Schlagwort-Archive: Bot-Netz

Neues P2P Trojaner-Botnet entdeckt

Originalartikel von Oscar Abendan (Technical Communications bei Trend Micro)

Laut verschiedenen Berichten gibt es seit Kurzem ein neues Botnetz, das über TROJ_DLOADE.ATJ mehrere Systeme infiziert hat. Der Trojaner ist darauf ausgerichtet, weitere Malware herunter zu laden und zu installieren, besitzt jedoch anscheinend keine Distributed Denial-of-Service (DDoS) Fähigkeiten.

Nutzer sind dann gefährdet, diesen Schadcode herunterzuladen, wenn sie Sites unter der Domäne {BLOCKED}m.com or {BLOCKED}n.net besuchen. Der Trojaner lädt unter Umständen auch weitere Malware von besagter Domäne. Sobald er sich installiert hat, versucht er den Command-and-Control Server über den TCP Port 8090 zu kontaktieren, um sich dort anzumelden und auf Befehle zu warten. Er kann auch mit anderen Bots über eine Art von Peer-to-Peer (P2P) Verbindung über die Ports 7000 – 7010 kommunizieren, sowie Verbindung zu bestimmten bösartigen Sites aufnehmen, die derzeit nicht erreichbar sind.

Botnetze haben sich zur dauerhaftesten und gefährlichsten Bedrohung im Internet entwickelt, denn sie können großen Schaden anrichten, wie etwa Informationen stehlen und Malware-Infektionen auslösen, wie auch das Whitepaper “Botnet: Perpetrators of Crimeware” zeigt. Das Papier beschreibt die Entwicklung von Botnetzen sowie ihre Auswirkung auf die aktuelle Bedrohungslandschaft.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service.

Aktualisierung vom 16.04.:

TROJ_DLOADE.ATJ wurde nun von Trend Micro als BKDR_HELOAG.SM identifiziert. Der Schadcode erhält bestimmte IP-Adressen und Befehel von einem Host-Bot.

Neue ZBOT-Variante wählt Kunden großer europäischer Banken als Angriffsziel

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Die Sicherheitsforscher von Trend Micro haben eine neue ZBOT-Variante entdeckt, die vor allem Banken aus vier europäischen Ländern als Ziel auserkoren hat. Diese Variante greift große populäre Bankinstitute mit vielen Kunden aus Italien, England, Deutschland und Frankreich an. Zu den Instituten gehören die UniCredit Group, Tochter der Bank of Rome, die britische Abbey National, die Fiducia Group, der führende IT-Service Provider für verschieden Banken  in Deutschland, Hongkongs HSBC sowie Crédit Mutuel, die größte Einzelhandelsbank Frankreichs.

„Zurzeit haben wir Daten, die zeigen, dass diese Banken tatsächlich das Ziel der Verbrecher sind. Wir nennen einige der Banken ausdrücklich, um die Menschen auf die Gefahr aufmerksam zu machen“, erklärt Ivan Macalintal, Advanced Threat Researcher bei Trend Micro.

ZBOT ist eine Crimeware, die mithilfe eines Toolkits erstellt wird, das auch die Anpassung der aus der Ferne kontrollierten Malware übernimmt. Infizierte Maschinen werden zum Bestandteil des kriminellen ZeuS-Botnets gemacht. ZBOT-Varianten sind darauf spezialisiert, Online-Banking-Informationen zu stehlen und diese an die C&C-Server (Command & Control) zurück zu schicken. Zwar ist ZeuS traditionell bekannt für die kriminellen Aktivitäten, doch der jüngste Schachzug zeigt eine neue Qualität der kriminellen Online-Geschäfte, wobei verschiedene Organisationen miteinander kooperieren können, um den Online-Diebstahl und Betrug durchzuführen. Weitere Details zur Malware bietet das Whitepaper “Zeus: A Persistent Criminal Enterprise“.

Die von der ZBOT-Variante genutzten Domänen, werden beide auf demselben Server gehostet, der in Serbien unter einem registrierten Namen betrieben wird. Die verwendete IP-Adresse und der registrierte Namen sind wohlbekannt, da sie Teil der FAKEAV-Hosting Domänen sind und an früheren kanadische Spam-Kampagnen für Medikamente beteiligt waren.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service. Diejenigen, die keine Trend Micro-Software im Einsatz haben, können sich über das kostenlose Tool HouseCall schützen. Dies erkennt und beseitigt alle Arten von Viren, Trojanern, Würmern und nicht erwünschten Browser-Plugins vom System des Nutzers. Auch das ebenfalls kostenlose Tool RUBotted lässt sich einsetzen, um herauszufinden, ob das eigene System bereits Teil eines Botnetzes ist.

Ein neues Botnet betritt die Bühne

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Es gibt ein neues Botnet, das die Sicherheitsforscher von Trend Micro als TSPY_EYEBOT.A identifiziert haben. Bestimmte Verhaltensweisen von EYEBOT lassen laut Experten darauf schließen, dass es mit ZBOT zu einem Bot-Krieg kommen könnte, ähnlich den Kriegen zwischen den Würmern NETSKY und MYDOOM. EYEBOT ist zwar noch ein Anfänger, doch falls die Kriminellen hinter ZBOT beschließen zu antworten, wäre ein solcher Kampf nicht ausgeschlossen.

Beide Botnetze nutzen Rootkit-Technologie, wobei EYEBOT eher wie ein „Backdoor“ agiert. Die neue Spyware weist ähnliche Routinen auf wie die Zeus-Variante ZBOT, die als die gefährlichste Malware bezüglich des Diebstahls von Informationen und Identitäten gilt. EYEBOT stiehlt mithilfe von Keyloggging Kontozugangsinformationen. Außerdem hinterlässt die Spyware eine Konfigurationsdatei ähnlich der von ZBOT für die Überwachung von Banken-Websites genutzten. EYEBOT verwendet Rootkit-Technologie, um die bösartigen Dateien und Prozesse vor den betroffenen Nutzern zu verstecken und einer Entdeckung zu entgehen.

Die Spyware stammt aus Russland und dient auch als Server für eine grafische Benutzerschnittstelle – der augenscheinlichste Unterschied zu den ZBOT-Varianten. Während diese normalerweise Standalone-Programme darstellen, muss EYEBOT Befehle eines böswilligen Nutzers entgegen nehmen. Damit agiert der Neuling eher wie ein typisches Backdoor-Programm, das Cyberkriminellen Zugang zu den betroffenen Systemen verschafft.

Einen weiteren Unterschied macht die Fähigkeit aus, von ZBOT angestoßene Prozesse zu beenden. Eine nähere Analyse der Binärdatei zeigt, dass die Spyware darauf ausgerichtet ist, bekannte ZBOT-Mutexe, _AVIRA_ and __SYSTEM__ zu monitoren.

Das Smart Protection Network von Trend Micro schützt Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mithilfe der Web-Reputationsdienste den Zugang zur bösartigen Site http://{BLOCKED}antibot.net/bload/bin/build.exe blockiert, wo die Spyware herunter geladen werden könnte. Über die Dateireputations-Services entdeckt das SPN die Datei (TSPY_EYEBOT.A) und verhindert deren Ausführung auf betroffenen Systemen. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mithilfe des kostenlosen Tools Web Protection Add-On schützen. Das Addon blockiert in Echtzeit den Zugriff der Nutzer auf potenziell bösartige Websites.

Deutschland auf Spitzenplatz bei Infektionen

Artikel von Alice Decker (Senior Threat Researcher bei Trend Micro)

Deutschland kann mit einem traurigen Rekord aufwarten: Die Sicherheitsanalysten von Trend Micro haben festgestellt, dass Deutschland mit heute 226.430 infizierten URLs die drittgrößte Quelle (nach den Niederlanden mit 371.606 und Russland mit 257.395) für diese Bedrohung ist. Weltweit rangiert Deutschland damit auf Platz fünf hinter den USA (2.038.513), China (1.104.691), den Niederlanden und Russland.

Erstaunlicherweise stellt Deutschland auch die zweitgrößte Quelle von Spam in Europa dar mit 1765.695 E-Mails pro Tag nach Russland mit täglich 2.427.844 Mails. Weltweit sind die deutschen Rechner damit für drei Prozent des gesamten Spamaufkommens zuständig. Gleichzeitig aber ist es  auch das Land, das nach Frankreich die meisten Angriffe bezüglich der Anzahl der infizierten Links in Europa zu verzeichnen hat – sei es über E-Mail oder über tagtägliche Internetaktivitäten. Nicht nur die schiere Masse ist beunruhigend, Dave Rand, Chief Technologist bei Trend Micro, stellte für das erste Halbjahr 2009 fest, dass die kompromittierten Maschinen durchschnittlich 300 Tage lang infiziert bleiben – manche sogar bis zu drei Jahren. Rand zufolge führt China mit einer Infektionsdauer von bis zu zehn Jahren, aber auch in Deutschland gibt es Computer, die bis zu zwei Jahren infiziert waren.

Diese „Spitzenplätze“ könnten die Deutschen 2010 jedoch wieder abgeben, so die Prognose von Trend Micro, denn mit steigendem Zugang der Menschen aus den verschiedenen Ländern wird mehr und mehr Content in Sprachen wie Hindi Chinesisch, Russisch und Portugiesisch ins Internet gestellt.

Trend Micro schützt die Anwender über das Smart Protection Network. Diese intelligente Content-Sicherheitsinfrastruktur erkennt und blockiert verdächtige URLs, Dateien und E-Mails bevor sie die Systeme der Nutzer erreichen.

Das SDBOT IRC Botnetz weiter im Umlauf

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Der SDBOT-Schadcode ist bereits seit dem Jahr 2004 bekannt. Die meisten Botnetze, die eine Kommunikation über das IRC-Protokoll (Internet Relay Chat) aufbauen, wie AGOBOT, IRCBOT, RBOT und andere, gibt es schon seit 2001. Doch hat diese Art der Malware selten Aufmerksamkeit erregt, denn sie funktioniert im stillen. Weder sind es Spam-Schleudern noch Ressourcenfresser, und sie unterbrechen auch kaum die normalen Computeraktivitäten wie Browsing. Daher merken die Opfer kaum, dass ihre Computer infiziert worden sind.

Das Whitepaper “SDBOT IRC Botnet Continues to Make Waves” beschreibt die SDBOT-Varianten und ihre Payload – die Installation von Pay-per-install-Programmen. Es liefert zudem einen Überblick über die Malware, wie sie arbeitet, installiert wird und wie sie sich mithilfe verschiedener Techniken des Social Engineerings ausbreitet. SDBOT ist vor allem darauf ausgerichtet, andere Malware-Dateien wie FAKEAV, Cutwail, Buzus etc. herunterzuladen, die jede ihre eigene Payload und enge Verbindung zu anderen Malware-Familien besitzt.

Das Papier zeigt Hintergründe zur Funktionsweise des Botnetzes im Untergrund auf, wie es strukturiert ist und wie es das Geschäftsmodell Pay-per-install nutzt, um seine kriminellen Ziele zu erreichen. Es zeigt sich, dass dieses Botnetz seine Dienste und Download-Fähigkeiten an Cyberkriminelle vermietet. Auch erfreut sich das Pay-per-install-Geschäftsmodell steigender Beliebtheit, denn dessen Nutzung wird immer einfacher. Ein Botnet-Besitzer wird dafür bezahlt, Malware auf infizierten PCs zu installieren. Beispielsweise bezahlt ein FAKEAV-Autor die SDBOT-Bande, die bereits ein IRC-Botnet besitzt und Tausende von infizierten Maschinen kontrolliert, damit diese die FAKEAV-Dateien auf die Systeme schiebt.

Das vollständige Whitepaer ist auf TrendWatch verfügbar.