Neue Wurm-Variante Spybot.AKB

Die PandaLabs, das Anti-Malware-Labor von Panda Security, haben eine neue Wurm-Variante entdeckt: Spybot.AKB verbreitet sich via E-Mail und über Online-Datentauschbörsen und tarnt sich als Einladung zu sozialen Netzwerken wie Twitter, Google Buzz und Hi5 oder als Nachricht der Firmen Amazon, Hallmark und Google.

Der seltene Schädlingstyp installiert nach dem Öffnen einer Datei Browser-Erweiterungen in Firefox und Google Chrome. Diese scheinbar harmlosen Programme, die zum Beispiel „Firefox Security 2.0“ heißen, leiten bei bestimmten Suchanfragen auf schädliche Webseiten um. Spybot.AKB verringert außerdem die Sicherheitsstufe infizierter Computer, setzt sich in der Windows Firewall selbst auf die Liste autorisierter Programme und deaktiviert die Windows-Funktionen für die Erstellung des Ereignisprotokolls und die Kontrolle der Benutzerkonten.

Wer in diesen Tagen darüber nachdenkt, sich Twitter, Google Buzz und ähnlichen sozialen Netzwerken anzuschließen, sollten Sie sich keinesfalls von einer E-Mail-Einladung dazu überreden lassen: Online-Kriminelle verschicken aktuell originalgetreue Einladungen via E-Mail, deren Links einen besonders seltenen, aber äußerst raffinierten Wurm namens Spybot.AKB verbreiten. Er installiert eine Erweiterung in den Internet-Browsern Firefox und Google Chrome, die spezielle Suchanfragen abfängt und die Benutzer auf schädliche Webseiten umleitet.

Die infizierten Mails haben im Betreff zum Beispiel „Your friend invited you to Twitter!“, „Jessica would like to be your friend on Hi5“ oder „Thank you from Google“. Raffinierter Weise enthalten sie aber nicht nur das Logo des betreffenden Sozialen Netzwerks, sondern auch mehrere Links zur Original-Webseite von Twitter, Google Buzz etc. Der Anwender wähnt sich dadurch in Sicherheit und führt die Anmeldung aus. Diese erfordert aber, die angehängte Zip-Datei „Invitation Card“ zu öffnen. Darin steckt eine EXE-Datei, die zunächst als JPEG-Bild erscheint und erst am Ende des Dateinamens nach etlichen Leerzeichen anhand der Endung .exe als ausführbare und damit potenziell gefährliche Datei erkannt werden kann. Sie installiert falsche Browser-Erweiterungen, die der Wurm nutzt, um bei Suchanfragen mit bestimmten Begriffen auf schädliche Seiten weiterzuleiten. Panda Security hat auf Pandalabs.com die umfangreiche Liste dieser Suchbegriffe zusammengetragen.

Neben dem Weg über E-Mail nutzt der Wurm auch bekannte Online-Tauschbörsen wie zum Beispiel ICQ, eMule, Bearshare oder Morpheus. Hier verbreitet sich der Wurm, indem er sich unter verschiedenen Datei-Namen in die jeweiligen Downloadverzeichnisse der einzelnen Portal-Programme kopiert. Meist tarnt er sich mit den Namen gängiger Software wie etwa Adobe Photoshop oder Windows 7, um keinen Verdacht aufkommen zu lassen. Bei Ausführung der Datei installiert sie genau wie der E-Mail-Anhang die Browser-Erweiterung. Die Liste der betroffenen Tauschbörsen und aller möglichen Dateinamen ist ebenfalls auf Pandalabs.com einzusehen.

Trojaner beherrschen die Malware-Industrie

Mit einem Anteil von 70% beherrschte der Trojaner deutlich das Volumen neu programmierter Malware zwischen April und Juni. In dieser Zeit verantwortete er ebenfalls die meisten Infektionen.

Mit einer Rate von 34,37% nimmt er damit auch in dieser Kategorie den vordersten Rang ein. Dies geht aus dem aktuellen Quartalsbericht von Panda Security hervor. Während sich der Prozentsatz der Spyware fast um die Hälfte verringerte (von 13,1% in Q1 auf 6,9% in Q2) traten entsprechend mehr Adware-Varianten auf. Die schädliche Software zeigt im Vergleich zum vorigen Quartal einen drastischen Anstieg von 7,54 auf 16,37 Prozent. Dies führt Panda Security auf den vermehrten Vertrieb falscher Antiviren-Software zurück, der sich derzeit als das lukrativste Geschäftsfeld im Bereich der Online-Kriminalität herausstellt. Adware versursachte im zweiten Quartal 19,62% aller Infektionen.

Insgesamt infizierte der Trojaner Downloader MDW im zweiten Quartal dieses Jahres die meisten Computer. Tritt er in Aktion ist besonders gefährlich, dass er weitere Malware herunterladen wird. Außerdem setzt er den Security-Level des jeweiligen PC herab und verhindert seine Entdeckung durch bestimmte Anti-Monitoring-Funktionen.

Im internationalen Vergleich der Infektionsraten belegt Deutschland mit rund 14% zwar die untersten Ränge, musste aber einen Zuwachs von rund drei Prozent hinnehmen. Ansonsten zeigt die Erfolgsquote der Internet-Angriffe im zweiten Quartal kaum Veränderungen. Taiwan (ca. 33%), Türkei (ca. 28%) und Polen (ca. 27 %) weisen nach wie vor die höchsten Infektionsraten auf.

Virus Kido – auch bekannt unter Conficker und Downadup

Es ist mal wieder ein neuer Computervirus im Anmarsch: Kaspersky Lab warnt vor einer neuen Version des Schadprogramms Kido, auch bekannt unter den Namen Conficker und Downadup.

In der Nacht auf den 9. April 2009 nahmen Rechner, die mit Trojan-Downloader.Win32.Kido (Conficker.c) infiziert waren, über Peer-to-Peer-Verbindungen Kontakt miteinander auf. Die Maschinen erhielten die Anweisung, die neuen Schadprogramme herunterzuladen und damit das Kido-Botnet zu aktivieren.

Die neue Kido-Modifikation weist einen signifikanten Unterschied zu seinen Vorgängern auf: Nachdem er als Wurm so viele Opfer wie möglich infiziert, wird er zu einem Trojan-Downloader, um am Ende wieder die Form eines Wurms anzunehmen. Nach ersten Analysen kann man davon ausgehen, dass Kido seine gefährliche Funktion nur bis zum 3. Mai 2009 beibehält.

Kido lädt nun nicht nur Updates auf die infizierten Rechner, sondern auch zwei neue infizierte Dateien. Bei der einen Datei handelt es sich um eine bösartige Antiviren-Applikation, auch Scareware genannt. Sobald das Programm läuft, poppt beim Opfer in regelmäßigen Abständen ein Fenster auf, die dem User mitteilt, dass sein Rechner infiziert sei. Er erhält dabei die Möglichkeit, die angeblich entdeckten Viren zu einem Preis von 49,95 US-Dollar zu löschen. FraudTool.Win32.SpywareProtect2009.s wird über ukrainische Seiten verbreitet und ist so lästig, dass voraussichtlich viele User auf das Desinfizierungs-Angebot klicken werden.

Die zweite Datei, die Kido auf die infizierten Rechner lädt, ist ein E-Mail-Wurm namens Iksmas, der auch als Waledac bekannt ist. Worm.Win32.Iksmas.atz, der im Januar 2009 entdeckt wurde, stiehlt Daten und verschickt Spam. Schon damals bemerkten viele IT-Experten eine Ähnlichkeit zwischen Kido und Iksmas. Die Kido-Epidemie ist mit der von Iksmas ausgelösten E-Mail-Epidemie, vergleichbar.

„Während einer Zeitspanne von zwölf Stunden nahm Iksmas mehrmals Kontakt zu weltweit verteilten Kontrollzentren auf. Das Schadprogramm erhielt von dort den Befehl, Spam-Mails zu verschicken. In nur zwölf Stunden verschickte ein einziger Bot 42.298 Spam-Nachrichten“, erklärt Aleks Gostev, Head of Kaspersky Lab Global Research and Analysis Team. „Nahezu jede E-Mail enthielt ihre eigene Domain. Dies wurde offensichtlich mit der Absicht getan, die Spam-Filter beim Aufspüren der Massennachrichten zu hindern. Die Filter analysieren dabei die Frequenz, mit der eine spezifische Domain benutzt wird. Insgesamt entdeckten wir 40.542 Domains des dritten Levels und 33 des zweiten. Praktisch alle Seiten waren in China registriert – wahrscheinlich unter erfundenen Namen“, so Gostev weiter.

„Eine simple Kalkulation zeigt, dass ein Iksmas-Bot rund 80.000 E-Mails in 24 Stunden verschicken kann. Angenommen, es gibt fünf Millionen infizierte Rechner da draußen, könnte das Botnet ungefähr 400 Milliarden Spam-Nachrichten in nur 24 Stunden verschicken“, meint Aleks Gostev abschließend.

Anwender, die sich mit Sicherheitslösungen von Kaspersky Lab schützen, haben keinen Grund zur Sorge: Die neue Version des Kido-Wurms (Net-Worm.Win32.Kido.js) wurde von Beginn an heuristisch als Heur:Worm.Win32.Generic entdeckt. Auch die heruntergeladene Iksmas-Variante wird von den Kaspersky-Produkten erkannt.

Weitere Informationen zu Kaspersky Lab und seinen Schutzlösungen vor Cybercrime finden Sie unter kaspersky.de

Schlaegt Computer-Virus „Conficker“ am 1. April zu?

Am 1. April droht ein gefährlicher Computer-Virus Millionen von Internet-PCs lahmzulegen. Die Sicherheitsexperten des Internet-Portals WEB.DE haben jetzt in einem öffentlichen Aufruf vor einem aggressiven Mailwurm gewarnt.

Zwar könne nicht mit endgültiger Sicherheit gesagt werden, in welcher Form der Angriff erfolge, allerdings scheint zu befürchten, dass die Bedrohung ein gigantisches Ausmaß annehmen könnte. Bereits vor einiger Zeit sind IT-Sicherheitsexperten auf den Virus mit der Bezeichnung Conficker aufmerksam geworden. Millionen Rechner scheinen bereits von dem Schädling befallen zu sein, der bislang jedoch keine Aktivität gezeigt hat. Jetzt scheint klar: am 1. April soll mit der gebündelten Kraft aller infizierten PCs ein weltweiter Angriff gestartet werden.

Noch können führende Security-Experten über die unterschiedlichen Bedrohungsszenarien nur spekulieren, doch was zurzeit in Sicherheitskreisen diskutiert wird erschreckt selbst die Fachwelt. Massenhafter Spam-Versand, das Ausspähen von sensiblen Daten, wie Zugängen zum Online-Banking, PCs, deren Daten vollständig gelöscht werden oder gar ein Angriff auf die gesamte Infrastruktur des weltweiten Internets könnten die Folge sein.

Als der Virus im November 2008 das erste Mal auftauchte, nutzte er eine kurzzeitige Sicherheitslücke von Windows, um Privatrechner zu infizieren. Daraufhin gründete Microsoft mit der „Conficker Coalition Working Group“ eine Task Force, um den Hintermännern und deren Absichten auf die Schliche zu kommen. Auf die Ergreifung der Hacker hat Microsoft eine Prämie von 250.000 Dollar ausgesetzt.

WEB.DE empfiehlt allen Internet-Nutzern den eigenen PC rechtzeitig vor dem Stichtag am 1. April mit einem professionellen PC Sicherheitspaket auszustatten. Um der Gefahr vorzubeugen, bietet WEB.DE unter sicherheit.web.de gemeinsam mit dem renommierten Anbieter für PC Sicherheit, McAfee, ein 90-Tage-Kostenlos-Paket der aktuellen Internet Security 2009.

Malware im BIOS – dauerhafter Virus moeglich

Ist ein dauerhafter Virus im BIOS möglich?

BIOS Zwei argentinischen IT-Sicherheitsexperten ist es offenbar gelungen, Malware im BIOS eines Rechners zu platzieren, die sogar eine komplette Formatierung der Festplatte übersteht.

Die beiden Forscher, Alfredo Ortega und Anibal Sacco von der Firma Core Security Technologies, präsentierten ihren Angriff auf der Konferenz CanSecWest. Dort zeigten sie verschiedene Methoden, das BIOS mit dauerhaftem Schadcode zu infizieren. Angeblich übersteht der Schädling dabei nicht nur einen Reboot des Computers, sondern sogar den Versuch, das BIOS zu flashen. (via: Gulli)