Aktuelle IT-Bedrohungen, Trends 1. Quartal

Immer gefährlicher wird für den Anwender die Nutzung des Internets. Auch das neue Jahr ist dabei keine Ausnahme. Die Erpressung von Anwendern und die sich sehr schnell entwickelnden verschiedenen Arten des Internet-Verbrechens verlangen nach effektiven Schutzmitteln und Aufklärung der Internet-Anwender. Unser erster Quartalsbericht für 2006 enthält 4 wichtige Themen:

  1. Modernes „Cryptonomicon“ – Neue Fronten stehen sich gegenüber
  2. Zielscheibe MacOSX
  3. Die Zukunft der Viren
  4. Mobile News

Erstmalig wurde er von einer Autorengruppe verfasst: Alle drei Autoren – Alexander Gostev, Denis Nazarov und Alisa Shevchenko – sind Viren-Analytiker bei Kaspersky Lab.

Modernes „Cryptonomicon“ – Neue Fronten stehen sich gegenüber

Wir haben bereits mehrfach über Fälle geschrieben, in denen Übeltäter von der Praxis der getarnten Nutzung eines infizierten PCs (zum Diebstahl von Daten, für die Verwendung innerhalb eines Zombie-Netzes usw.) abwichen und zur direkten Geld-Erpressung bei den Opfern übergingen. Fälle dieser Art wurden erstmalig bereits im Jahre 1989 vermerkt, und nun – 17Jahre später – gibt es sie erneut.

Derzeit wird diese Methode über zwei Wege realisiert:

  • über die Verschlüsselung von Daten
  • über die Zerstörung von System-Dateien

Der Eigentümer eines attackierten Computers wird in beiden Fällen darüber informiert, dass mit seinen Daten etwas passiert ist, im Anschluss wird ihm angeboten, eine bestimmte Geldsumme über ein Zahlungssystem (EGold, WebMoney, etc.) auf das Hacker-Konto zu überweisen. Die geforderten Summen variieren erheblich, je nachdem wie wohlhabend das Opfer für die Hacker erscheint. Uns sind Fälle bekannt, in denen die Übeltäter sowohl 50 als auch über 200 US-Dollar verlangten.

Im letzten Jahr gab es zwei bedeutende Beispiele für diese Art des Cyber-Verbrechens: Die Trojaner GpCode und Krotten. Erstgenannter gehört zum Typ der „Daten-Verschlüsseler“, der Zweite begnügt sich mit dem Eintrag einer Reihe Veränderungen in die System-Registry des Computers, was wiederum die Arbeitsunfähigkeit des Systems zur Folge hat.

Trojan.Win32.Krotten: Während der Computer hoch gefahren wird, erstellt der Trojaner eine Mitteilung, in welcher er dem Anwender vorschlägt, den Computer wiederherzustellen, indem der Anwender eine Summe von 25 Griven (ukrainisches Geld) überweist:

Aktiver war aber der Autor von GpCode: Im vergangenen Jahr entdeckten wir über zwei Dutzend verschiedener Verschlüsselungsarten von Dateien. Er wechselte ständig die Verschlüsselungs-Algorithmen, jedoch gelang es uns in allen Fällen, diese nicht nur zu knacken, sondern auch die Entdeckung und Entschlüsselung der Dateien direkt in den Antivirus-Datenbanken zu verankern, ohne dafür extra Utilities zu erstellen.

Mit Beginn des Jahres 2006 versuchten die Autoren dieser Art Programme große Veränderungen der Verschlüsselungs-Methoden der Daten, um den Antivirus-Unternehmen die Entschlüsselung maximal zu erschweren. Im Januar erschien eine neue Modifikation von GpCode, der den Namenszusatz .ac erhielt. Der wichtigste Unterschied war, dass in diesem GpCode erstmalig einer der bekanntesten und sichersten Verschlüsselungs-Algorithmen – RSA – verwendet wurde. Früher schränkte sich der Autor durch selbst erstellte Algorithmen ein, nun aber setzt er seine „schwere Artillerie“ in Gang.

Aber zum Glück lag der Erfolg wieder auf unserer Seite. Es gelang uns sogar, die Datei des Trojaners zu finden, welche die Verschlüsselung durchführte. In der überwiegenden Mehrheit der Fälle hatten wir zuvor diese Möglichkeit nicht, denn ein solcher Trojaner entfernt sich nach Beendigung seiner Tätigkeit selbst aus dem System. Mehrere Stunden Code-Analyse im Disassembler führten uns zum Schlüssel, durch den die Daten verschlüsselt waren. Um RSA zu knacken, muss man aber auch noch den Entschlüsselungs-Code kennen, und der war im Trojaner natürlich nicht enthalten. Der Trojaner-Autor machte aber einen wichtigen Fehler: Er nutzte einen zu kurzen Schlüssel – mit einer Länge von 56 Bit. Diesen zu erstellen, mit Kenntnis des Arbeitsalgorithmus von RSA und der vorhandenen Knack-Methoden, kostete unsere Experten nur wenige Minuten! Und wieder wurden also die Dateien unmittelbar in den Antivirus-Datenbanken entschlüsselt, ohne die Erstellung eines zusätzlichen Utilities.

Jedoch gaben die Hacker nicht auf. Die traurige Erfahrung ihrer Vorgänger berücksichtigend, entließ jemand (vielleicht war es der GpCode-Autor sogar selbst) im März 2006 einen neuen Vertreter der Klasse „RansomWare“ in die Freiheit. Diese Bezeichnung erhielten ähnliche Trojaner in einigen Artikeln von Antivirus-Unternehmen und unabhängigen Forschern (http://en.wikipedia.org/wiki/Ransomware, http://www.halfbakery.com/idea/Computer_20ransomware).

Die Übeltäter wandten sich nun von den Verschlüsselungs-Algorithmen ab, und zwar voll und ganz. Der Trojaner Cryzip nutzte weder RSA, noch AES, noch PGP, sondern suchte im attackierten System nach Dokumenten entsprechend einer großen Liste von Datei-Erweiterungen – unter anderem MS-Office-Dokumente, PDFs, Archive und Bilder. Jede aufgefundene Datei packte er in ein gesondertes ZIP-Archiv mit Passwort. In jedem Verzeichnis hinterließ der Trojaner einen Hinweis für den Anwender in Form einer Datei AUTO_ZIP_REPORT.TXT , in der mitgeteilt wurde, dass die Daten nach Zahlung von 300 US-Dollar auf eines von verschiedenen Konten im Zahlungs-System E-Gold wiederhergestellt werden können.

Trojan.Win32.Cryzip.

Der Trojaner-Autor teilt freundlich mit, dass als Passwort für die Archive ein Wort mit einer Länge von 10 Symbolen genutzt wurde und somit alle Versuche, es herauszufinden, unsinnig wären. Tatsächlich können existierende Programme für das Zusammenstellen von Passwörtern zu ZIP-Archiven aber nur Passwörter mit einer Länge von 5 Symbolen innerhalb von 5 bis 10 Minuten erstellen, wird das Passwort allerdings bereits auf 6 bis 7 Symbole verlängert, wird dies zu einer langfristigen Aufgabe.

Wie sich nachfolgend herausstellte, beschäftigten sich mit dem Passwort-Problem gleichzeitig mehrere Antivirus-Unternehmen. Einigen von ihnen gelang es, die Trojaner-Datei zu finden und über ihre Analyse konnten sie feststellen, welches Passwort für die Archivierung der Dateien verwendet wurde. Wir gingen aber anders an die Sache heran (da wir die Trojaner-Datei nicht hatten) und versuchten dennoch, ein Passwort zu finden, indem wir verschiedene Arten bekannter Crypto-Attacken auf ZIP-Archive dafür nutzten. Wir konnten die Zeit des Bruteforce wesentlich reduzieren. Ich werde hier nicht alle Feinheiten des Prozesses aufdecken, uns gelang es jedenfalls an nur einem Abend das passwortgeschützte Archiv zu knacken.

Der Autor nutzte als Passwort den Pfad zum Verzeichnis:
«C:Program FilesMicrosoft Visual StudioVC98»
Er dachte wohl, dass selbst wenn sein Trojaner in die Hände der Antivirus-Unternehmen gelangt, die Analytiker diese Zeile als typisch für Dateien, die mit Visual C++ geschrieben sind, betrachten, und nicht als das zu ermittelnde Passwort.

Wie auch immer, die Aufgabe der Wiederherstellung der Anwenderdaten wurde durch uns ein weiteres Mal erfolgreich gelöst. Leider gelang es uns nicht, die Wiederherstellung der Daten direkt aus dem Antivirus-Programm zu realisieren. Da aber das Passwort bekannt war, konnte das Problem durch jeden Anwender selbstständig gelöst werden.

Noch ein drittes Schadprogramm mit ähnlichem Verhalten sollte an dieser Stelle erwähnt werden: Skowor.b. Im Unterschied zu seiner ersten Modifikation, einem E-Mail-Wurm, verbreitet er sich nicht über E-Mail. Er versucht jedoch, sich über die durch ihn selbst erstellten erweiterten Ressourcen zu verbreiten. Mit GpCode und Cryzip verbindet ihn die Tatsache, dass er nach seinem Start eine Mitteilung für den Anwender anzeigt, in der behauptet wird, dass man, um das Passwort für die Beseitigung des Wurms zu erhalten, den Computer fünfmal neu starten muss. Tut man das nicht, würde der Wurm eine Reihe wichtiger Dateien verschlüsseln und die Administrator- und Anwender-Passwörter auf dem infizierten Computer ändern. Zum Glück enthält der Wurm-Code viele Fehler und nur ein kleiner Teil der Funktionen arbeitet normal.

All diese Fakten aus dem ersten Quartal 2006 lassen uns zu folgender Schlussfolgerung kommen: Die „Eroberung von Anwenderdaten durch Erpressung“ ist eine der gefährlichsten und sich sehr schnell entwickelnden Arten des Internet-Verbrechens. In diesem Zusammenhang sollte man Backups von Daten größte Aufmerksamkeit schenken, denn die Gefahr, dass bald bessere Algorithmen zur Verschlüsselung und Archivierung der Daten benutzt werden, ist sehr hoch.

Es sollte auch nicht vergessen werden, dass die Trojaner selbst nicht im System erscheinen. Sie können auf dem Computer installiert werden – entweder über im System schon vorhandene Malware oder sie dringen über Browser-Schwachstellen ein. Einziger Schutz ist die Prophylaxe – regelmäßige Antivirus-Überprüfung des Systems und der herunter geladenen Dateien, Installation der Updates für Betriebssystem und Browser, und Backups der wichtigsten Daten.

Doch was tun, wenn die Daten schon verschlüsselt sind? Wie man an den genannten Beispielen sieht, sind die Antivirus-Unternehmen in der Lage, dieses Problem zu lösen – und zwar in kürzester Zeit. Deshalb sollten Sie niemals auf die Forderungen der Erpresser eingehen. Überwiesene Gelder bestätigen die Cyber-Verbrecher und so erstellen sie immer wieder neue Modifikationen ihres Schadprogramms.

Zielscheibe MacOSX

Das Unternehmen Apple ist zweifelsohne eines der wichtigsten der IT-Welt. Die sensationelle Nachricht über die neuen MacOS-Versionen auf Intel-Prozessoren, änderte viele Ansichten über die Zukunft der traditionellen PCs. Bislang waren sie Kampffeld zwischen Windows- und Linux-basierten Plattformen, die Möglichkeit der Nutzung von MacOS ist aber für viele Anwender interessant. Der hohe Bekanntheitsgrad und die zielstrebige Entwicklung des zukünftigen MacOS zog nicht nur die Aufmerksamkeit der Anwender und Experten an, sonder auch – wie immer in solchen Fälle – der Virenschreiber und Hacker weltweit.

Unnötig zu erwähnen, wie viele kritische Sicherheitslücken in MacOS in den vergangenen Monaten aufgefunden wurden und wie schnell man MacOS auf einem an das Internet angeschlossenen Computer knacken kann. Widmen wir uns lieber unserem Thema: Den Computer-Viren. Bis jetzt beachteten die Übeltäter MacOS noch nicht. Es gab nur einige einfache Trojaner sowie eine Auswahl Exploits und das war’s.

Doch im Februar 2006 wurde die Frage, ob Viren und Würmer für MacOSX möglich sind, sehr deutlich beantwortet. Zuerst erschien auf einigen Webseiten und Foren für OSX-Fans das Archiv «latestpics.tgz», das angeblich neue Sreenshots der noch nicht erschienenen OSX-Version 10.5 (Leopard) enthalten sollte.
In Wirklichkeit aber war es ein Wurm, der den Namen Leap erhielt. Über den Dienst IChat gelangte der Wurm in das System, von wo aus er sich selbst vermehrte und auch System-Anwendungen infizierte – ganz wie ein klassischer Virus. Leap demonstrierte somit die in OSX vorhandenen Gefahren für eine Viren-Attacke.

Nur zwei Tage nach der Entdeckung von Leap gelangte ein weiterer Vertreter der OSX-Malware in die Hände der Antivirus-Unternehmen. Es war der Wurm Inqtana. Im Unterschied zu Leap infizierte er keine Dateien, doch das von ihm benutzte Vermehrungs-Prinzip kam bisher nur unter Viren für Mobiltelefone vor, nicht auf PCs: Inqtana kann sich über Bluetooth verbreiten! Gerade über Bluetooth verbreitet sich der bekannteste mobile Wurm Cabir. Dies ist ein sehr interessantes Beispiel einer Symbiose, bei der für mobile Geräte entwickelte Technologien zur Datenübertragung nunmehr für die Infektion gewöhnlicher Computer genutzt werden.

Inqtana nutzt die Sicherheitslücke im Service «Bluetooth File and Object Exchange» (CAN-2005-1333) in folgenden OSX-Versionen: OSX v10.4.1, OSX Server v10.4.1, OSX v10.3.9, OSX Server v10.3.9. Nimmt ein attackierter Computer eine Anfrage über den Empfang einer Datei an, so versucht der Wurm den Zugang zu den Dateien und Ordnern über das Verzeichnis „Bluetooth File and Object Exchange“ zu erhalten und installiert sich im Autostart-System im Modus der ständigen Suche neuer Bluetooth-Geräte. Diese Sicherheitslücke wurde durch Apple im Juni 2005 repariert.

Einige Tage später erfuhr die Öffentlichkeit den Namen des Wurm-Autors Inqtana: Es war Kevin Finisterre, ein aktives Mitglied der OSX-Community. Im Interview mit einigen Medien erklärte er die Gründe der Programmierung des Wurms. Er wollte auf diese Weise die Aufmerksamkeit der Öffentlichkeit und der Entwickler von OSX auf die vorhandenen Probleme im Sicherheitssystem lenken und die Erstellung neuer sicherer Lösungen bewirken.

Unserer Ansicht nach sind derartige Methoden, die Aufmerksamkeit auf die Sicherheits-Probleme zu richten, nicht gerechtfertigt, da in der Regel nicht die Beseitigung des Problems erfolgt, sondern die Übeltäter fertige Lösungen zur Erstellung neuer Viren erhalten. So erleichtern die freiwilligen Forscher den Hackern das Leben. Am traurigsten daran ist, dass sich diese Praxis immer weiter verbreitet. Wir verzeichneten im ersten Quartal 2006 noch einige ähnliche Fälle, in denen ganz klar potentielle Viren-Technologien erstellt und mit akademischen Zielen veröffentlicht wurden. Darüber sprechen wir später ausführlich.

Die Zukunft der Viren
(vmware rootkits, boot rootkits, bios backdoors)

Bemühen wir einmal eine militärische Metapher: Panzer werden durch Granaten bedroht – in der Antiviren-Industrie ist die Lage ähnlich. In der Rolle der Granate treten die Virus-Autoren und ihre schädlichen Kreationen auf, die Antivirus-Unternehmen sind stets gezwungen, ihre Panzer zu verbessern. Dies ist ein ständiger Wettstreit, bei dem es schwierig ist, irgendetwas zu verändern, da die Übeltäter immer einen Schritt voraus sein werden. Unsere Aufgabe ist es, schnellstmöglich auf ihre neusten Erfindungen zu reagieren. Ungeachtet der vielen modernen Technologien, die die Programmierung eines nichtentdeckbaren Virus erheblich erschweren (etwa der proaktive Schutz, heuristische Analysatoren und Emulatoren), sehen wir bereits jetzt die Gefahren, welche die Computerwelt morgen erwarten und uns zwingen, immer neue Methoden des Widerstands zu erarbeiten.

Bemerkenswert bei der „Theorie der Computerviren“ sind drei konzeptionelle, ausschließlich Forschungszwecken dienende, Entwicklungen. Die darin vorgestellten Technologien selbst sind jedoch äußerst gefährlich und ziehen zweifelsohne die Aufmerksamkeit des Undergrounds auf sich.

Die erste dieser Technologien ist ein Backdoor-Prototyp, der sich im Bootsektor der Festplatte einnistet und noch vor dem Start des Betriebssystems die Steuerung an sich reißt. Er kann viele System-Funktionen des Betriebssystems verändern und sie gegen eigene austauschen. Das Backdoor eEye BootRoot wurde im August 2005 vom Unternehmen eEye Digital Security der Öffentlichkeit präsentiert.

Ungeachtet dessen, dass praktisch alle modernen Antivirus-Programme die Bootsektoren der Festplatten scannen können (im Übrigen begann die Antivirus-Geschichte vor vielen Jahre ausgerechnet mit Bootviren), besteht das Problem des Entdeckens der abgefangenen und ausgetauschten Systemfunktionen bis zum heutigen Tage. Es ist auch nicht endgültig gelöst im Bezug der Tätigkeit des Antiviren-Programms auf Trojaner in einem Betriebssystem, gar nicht zu reden von Backdoors, die noch vor dem Betriebssystem starten.

Diese Arbeit zog die Aufmerksamkeit auf sich und schon bald hatte sie Nachfolger. Im Januar 2006 erklärte John Heasman, Mitarbeiter von Next-Generation Security Software, dass eine Reihe der Funktionen zur Steuerung der Stromversorgung des Computers (im so genannten ACPI – Advanced Configuration and Power Interface) das Erstellen von Programmen zulässt, die Rootkit-Funktionen ausführen, die sich im Flash-Speicher des BIOS befinden. Die Technologie des Eintrags der Viren in das BIOS ist nicht neu. Schon 1998 löschte der bekannte Virus CIH (Tschernobyl) das Flash-BIOS, wenn er Zugang zu ihm erhielt. Anschließend erschienen Trojaner, die solche Attacken ausführten. Heasman erstellte ebenfalls einen Prototyp eines Codes, der eine Erhöhung der Privilegien im System und ein Lesen der Daten im Speicher des Computers ermöglichte. Ist ein Schadcode im BIOS gespeichert, wird die Erkennung erschwert – noch mehr, als im Falle des Boot-Backdoors.

Im März 2006 kam es im Kreise der IT-Sicherheits-Experten zu einiger Aufregung: Es wurde die Idee des „nicht entdeckbaren“ Rootkits diskutiert, die auf der Technologie von virtuellen Maschinen basiert. Fragen auf der Tagesordnung: Worum geht es eigentlich und muss man sich sorgen?

Das Rootkit-Projekt, das eine Ebene tiefer als das Betriebssystem arbeitet, wurde an der Universität Michigan entwickelt und von Microsoft gesponsert. Die breite Öffentlickeit erfuhr davon nach der Veröffentlichung des Programms auf dem IEEE Symposium on Security and Privacy, auf dem dieser Proof-Of-Concept vorgestellt wurde.

Alle modernen Schadprogramme wirken im selben Umfeld wie die Schutzmittel, daher wird der Vorteil der einen oder der anderen Seite vom „Wettrüsten“ bestimmt. Wer auf einem niedrigeren Level innerhalb des Systems arbeitet, ist stärker. Die Idee hinter der Entwicklung aus Michigan besteht aber darin, dass man den Schadcode aus dieser Ebene heraustragen kann, indem man ihn prinzipiell von innen unsichtbar macht.

Dafür wird zwischen das Betriebssystem und die Hardware eine zusätzliche Schicht eingefügt, etwa ein Monitor virtueller Maschinen (VMMWare). Während der Computer hochgefahren wird, geht die Steuerung vom BIOS nicht auf den Programmlader des Betriebssystems über, sonder zur virtuellen Maschine, die wiederum ihr eigenes Betriebssystem hochfährt. Damit erfolgt die Zusammenarbeit zwischen den Anwendungen und der Hardware über VMM.

Parallel zum Betriebssystem, lädt VMM ein weiteres Betriebssystem – genauso, wie Sie mehrere virtuelle Maschinen in VMWare starten. Darin können Schadprogramme gestartet werden. Beide Betriebssysteme haben direkten Zugang zur Hardware.

Ein Beispiel für die praktische Anwendung eines solchen Rootkits: Werden etwa Passwörter über die Tastatur eingegeben und damit an das Anwender-Betriebssystem übertragen, gehen diese Daten aber auch an das schädliche Betriebssystem, wo sie der Keylogger auffängt und an den Hacker schickt – vorbei am Betriebssystem des Anwenders und dessen Schutzlösung. Der Code des Rootkits und alle seine Spuren befinden sich außerhalb des Anwender-Betriebssystems und können folglich nicht direkt mit Hilfe eines noch so effektiven Antiviren-Programms oder einer Firewall erkannt werden.

Für die Umsetzung ihres Proof-Of-Concept auf Windows XP benötigten die Forscher den Quell-Code des Virtual PC, das schädliche Gast-Betriebssystem und eine bestimmte Modifikation der Treiber des Anwender-Betriebssystems.

Trotz der scheinbaren Gefahr durch diesen Proof-Of-Concept, sehen wir keinen Anlass zur Besorgnis. Erstens ist die Realisierung eines solchen Rootkits schwer und die Mehrheit der Virenschreiber ist dazu einfach nicht in der Lage, obwohl sie als Basis einen fertigen VMM-Kern nehmen könnten. Zweitens kann man das Vorhandensein einer Schicht zwischen Hardware und Betriebssystem nicht verbergen. Die zusätzliche Ebene hat Nebeneffekte:

  • Verlangsamung des Systemladens
  • Veränderung des Prozessor-Timings und Verlangsamung des Systems
  • Reduzierung des freien Festplatten-Speichers (bei den VMP-Forschern waren es 100 bis 200 MByte)
  • Verschlechterung der Grafik wegen grober Emulation der Video-Treiber
  • Modifizierung der System-Dateien – durch sie wird die korrekte Arbeit des Betriebssystems mit emulierten (nicht echten) Geräten gewährleistet.

Drittens kann ein virtuelles Rootkit recht einfach entdeckt werden. Neben den oben aufgezählten Nebeneffekten, ist die einfachste Methode des Entdeckens des Rootkit-Codes das Booten des Computers von einem externen Gerät (etwa USB-Stick oder CD) und das Scannen der Festplatte von diesem Gerät aus. Wenn VMP einen Neustart emuliert, wie das in den Thesen der Forscher erklärt wird, und sich das Rootkit versteckt – so ist schon ein Kaltstart ausreichend, um eine solche List zu umgehen. Also – Kabel aus der Steckdose ziehen!

Doch neben dem oben beschriebenen eEye BootRoot kündigt SubVirt den Beginn der Epoche von Schutzmitteln auf Hardware-Ebene an.

Zusammen mit den konzeptionellen Entwicklungen, die das Gesicht der Viren-Gefahr in den nächsten Jahren definieren können, begegnen wir ständig der Reinkarnation alter Technologien, die den neuen Bedingungen angepasst wurden. Am wirksamsten kommt dies im uralten Viren-Verhalten zum Vorschein – der Infektion von Dateien oder dem Einnisten seines Codes in andere Programme.

2004 erschien das Backdoor.Win32.PoeBot, der nach dem folgenden Algorithmus arbeitete: Der Verbrecher nahm ein bekanntes Backdoor, beispielsweise aus der Serie Backdoor.Win32.SdBot, sowie ein bekanntes Programm, etwa WinRar, und schleuste in dieses einen Trojaner nach der Technologie EPO ein. Mit Standard-Methoden verbreitete er den Trojaner. Das Ergebnis ist eine langsamere Reaktionsgeschwindigkeit der Antivirus-Unternehmen, da diese erst eine Prozedur zum Auffinden des Schadprogramms erarbeiten und mögliche Fehlauslösungen auf dem Programm-Träger (in diesem Fall: WinRar) ausschließen müssen. Anderenfalls bekämen die Anwender eine Vielzahl Fehlauslösungen legaler Programme, wie das leider bei einer ganzen Reihe Antivirus-Unternehmen in diesem Fall passierte.

2005 erschien die Familie der Virus-Trojaner Virus.Win32.Bube, die die System-Datei explorer.exe infizierten und versuchten, andere Trojaner mehrmals pro Stunde herunter zu laden. Auf diese Weise verwandelte sich explorer.exe in einen echten Trojan-Downloader. Nach Bube erschien der Virus.Win32.Nsag, der einen noch stärker maskierten Downloader darstellte. Der Virus infizierte die System-Bibliothek wininet.dll, wobei sich der Schadcode in die Funktion HttpSendRequestA einnistete. Auf diese Weise erhielt der Trojaner-Code die Steuerung bei beliebiger Netzaktivität des infizierten Systems – und bis dahin schlummerte er leise im Computer.

Der Jahresbeginn 2006 kam mit mehreren ähnlichen Trojaner-Programmen, was von einem zunehmenden Interesse der Virenschreiber an dieser Art des Virencodes zeugt. Zunächst möchten wir die Aufmerksamkeit auf Trojan-Spy.Win32.Banker.alr richten, der unter anderem die System-Bibliotheken sfc.dll und sfc_os.dll so modifiziert, dass die automatische Wiederherstellung der System-Dateien abgeschaltet wird. Da derartige Trojaner sehr häufig vorkommen, haben wir den Entschluss gefasst, sie in eine gesonderte Familie – Trojan.Win32.Patched – einzustufen:

Trojan.Win32.Patched.a

Svchost.exe wird infiziert. In der Datei wird ein Code ergänzt, der die Datei mshost.dll(Trojan-Spy.Win32.Agent.ki) herunter lädt und den Trojaner startet.

Trojan.Win32.Patched.b

Eine willkürliche System-Datei wird infiziert, indem der Code entpackt wird, der das Trojanerprogramm aus dem NTFS-Fluss der txt-Datei heraus startet. Der Name der Textdatei stimmt meistens mit dem Namen des infizierten Programms überein. Wenn der Trojaner etwa die Datei systemformat.exe infiziert, startet die Hauptkomponente des Trojaners aus sysformat.txt heraus (C:WINDOWSsystem32sysformat.txt:tamrofsys.exe).

Trojan.Win32.Patched.c

Eine willkürlich gewählte Systemdatei wird infiziert, etwa notepad.exe, in die ein kleines Stück Code (25 Byte) eingebaut wird, der beim Start von notepad.exe die Datei .log aus dem Systemverzeichnis von Windows startet.

Warum wird dies alles gemacht und was wird noch kommen? Es ist kein Geheimnis, dass die modernen Antiviren-Programme und Firewalls bestimmte Teile der Registry und die Netzaktivität kontrollieren.

Natürlich gibt es bei diesen Schutzmitteln auch Ausnahmen, um den Anwender nicht zu beunruhigen, wenn er selbst bestimmte System-Einstellungen ändert. Die aktuellen Tendenzen zeigen, dass die Virenschreiber immer weniger Standard-Methoden verwenden, um derartige Schutz-Monitore zu täuschen:

  • sie starten den Trojaner nicht mit Registry-Mitteln über den Schlüssel-Run, sondern nach dem Start der infizierten System-Datei
  • sie laden den Trojaner aus Explorer.exe oder wininet.dll

Außer der Tatsache, dass es ziemlich schwierig ist, eine solche Tätigkeit zu entdecken, ist zusätzliche Zeit erforderlich, damit die Antivirus-Unternehmen die richtigen Reparatur-Prozeduren erstellen können, da die System-Bibliotheken ebenfalls infiziert sind.

Es ist durchaus möglich, dass in naher Zukunft eine Vielzahl Schadprogramme erscheint, die nach dem folgenden Prinzip arbeiten: „Wenn Monitore die Veränderung der Module des Betriebssystems kontrollieren, so werden wir die Module selbst verändern“. Genau dieses Prinzip wird schon lange von den Virenschreibern für die Erstellung der Rootkits für Unix-Betriebssysteme angewandt.

Mobile News

Die Sicherheit mobiler Geräte wird mit jedem Monat ein größeres Problem. Der kleine Fluss von Trojanern für Symbian-Telefone, der in den vergangenen Jahren beobachtet wurde, verwandelte sich gegen Ende 2005 bereits in einen reißenden Strom. Gegenwärtig ergänzen wir in unseren Datenbanken wöchentlich 10 neue Trojaner, die Smartphones attackieren. Einen erheblichen Teil unter ihnen bilden Trojaner aus Asien, insbesondere aus Südkorea. Dieses Land führt derzeit unter den „Herstellern“ der Viren für mobile Telefone.

Jedoch bleiben die mobilen Technologien nicht stehen, und gemeinsam mit ihrer Entwicklung entwickeln sich auch die Viren.

Im Februar 2006 gab es gleich zwei Neulinge: Bei der Entdeckung des ersten war Kaspersky Lab direkt beteiligt. Einer unserer Anwender machte uns darauf aufmerksam, dass auf vielen Webseiten ein Programm namens RedBrowser aktiv beworben und verbreitet wird. Laut den Autoren, ermöglicht dieses Programm den Zugang auf WAP-Seiten ohne Verwendung einer Internet-Verbindung. Angeblich solle das über den Versand und Empfang von SMS realisiert werden. Der Anwender hatte sich dieses Programm herunter geladen und testete es auf seinem Telefon. Es wurde tatsächlich eine SMS verschickt, doch er bekam keinen kostenlosen Zugang ins Internet. Die SMS wurde an ein kostenpflichtige Premium-Nummer versandt und kostete 5 bis 6 US-Dollar.

Nachdem wir das Programm erhielten, analysierten wir sorgfältig seinen Code. Der Trojaner war eine JAR-Datei für das Betriebssystem J2ME, das die meisten gewöhnlichen Mobiltelefone (nicht nur Smartphones) nutzen. Die Möglichkeit einer Infektion durch Schadprogramme beliebiger vorhandener Mobiltelefone schien noch vor kurzem unmöglich zu sein. Die Realität aber sieht anders aus: Dieser Trojaner existiert offensichtlich schon einige Zeit in der „freien Wildnis“ und er fand bereits einige Opfer. Der Trojaner erhielt den Namen Trojan-SMS.J2ME.RedBrowser.a. Nur wenig später entdeckten wir eine weitere Modifikation davon.

Allein das Auftauchen von Trojanern für J2ME ist ein ernstes Ereignis, das dem Erscheinen des ersten Wurms für Smartphones im Juni 2004 in nichts nachsteht. Es ist noch schwer, das wirkliche Ausmaß dieser potentiellen Gefahr zu bewerten. Allein die Tatsachen, dass der Anteil gewöhnlicher Telefone den von Smartphones um ein Vielfaches übersteigt und dass die Möglichkeit der Verwendung des infizierten Telefons für die Ziele der Verbrecher bereits umgesetzt wurde, reichen uns, um die Entwicklung eines Antiviren-Schutzes für diese Geräte zu starten. Es ist nicht ausgeschlossen, dass bereits in naher Zukunft ähnliche Trojaner (die SMS auf kostenpflichtige Nummern versenden) für die Symbian-Plattform erscheinen.

Der Anteil Smartphones und PocketPCs mit Windows Mobile wächst schnell. Bis jetzt sind uns nur zwei Schadprogramme für Windows Mobile/PocketPC bekannt – der Virus Duts und das Backdoor Brador. Im Februar 2006 gab es allerdings Nachwuchs. Die ganze Geschichte ist ziemlich rätselhaft und ruft mehrere wichtige Fragen hervor:

Alles begann damit, dass eine Organisation namens MARA (Mobile Antivirus Researchers Association) eine Pressemeldung verbreitete, in der darüber informiert wurde, dass sie von einem anonymen Autor einen neuen konzeptionellen Virus erhalten hat, der nicht nur auf Windows-PCs funktioniert, sondern auch Mobiltelefone mit Windows Mobile (WM) infizieren kann. Da Viren für WM noch sehr selten sind, zog diese Mitteilung von MARA die gehobene Aufmerksamkeit sowohl der Medien als auch von Antivirus-Unternehmen auf sich.

Selbstverständlichen wandten sich fast alle an MARA mit der Bitte, ein Exemplar des vorliegenden Virus zu erhalten, um ihn in den Antivirus-Dateien zu ergänzen. Jedoch gab es auf alle Anfragen nur ein und dieselbe Antwort: Den Vorschlag, MARA beizutreten, da nach deren Bedingungen ein Viren-Austausch nur unter den Mitgliedern möglich ist.

Ein derartiges Verhalten wurde nicht erwartet. In der Antivirus-Industrie existieren schon immer bestimmte Normen, die den regelmäßigen Austausch der neuen Viren-Muster enthalten. Dafür gibt es keinerlei formale Anforderungen wie etwa den Eintritt in irgendwelche Organisationen. Erst recht nicht, wenn es sich um konzeptionelle Viren handelt, die zu einem Meilenstein werden könnten. Die Antivirus-Unternehmen streben sogar einen Austausch an, um eine maximale Anzahl von Anwendern zu schützen – egal, welche Antivirus-Software sie nutzen. Wir konkurrieren miteinander nur im Bereich Marketing und Serviceleistungen.

Selbstverständlich lehnten die Antivirus-Unternehmen die Angebote über den Eintritt in diese wenig bekannte Organisation entrüstet ab. Sie hatten nicht den Wunsch, wegen einem Virus Werbung für diese Organisation zu machen und deren Bedeutung anzuheben. Gleichzeitig gab es aber eine Reihe von Fragen zur bestehenden Mitglieder-Zusammensetzung dieser Organisation. Genau betrachtet waren es nur 10 Leute, die Mehrheit davon in der Antiviren-Industrie total unbekannt und ohne Kontakt-Adressen. Das bekannteste Mitglied ist Doktor Cyrus Peikari, Autor einiger Bücher über die Sicherheit und Generaldirektor des kleinen Unternehmens AirScanner, das Antivirus-Lösungen für mobile Telefone entwickelt. Peikari wurde vor einigen Jahren bekannt, nachdem er die Quell-Codes des Virus WinCE.Duts veröffentlichte, begleitet mit einer Analyse, die faktisch die Anleitung zum Schreiben eines Virus darstellte. Am traurigsten dabei war, dass dieser Artikel in Zusammenarbeit mit einem weiteren Autor geschrieben wurde, einem Mitglied der Gruppe 29A, der unter dem Namen Ratter bekannt war. Und eben dieser Ratter war der Autor des Virus Duts, er stellte Peikari die Quell-Codes des Virus zur Verfügung. Alleine die Zusammenarbeit mit einem Virenschreiber, ist in den Augen der Antivirus-Industrie absolut unzulässig. Die Reputation von Peikari und des Unternehmens AirScanner wurde somit stark angezweifelt.

Es gab aber noch andere Zweifel an der Geschichte des Crossplattform-Virus (von MARA Crossover genannt): Die unverständliche Forderung, MARA beizutreten, um ein Sample zu erhalten sowie die erwiesene Zusammenarbeit eines Mitglieds der Organisation mit Virenschreibern (die ausgerechnet für die Erstellung von Viren für WinCE bekannt sind). Unverständlich war auch, warum der Virus von einem anonymen Autor an ein ebenfalls nicht genanntes Mitglied von MARA geschickt wurde – und nicht an ein traditionelles und bekanntes Antivirus-Unternehmen, wie das zuvor immer mit konzeptionellen Viren gemacht wurde.

Es wurde beschlossen, die Kontakte mit MARA abzubrechen. Am 8. März 2006 veröffentlichte Cyrus Peikari eine detaillierte Analyse des Codes des Virus mit Codebeispielen und damit faktisch eine Anleitung für das Schreiben von Viren für Windows Mobile. Mitautoren gab es diesmal keine.

Letztendlich (ich weiß nicht wie) erhielten die Antivirus-Unternehmen allerdings doch ein Muster dieses Virus. Er erhielt den Namen Cxover. Der Virus überprüft beim Start das Betriebssystem. Ist er einmal auf dem PC gestartet, sucht er über ActiveSync zugängliche mobile Geräte und kopiert sich auf diese. Ist er bereits auf einem Mobiltelefon oder Pocket PC installiert, versucht er auch, sich auf den PC zu kopieren. Außerdem kann er die Anwender-Dateien auf dem mobilen Gerät löschen.

Wie auch immer. Die theoretische Möglichkeit der Existenz von Viren, die fähig sind, gleichzeitig auf PCs und Mobiltelefonen zu funktionieren wurde durch die Praxis bestätigt. Die Quellcodes sind veröffentlicht, alles wurde bereits gesagt.

Welcome to the future.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.