Löchrige Browser-Plugins werden zur Gefahr

Im gesamten ersten Quartal dominierten entsprechende Schädlinge die Malware-Charts. Allein im vergangenen Monat waren gleich fünf Trojanische Pferde in der Malware Top 10 vertreten, die es auf Schwachstellen in Java oder Java-Skript abgesehen haben. Eine Zunahme verzeichnet der deutsche Hersteller zudem bei manipulierten Webseiten-Rankings durch sog. Clickjacking. Ziel dieser Masche ist es, Nutzer von Suchmaschinen oder sozialen Netzwerken auf infizierte Internetseiten zu locken. In den kommenden Monaten rechnet G Data mit einem weiteren Ausbau beider Strategien.

Nicht geschlossene Sicherheitslücken bei Browser-Plugins spielen bei der Infektion von Windows-Systemen eine immer grössere Rolle. Seit Ende vergangenen Jahres schiesst die Malware-Industrie sich auf Schwachstellen in Java ein.

«Anwender sollten daher die automatische Java-Update Funktion nicht deaktivieren und alle Patches umgehend einspielen. Eine Prüfung der installierten Java-Programmversion ist einfach und schnell auf der Webseite  java.com gemacht», so Ralf Benzmüller, Leiter der G Data SecurityLabs. «Seit Monaten beobachten wir zudem einen Anstieg von Computerschädlingen, die Klicks auf Webseiten so manipulieren, dass dadurch z.B. Webseiten-Rankings verbessert werden. Durch solche Clickjacking-Attacken machen sich Schadcode-Seiten in Suchmaschinen und sozialen Netzwerken vertrauenswürdiger als sie es sind.»

++ Clickjacking: Webseiten-Rankings locken auf gefährliche Inhalte Die Manipulation von Webseiten-Rankings bei Suchmaschinen (SEO) und sozialen Netzwerken liegt bei Online-Kriminellen voll im Trend. Durch sogenanntes Clickjacking in sozialen Netzwerken versuchen die Täter mit Schadcode infizierte Webseiten oder Abzockseiten in den Ranglisten auf die oberen Plätze zu bringen. Mit Trojan.JS.Clickjack schaffte es im März 2011 ein derartiger Schädling in die unrühmliche Malware Top 10. Vom Anwender unbemerkt generiert dieser beim Besuch präparierter Internetseiten Klicks auf Facebook «Gefällt mir» Buttons. So gelangen beispielsweise vermeintliche Promi-Seiten bei entsprechenden Suchanfragen in das Top-Ranking des Anbieters.

++ Methodik Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G Data Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet.

Informationen zu den Schädlingen der Malware-Top 10

Trojan.Wimad.Gen.1
Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infi-zierten Audiodateien verbreiten sich hauptsächlich über P2P- Netzwerke.

Java.Trojan.Downloader.OpenConnection.AI
Dieser Trojan Downloader ist in manipulierten Java-Applets auf Webseiten zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware enthalten. Der Downloader nutzt die Schwachstelle CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Win32.Ramnit.N
Win32.Ramnit.N ist ein klassischer Datei-Infektor, der ausführbare Dataien (.exe), dynamische Biblio-theken (.dll) und auf der Festplatte gespeicherte HTML-Dateien infiziert. Nach der Ausführung einer in-fizierten .exe-Datei / Laden einer infizierten .dll-Datei wird eine weitere .exe Datei auf den Rechner ko-piert. Zusätzlich wird ein Autostart-Eintrag angelegt, um die infizierte Datei bei jedem Neustart wieder zu aktivieren. Der Infektor verbindet sich per http oder https zu einigen Servern. Das Kommunikationsprotoll weicht aber vom Standard ab.

Der Infektor durchsucht regelmässig jeden lokalen Ordner auf der Festplatte und infiziert einige, wenn auch nicht alle, .exe-Dateien, .dll-Dateien und HTML-Dateien mit einem Dropper. Dieser kopiert den gleichen Datei-Infektor, wie die ursprünglich infizierte Datei. Infizierte HTML-Dateien enthalten ein VB-Skript , das den Infektor kopiert, wenn ein Nutzer die Webseite im IE Browser öffnet, jedoch fragt der IE schon ab Version 6.0, ob das Skript wirklich ausgeführt werden soll.

Worm.Autorun.VHG
Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Trojan.AutorunINF.Gen Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Java.Trojan.Downloader.OpenConnection.AN
Dieser Trojan Downloader ist in manipulierten Java-Applets auf Webseiten zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche, ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um aus der Java-Sandbox auszubrechen und Daten auf dem System zu schreiben.

JS:Redirector-EP [ Trj ]
Ein Redirector leitet Besucher von Webseiten auf andere Ziele um. Das Ziel der Umleitung wird z.B. durch Obfuscation-Techniken im JavaScript verschleiert, damit die eigentliche Ziel URL erst im Browser des Benutzers konstruiert wird. Der Rediretor selbst kompromittiert das System des Benutzers nicht, leitet aber ohne Beteiligung des Benutzers auf potentielle schädliche Webseiten um und ist daher ein beliebtes Mittel, um die Quelle des eigentlichen Angriffs zu verschleiern.

Java:Agent-DM [ Trj ]
Diese Java-basierte Malware ist ein Download-Applet, das durch eine Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es zum Beispiel nachgeladene .EXE Dateien direkt ausführen, was ein einfaches Applet nicht könnte, da die Java-Sandbox dies eigentlich unterbinden würde.

Trojan.JS.Clickjack.A
Trojan.JS.Clickjack.A ist ein verschleiertes JavaScript, das in Webseiten eingebunden wurde. Wie der Name suggeriert, verwendet es Clickjacking-Techniken, um den Webseitenbesucher zu einem Klick auf zweifelhafte Links oder Objekte zu bewegen, ohne dass diese es bemerken. Im Fall von Tro-jan.JS.Clickjack.A wird auf der bösartigen Webseite ein unsichtbarer IFRAME erstellt, der den typischen Facebook «Like it!»-Button enthält. Das JavaScript bewegt diesen IFRAME immer mit der Mausposition mit und mit einem Klick auf die Seite,z.B. einen angezeigten «Play» Button auf einer Videoseite, klickt der Nutzer automatisch und unwissend den «Like it!»-Button und aktiviert ihn.

Java.Trojan.Exploit.Bytverify.N
Diese Bedrohung nutzt eine Sicherheitslücke im Java Bytecode Verifier aus und ist in manipulierten Java-Applets, auf Webseiten, zu finden. Durch die Ausnutzung der Sicherheitslücke kann bösartiger Code ausgeführt werden, der dann z.B. den Download von Trojanischen Pferden auslöst. Der Angreifer kann so das System des Opfers übernehmen.

(fest/pte)