und Registry-Einträgen früherer Varianten vorkam. Die Malware ist für ihre Rootkit-Fähigkeiten bekannt und wird stetig weiter entwickelt, um immer bessere Mittel zu finden, ihr Vorhandensein auf den betroffenen Systemen zu verbergen.

Dafür nutzt TDSS ein mehrstufiges Verfahren und umfasst unter anderen folgende Funktionen: Werbe-Popups, Anti-AV-Funktionen oder das Nachladen und Ausführen anderer Komponenten. In vielen Fällen wird TDSS nur als eine Komponente genutzt, um die eigentliche Malware nachzuladen und zu verstecken. Daher lässt sich in diesen Fällen die Funktionalität beliebig anpassen und ist nicht auf Werbe Popups begrenzt! Bekannte Verbreitungswege sind Cracks und Key-Generatoren, aber auch Drive-By-Downloads wurden schon beobachtet.

Die Mebroot Malware-Familie wiederum ist für Master Boot Record (MBR)-Infektionen bekannt. Dadurch ist der Schädling u.a. im Dateisystem von AV-Scannern nicht mehr aufzufinden. Dabei biegt es nach dem Systemstart Low Level Funktionen der Festplatten und NDIS (Netzwerk) Treiber um und ist im MBR für das Betriebssystem (und Applikationen!) unsichtbar und außerdem in der Lage, an den meisten installierten Firewall/Network Security Lösungen vorbei Inhalt nachzuladen.

Die Sicherheitsforscher von TrendLabs identifizierten kürzlich ein Mebroot-Sample als TROJ_MEBROOT.SMC, das sich in einer neuen, doch bekannten Art und Weise installiert:

  1. Die ausführbare Hauptdatei setzt eine Datei in das %User Temp% Directory.
  2. Sie führt mittels der I timeSetEvent-Funktion regsvr32 /s aus.
  3. Sie kopiert besagte Datei in das Print Processor Directory als %System%\spool\PRTPROCS\W32X86\{random number}.tmp.
  4. Dann lädt sie die Datei über das API AddPrintProcessorA mit Hilfe des SPOOLSV.EXE Service.
  5. Sie entfernt die Datei über das API DeletePrintProcessorA und löscht sie dann.

Diese Routine ist tatsächlich bekannt, den es ist die Art und Weise wie eine TDSS-Malware weitere Komponenten auf die Anwendersysteme installiert, wobei die endgültige Payload den MBR verändert, indem Tausende von Bytes hinein geschrieben und die Image-Datei der Malware hinein gesetzt werden. Danach wird das betroffene System neu gestartet. Durch die Änderungen des MBR wird die Malware dabei automatisch ausgeführt. Ihre Image-Datei aktiviert die weiteren Routinen, wie etwa für das Verbinden mit einer zufällig generierten URL und das Verschicken von Informationen dorthin, auch wenn der User an Windows nicht angemeldet ist.

Beim Neustart verbindet sich die Malware zuerst mit microsoft.com, time.windows.com und yahoo.com. Danach verbindet sie sich als hart codierte Domänennamen mit Servern und zufällig aussehenden URLs, die mit Hilfe auf der Zeit und dem Datum des Systems beruhenden Algorithmus generiert werden. Sie führt noch einige Aktionen gegen das Aufspüren auf der betroffenen Maschine durch.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network gegen diese Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt die Schädlinge mit Hilfe des File Reputation Service.

Windows Update führt zu „Blue Screen“-Absturz

Originalartikel von Danielle Veluz (Technical Communications bei Trend Micro)

Ein kürzlich von Microsoft herausgegebener Windows “Patch” hat anscheinend eine Reihe von „Blue Screen“-Abstürzen verursacht, nachdem Anwender den so genannten Security Update installiert haben. MS10-015 steht mit diesem Systemfehler in Verbindung, heißt es, und verursacht blue-screen-of-death (BSoD) Fehler.

Einem Eintrag im offiziellen Microsoft-Blog zufolge wurde die Verteilung  des besagten Windows Updates unterbrochen. Doch erklärt der Anbieter auch, dass die Ursache des BSoDs auch mit Malware im Zusammenhang stehen könnte.

Die Forscher von Trend Micro erkannten als Wurzel des Übels TROJ_TDSS.AJD, dessen Design es ermöglicht, sich in dem Betriebssystem eines Nutzers zu verstecken. Diese sehr schwer aufzuspürende Rootkit verursacht Betriebssystemabstürze, wenn der Security Update installiert wird.

Die bekannten Malware-Komponenten der TDSS-Varianten enthalten eine Payload, welche die heimlichen Malware-Aktivitäten durchführt. Die Entdeckung der neuen TROJ_TDSS.AJD-Muster brachten Microsoft dazu, zwei diesbezügliche wichtige Updates heraus zu bringen — Update—Restart Issues After Installing MS10-015 and the Alureon Rootkit und Restart Issues on an Alureon-Infected Machine After MS10-015 Is Applied , um weiteren Schaden durch BSoD-Abstürze zu verhindern.

Die Anwender von Trend Micro Produkten sind über das Smart Protection Network vor solchen Vorfällen geschützt.