Verkürzte URLs in IM-Apps führen zu einem Wurm

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Die Sicherheitsforscher der TrendLabs entdeckten kürzlich, dass Cyberkriminelle so genannte verkürzte URLs (shortened URL) nutzen, um Spam via Instant Messaging (IM) wie Yahoo! Instant Messenger und MSN zu verbreiten. Services zur URL-Verkürzung werden dazu verwendet, lange und schlecht lesbare URLs in kurze Adressen zu komprimieren. Diese sind portabler und werden den normalen, tatsächlichen URLs vorgezogen, wenn der Anwender etwa Neuigkeiten in Netzwerken mit eigenen Websites, Blogs, Tweets und sonstigen Tools austauschen will.

Die Bad Guys scheinen ihre Strategie geändert zu haben. Bislang gab es vor allem bösartige URLs wie http://{BLOCKED}img.com/IMG-004592.com?=, http://www.{BLOCKED}ok.com/view.php?=PHOTO1598526.JPG? und http://www.{BLOCKED}-photos.com/view.php?=PHOTO23032010.JPG? in Instant Messages. Jetzt tauchen immer mehr Instant Messages auf, die verkürzte URLs enthalten, wie etwa http://{BLOCKED}.com/pict04042010jpg and http://{BLOCKED}.com/va98d.

Die Nutzung der verkürzten URLs macht es einerseits den Antivirusherstellern schwerer, die bösartigen URLs zu blockieren, denn es dauert länger, bis sie zum Ziel-Link kommen. Andererseits können Cyberkriminelle die URL-Shortening Services dazu nutzen, die User dazu zu bringen, verdächtige Links anzuklicken. Malware, die über IM-Anwendungen verbreitet wird, baut ihre Nachrichten auf dem Betriebssystem eines Computers auf.



Das Anklicken der verkürzten URLs in den Beispielen führte zum Herunterladen von {BLOCKED}082010-jpg-www-facebook-com.scr. Trend Micro identifierte die Malware als WORM_BUZUS.AG. Der Wurm verbreitet sich über Floppy-Laufwerke und Peer-to-peer (P2P) Netzwerke, indem er die Namen beliebter Anwendungen, Spiele und Filme vortäuscht. Er kann auch mittels SYN-Floods einen Denial-of-Service-Angriff lancieren.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und verhindert das Herunterladen und die Ausführung von bösartigen Dateien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*