Trend Micro informiert über die Entwicklung der aktuellen Bedrohungslandschaft. Im April 2008 nutzte die Malware-Szene erneut den Microsoft Patch Tuesday, um sich über Sicherheitsschwachstellen zu informieren und diese in kürzester Zeit anzugreifen.

Darüber hinaus wurden im vergangenen Monat wieder seriöse Webseiten manipuliert, um Besucher mit Malware zu infizieren. Nicht zuletzt ist ein Herausforderer für das Storm-Botnet aufgetaucht: Das entdeckte Kraken-Botnet scheint doppelt so groß zu sein wie Storm.

Exploit/Backdoor übernimmt Systemkontrolle
An jedem zweiten Dienstag eines Monats – dem sogenannten “Patch Tuesday” – veröffentlicht Microsoft Updates für sicherheitsrelevante Schwachstellen in seinen Produkten. Am darauf folgenden “Exploit Wednesday” nimmt die Malware-Szene dann oftmals genau diese Sicherheitslücken ins Fadenkreuz. Die Angreifer spekulieren mit dem zeitlich verzögerten Einspielen der neuen Patches durch viele Anwender – leider oft mit Erfolg.

Kurz nach dem Patch Tuesday im April entdeckte Trend Micro eine Kombination aus Exploit und Backdoor, mit der die eigentlich schon geschlossene Sicherheitslücke im Graphical Device Interface (GDI) von Windows Systemen angegriffen wurde. Nach dem erfolgreichen Ausnutzen der Schwachstelle durch EXPL_NEVAR.B startet der Download von BKDR_POISONIV.QI. Unbemerkt vom Anwender gibt diese Backdoor dem Angreifer die volle Kontrolle über das infizierte System.

Erneut seriöse Webseiten manipuliert
Die Kette der Angriffe auf seriöse Webseiten riss auch im April nicht ab: Anfang des Monats wurden mehrere Webseiten entdeckt, die erfolgreich mit IFrame Search Engine Optimization (SEO) Poisoning manipuliert wurden. Durch Einfügen einer IFrame-Komponente in den HTML-Code konnten Browser auf eine andere URL umgeleitet werden, die den Download verschiedener Malware startete.

Es ist sehr wahrscheinlich, dass die Angreifer testen, bei welcher Kategorie von Webseiten sie den größten Traffic erzielen können. Aktuell wird besonders der Bildungsbereich angegriffen, aber auch Angebote aus den Bereichen Social Networking, Unterhaltung und Nachrichten sind gefährdet.

Angriff von Kraken: Neues Botnet entdeckt
Das bekannte Storm-Botnet hat im April einen Konkurrenten mit dem unrühmlichen Titel “Größtes Zombie-Netzwerk” bekommen: Das Kraken-Botnet besteht wahrscheinlich aus mehr als 400.000 infizierten Systemen und ist damit doppelt so groß wie Storm.

Kraken gelangt auf Systeme in Form eines als Bilddatei getarnten EXE-Files. Beim Öffnen legt die Malware auf dem betroffenen Rechner eine Kopie von sich an. Dabei wird ein Dateiformat für die Kopie verwendet, das sich von dem ursprünglichen Format unterscheidet. Wird die Originaldatei von einer Anti-Malware-Lösung erkannt und entfernt, kann das System über die Kopie erneut infiziert werden. Trend Micro identifiziert die Malware hinter Kraken als TROJ.SPAMBOT.AF.

Innerhalb der Sicherheitsindustrie wird diskutiert, ob Kraken wirklich neu ist, oder eine Variante der Bobax-Malware-Familie. Möglicherweise arbeiten bestimmte Personen bereits seit Ende 2006 an der Entwicklung von Kraken.

Weitere Informationen zu aktuellen Sicherheitstrends finden Sie im TrendLabs Malware-Blog unter: http://blog.trendmicro.com/april-malware-roundup-2/