Aktuelle IT-Bedrohungen, Trends 3.Quartal 2005

Es ist bereits Tradition, dass die Virengefahr in den letzten Sommermonaten erheblich ansteigt. 2005 bildet dabei keine Ausnahme. Das dritte Quartal 2005 brachte einige bezeichnende Ereignisse, die in den kommenden Monaten zweifelsohne großen Einfluss auf die IT-Sicherheits-Industrie nehmen werden.

  1. Kritische Sicherheitslücke im MS Windows Plug’n’Play Dienst
  2. Hardware Antivirus-Lösungen und Sicherheitslücken in Cisco IOS
  3. Social Engineering
  4. Über die Situation der Instant Messaging-Würmer
  5. Viren für mobile Geräte

Kritische Sicherheitslücke im MS Windows Plug’n’Play Dienst

Wir haben in unseren Analysen bereits mehrfach unterstrichen, dass wir eine klare Richtungsverlagerung bei den Virenschreibern beobachten: von Mail- und Internetwürmern hin zu Viren, die sich über Sicherheitslücken von Web-Anwendungen, hauptsächlich des Internet Explorers, verbreiten. Infolge dieser Verschiebung hat sich die Zahl der gehackten, Webseiten bedeutend erhöht. Ziel der Attacken ist es, Exploits für den Internet Explorer zu platzieren, um Trojaner auf die Computer der Webseiten-Besucher dieser einzuschleusen.

Bestes Beispiel für diese Art von Attacken waren die Hackerangriffe auf südkoreanische Online-Game-Portale, die das Ziel verfolgten, Trojaner zu positionieren, um die Daten der Nutzer der online-Spiele „Legend of Mir“ und „LineAge“ auszuspionieren. Auch russischeHacker ließen sich nicht lange bitten – sie stellten den Trojaner LdPinch auf die gehackten Webseiten.

Wir stellten fest, dass diese Art Attacken durch das Fehlen kritischer Sicherheitslücken in Windows hervorgerufen wurden. Seit Aufdeckung der LSASS-Sicherheitslücke ist mehr als ein Jahr vergangen und ein hoher Prozentsatz der Nutzer hat die Sicherheitslücke in ihren potenziell angreifbaren Computer mit dem entsprechenden Patch geschlossen.

Verständlich, dass ein solcher Sicherheits-Zustand nicht lange währen konnte. Am 9. August veröffentlichte Microsoft eine weitere Patch-Liste für sein Betriebssystem. Darunter befand sich ein Patch, der eine Sicherheitslücke in Plug’n’Play (PnP) (MS05-039) schloss, die bereits als kritisch eingestuft war. Wie schon so oft zuvor, reagierte der Cyber-Underground ohne Verzögerung. Die Hacker und Virenschreiber versuchten, die Sicherheitslücke zu finden und für sie einen Exploit zu erstellen. Dies erwies sich als umso interessanter, da die Liste der angreifbaren Betriebssysteme sämtliche zu diesem Zeitpunkt aktuellen Microsoft-Betriebssysteme aufführte:

  • Microsoft Windows 2000 (SP4);
  • Microsoft Windows XP (SP1 oder SP2);
  • Microsoft Windows XP Professional x64 Edition;
  • Microsoft Windows Server 2003;
  • Microsoft Windows Server 2003 (für Itanium-basierte Systeme;
  • Microsoft Windows Server 2003 x64 Edition.

Weltweit waren somit einige Hundert Millionen Computer potentiell angreifbar.

Bereits am Folgetag schrieb der russische Hacker „houseofdabus“ ein Proof of Concept-Virus (PoC) für diese Sicherheitslücke, jedoch nur für Windows 2000. Am 12.August wurde der Virus auf allen bekannten Security-Webseiten veröffentlicht. Dies führte erwartungsgemäß dazu, dass eine Menge Schadprogramme erschienen, die sich über diese Sicherheitslücke verbreiteten.

Nicht zum ersten Mal wird „houseofdabus“ zum Provokateur für Virus-Epidemien. Wurm Sasser, der im Mai 2004 eine globale Epidemie hervorgerufen hatte, und hunderte analoge Würmer nutzten PoC, erstellt für die Sicherheitslücke im LSASS-Dienst.

Übrigens sind die Sicherheitslücken in Plug’n’Play und LSASS sehr ähnlich (siehe folgende Screenshots).


Code der Sicherheitslücke im LSASS-Dienst (MS04-011).


Code der Sicherheitslücke im Plug’n’Play Dienst (MS05-039).
Der Unterschied vom Code der LSASS-Sicherheitslücke ist rot hervorgehoben.

Am 13. August wurden die ersten Versionen der alten Mytob-Würmer entdeckt, in denen das LSASS-Exploit lediglich durch ein PnP-Exploit (Plug’n’Play) ausgetauscht war. In den Folgetagen erschienen weitere Würmer und Bots, die identischen Code enthielten. Einige von ihnen wurden sogar von den Medien als Schlagzeilen gehandelt und damit Ursache für eine der Aufsehen erregendsten „Virengeschichten“ dieses Jahres – sie infizierten eine Reihe großer Nachrichten-Unternehmen wie ABC News und die NY Times sowie den US Congress. Kaspersky Lab hat diese Infektionen recht ausführlich behandelt. Aus diesem Grund sei hier nur angeführt, dass es nicht zu einer globalen Epidemie kam, die vergleichbar mit der Sasser- oder LoveSan-Epidemie gewesen wäre.

Die Sicherheitslücke in PnP zog eine Reihe kleiner lokaler Epidemien nach sich, die durch eine Vielzahl von Würmern und bots hervorgerufen wurden. Warum geschah dies so?

Kaspersky Lab geht von folgendem aus: in erster Linie wurde der Exploit nicht für alle gefährdeten Betriebssysteme geschrieben, sondern nur Windows 2000 SP4. Die Virenautoren nutzten die vorgefertigte Variante und machten sich keine zusätzliche Arbeit mit der weiteren Erforschung der Sicherheitslücke. Wenn der PoC-Virus von Anfang an auch auf XP und Windows2003 funktioniert hätte, so wäre das Ausmaß der Epidemie mit Sicherheit weitaus größer gewesen.

Zweitens spielte die Ähnlichkeit der Sicherheitslücken in PnP und LSASS eine Rolle. Bei einer Attacke verhält sich der Computer identisch und bringt dieselben Fehlermeldungen. Anwender, die bereits Lehren aus den Erfahrungen mit vorherigen Infektionen gezogen hatten, wussten dieses Mal genau, was zu tun war und konnten das Problem selbstständig lösen.

Darüber hinaus haben die vergangenen Epidemien bei den Anwendern zu einer Sensibilisierung geführt: Heute findet man kaum noch Anwender, die kein Antivirus-Programm oder Firewall verwendet.

Folgende Bilanz kann aus den Geschehnissen gezogen werden: Anwender und große Unternehmen bewiesen, dass sie auf das Erscheinen neuer Sicherheitslücken in Windows vorbereitet und fähig sind, in kurzer Zeit die erforderlichen Patches zu installieren. Sie haben bewiesen, dass sie derartige Probleme mithilfe von Antivirusprogrammen schnell beseitigen können, wodurch es zu keiner globalen Epidemie gekommen ist. Das ist eine positive Tendenz, die Grund zur Hoffnung gibt, dass durch Windows-Sicherheitslücken hervorgerufene Virus-Epidemien großen Ausmaßes, die einzelne Bereiche des Internet total lahm legen können, uns in naher Zukunft nicht drohen werden.

Ein weiteres Vorkommnis im letzten Quartal war die Verhaftung zweier Verdächtiger, denen die Verbreitung einer Reihe Würmer der Mytob-Familie zur Last gelegt wird. Wie bereits erwähnt, war Mytob der erste Wurm, in welchem das PnP-Exploit verwendet wurde und Mytob war die am weitesten verbreitete Wurmfamilie im gesamten Jahr 2005. Am 26. August wurden in Marokko und der Türkei zur gleichen Zeit Farid Essebar (Diabl0) und Atilla Ekici (Coder) verhaftet. Ersterer wird verdächtigt, den Wurm geschrieben zu haben, letzterer soll als sein Helfer agiert und ihn verbreitet haben. Darüber hinaus kümmerte er sich um die IRC-Kanäle zur Steuerung der infizierten Computer.

Die Ermittlung ist noch nicht abgeschlossen, aber Kaspersky Lab stellte fest, dass die Zahl neuer Mytobs im September stark rückläufig war.

Dies zeigt, dass die ausführende Gewalt nicht auf der Stelle tritt: viele der „großen“ Virenschreiber, deren Tun Ursache schwerwiegender Probleme großer Unternehmen war, wurden bereits aufgespürt und verhaftet.

Hardware Antivirus-Lösungen und Sicherheitslücken in Cisco IOS

Die oben beschriebenen Ereignisse, die mit der PnP-Sicherheitslücke in Zusammenhang stehen, bestätigten die Meinung von Experten dazu, dass eine der wichtigsten Methoden zur Vermeidung globaler Virenepidemien in das Netzwerk integrierte Antiviren-Lösungen sind.

Diese Lösungen sind in den Router integriert und können Virenkörper oder vom Exploit gesandte Datenpakete erkennen, noch bevor sie zum Endanwender durchgelassen werden.

Gegenwärtig arbeiten beinahe alle großen Netzwerk-Ausrüster (Cisco, Juniper, SonicWall, Zyxel usw.) mit Antivirus-Unternehmen zusammen und bieten ihren Kunden solche Hardware Antivirus-Lösungen.

Eine solche Schutzmethode ist zwar sehr effektiv (wenn auch teuer), doch weist eine beachtliche Zahl von IT-Security-Experten auf die potentielle Gefahr solcher Lösungen hin. So können Attacken auf die Netzwerk-Ausrüstung dem Internet größere Probleme bereiten, als eine Wurm-Epidemie, die nur Windows-Rechner betrifft. Im Falle einer solchen Attacke können sämtliche Internetnutzer, unabhängig von dem benutzten Betriebssystem, plötzlich ohne Internet dastehen.

Das Problem wird zusätzlich dadurch erschwert, dass im vergangenen Jahr der Quellcode des Betriebssystems Cisco IOS Versionen 12.3 und 12.3t vollständig oder teilweise veröffentlicht wurde. Grund dafür war der Verlust einer Archivdatei mit einer Größe von 800 MB am 13. Mai 2004 während eines Hacker-Angriffs auf die interne Webseite des Unternehmens.

Das Betriebssystem Internetwork (IOS) wird als -Plattform für den überwiegenden Teil der Cisco-Commutatoren und -Router verwendet. Laut Einschätzung von Analysten hält Cisco etwa 60% des Router-Weltmarkts.

Es folgte ein Skandal, der sich im Sommer 2005 anbahnte und mit den Forschungsergebnissen von Michael Linn in Zusammenhang standen, einem Mitarbeiter des bekannten IT-Sicherheits-Unternehmens ISS. Im April 2005 entdeckte er in der Cisco-Software eine Sicherheitslücke, die eine DoS-Attacke auf ein Gerät und die Ausführung von Schadcode zuließ. Diese Sicherheitslücke war ein Schlag gegen die gesamte Daten-Infrastruktur des Internets. Die Information wurde sofort an Cisco weitergeleitet, doch der Fehler wurde selbst drei Monaten später noch nicht bereinigt.

ISS erkannte die potentielle Gefahr, die umso größer ist, wenn man bedenkt , dass sich der IOS-Quellcode, aller Wahrscheinlichkeit nach in den Händen der Vertreter des Undergrounds befand. Gleichzeitig konnte man sich noch vital an eine kleine Virenepidemieerinnern, die ISS selbst ausgelöst hatte: im März 2005 wurde in Programmen des Unternehmens eine Sicherheitslücke entdeckt und trotz der schnellen Behebung wurde eine Reihe von ISS-Kunden mit Wurm Witty infiziert, der nur zwei Tage nach Bekanntwerden der Sicherheitslücke auftauchte.

Linn schlug vor, die Daten über die Sicherheitslücke auf einer der weltweit größten Sicherheitskonferenzen, der „BlackHat“ publik zu machen. Ungeachtet der Gefahr, juristisch belangt zu werden und ungeachtet seiner Kündigung, wurde der Vortrag „The Holy Grail: Cisco IOS Shellcode and Exploitation Techniques“ veröffentlicht, und die Information wurde – entgegen aller Versuche von Cisco, Einzelheiten dieser Sicherheitslücke zu verdecken – einem breiten Spezialistenkreis bekannt. Gegenwärtig läuft eine Gerichtsklage von Cisco gegen Linn.

Linns Vortrag erregte Aufsehen. Seine Suche nach Sicherheitslücken im IOS wurde von anderen Forschern fortgesetzt. Von Zeit zu Zeit erscheinen Informationen darüber, dass unabhängige Experten bereits einen Konzept-IOS-Wurms erstellt hätten, dass sie herausgefunden hätten, wie sich beliebiger Code ausführen lasse usw. Noch wurden diese Informationen von offizieller Seite nicht bestätigt, doch Kaspersky Lab nimmt die Vorfälle und Annahmen sehr und ist der Ansicht, dass gegenwärtig tatsächlich die Möglichkeit einer Attacke auf das Internet durch die Ausnutzung von Lücken in Programmen der Netzwerk-Hardware besteht.

Einziges Hindernis für die Ausführung einer solchen Attacke ist der nur kleine Kreis von Menschen mit dem erforderlichen Wissen und Erfahrung. Eine weitere hinderliche Tatsache ist der nicht ersichtliche direkte finanzielle Vorteil für den Übeltäter. Die Cyberverbrecher sind nicht daran interessiert, einzelne Bereiche des Internet lahm zu legen. Dennoch besteht die Wahrscheinlichkeit, dass sich ein Konzeptwurm für IOS in die Freiheit drängelt, wie schon 1988 Wurm Morris und 2003 Wurm Slammer.

Zweifelsohne wird in der nahen Zukunft bei der Suche nach Sicherheitslücken eine Akzentverlagerung vonstatten gehen – von den traditionellen WindowsUnix- Systemen und ihrer Anwendungen hin zu Netzwerk-Ausrüstungen und Antiviren-Produkten.

Links zum Thema:

Social Engineering

Dieses Thema wird bereits regelmäßig in unseren Analysen behandelt und wir unterstreichen neuerlich, dass dem Faktor Mensch in der IT-Sicherheit eine grundlegende Rolle zukommt. Es ist verständlich, dass das Social Engineering-Problem in erster Linie große Unternehmen beunruhigt, insbesondere Finanzinstitutionen. Im letzten Bericht konstatierten wir eine Richtungsverlagerung der Attacken vom Massen-Anwender hin zu. Jeder konkrete Fall weist allerdings seine Eigenheiten auf, was den Einsatz standardgemäßer Schutzmethoden deutlich schwieriger macht.

Doch auch Internet-Heimanwender sollten ihre Vorsichtsmaßnahmen nicht schleifen lassen. Denn ein Computer mit vollständig aktualisiertem Betriebssystem kann ebenso erfolgreich infiziert werden wie ein ungepatchter – und genau das stellt das Hauptproblem der aktuellen IT-Sicherheit dar. Beim Social Engineering lenkt der Angreifer die Aufmerksamkeit des Anwenders auf sich, indem er ein interessantes oder für das Opfer aktuelles Thema wählt und dadurch den Anwender zu ganz bestimmten Handlungen herausfordert. So wird dieser aus purem Interesse am Thema, beispielsweise:

  • Webseiten besuchen und dort vertrauliche Daten eingeben;
  • ein unbekanntes Programm herunterladen und starten;
  • eine Datei öffnen, die über E-Mail eintraf.

Derzeit gibt es Versuche diverser Unternehmen, einen Browser zu entwickeln, der beispielsweise bestimmen kann, ob die besuchte Webseite Original oder Fälschung ist. bzw. in der Lage ist, persönliche Daten auf dem Rechner zu schützen. Jedoch werden diese Browser das Problem nie im vollen Umfang lösen können, zumal sie den neuen Tricks der Übeltäter immer um einen oder mehrere Schritte hinterherhinken werden.

Das dritte Quartal 2005 war reich an Natur- und Technik-Katastrophen: Ein weiteres Mal nutzten die Cyberverbrecher fremdes Leid und die immer präsente menschliche Neugier für ihre Ziele. August und September waren die aktivsten Monate des Jahres hinsichtlich Spam- und Virenversands. Das Ausmaß dieses Massenversands entsprach etwa dem im Dezember-Januar, als die Betrüger mit dem Tsunami-Thema in Süd-Ost-Asien ihr pietätloses Unwesen trieben.

Hauptthemen beim Massenversand in diesem Quartal waren die Bombenanschläge in London (Juli) und die Katastrophen durch die Wirbelstürme Katrina und Rita (August und September). Buchstäblich ein paar Tage nach den Explosionen in der Londoner U-Bahn entdeckten Antivirus-Unternehmen Massenversendungen von Schadprogrammen. Am weitesten verbreitet waren:

Und natürlich artete der Massenversand regelrecht aus, als Ende August/Anfang September einer der gewaltigsten Hurricanes der vergangenen Jahrzehnte über die Südküste der USA hereinbrach. Bereits am Tag danach erhielten Internet-Anwender schlagartig Dutzende E-Mails. Sie enthielten diverse „Angebote“, wie, „Hurricane-Videos“, „vertrauliche Daten über die Opferzahl“, „eine Sofort-Erklärung des Präsidenten“ und dergleichen. Die Absender verfolgten dabei einzig und allein das Ziel, den Anwender auf vorbereitete Webseiten zu locken, auf denen sich Exploits der Sicherheitslücken im IE befanden (wie beispielsweise der schon traditionelle Exploit.HTML.Mht, aber auch neue, wie Exploit.JS.JavaPrxy oder IframeBof). Einige Übeltäter machten sich gleich gar keine Arbeit mit der Verwendung von Exploits: sie schlugen dem Anwender unverhüllt vor, eine Datei herunterzuladen, die sich jedoch aber als Trojaner entpuppte.


Spam-Beispiel zum Thema Katrina.

Aber auch mit der Installation von Trojanern begnügten sich einige Verbrecher nicht. Sie versuchten über direktem Wege Geld zu stehlen: sie verschickten E-Mails mit der Bitte um Spenden für die Opfer des Hurricanes, wobei sie sich selbst als dafür bevollmächtigte Agenturen ausgaben. Das SANS-Institut, die weltweit größte Informationsquelle für Security Training und Zertifikation, führte Nachforschungen durch und stellte eine starke Zunahme der registrierten Domänen mit dem „Katrina“-Thema fest. Genauere Daten können dieser Grafik entnommen werden.

Indem die Verbrecher unbefugt Spenden sammelten, nutzten sie gleichzeitig die Gelegenheit zum Diebstahl vertraulicher Bankdaten und Passwörter der Anwender. Zur Vereinfachung des Spendenprocederes wurde auf einigen Webseiten vorgeschlagen, Kreditkartennummer und Passwort anzugeben. Es versteht sich von selbst, dass diese Information anschließend in die Hände von Cyberkriminellen gelangte.

Alle diese Methoden wurden wenige Tage später wieder eingesetzt, als Hurricane „Rita“ über die USA hinwegfegte. Glücklicherweise war das Ausmaß der Zerstörung bedeutend geringer – und folglich auch die Zahl derartiger E-Mails und Trojaner.

Schlussfolgerung: Erneut wurde der Welt die Gefahr demonstriert, die von dem sich stetig weiterentwickelnden Social Engineering ausgeht. Es ist unbedingt erforderlich, das Personal in allen Unternehmensbereichen zu schulen, damit derartige Attacken rechtzeitig erkannt werden. Heimanwendern empfiehlt Kaspersky Lab, E-Mails mit Spenden-Aufforderungen mit größter Aufmerksamkeit und einer gesunden Skepsis zu begegnen, vor allem in Zeiten von Technik- und Natur-Katastrophen.

Über die Situation der Instant Messaging-Würmer

Im ersten Quartalsbericht dieses Jahres schrieb Kaspersky Lab über das Aufkommen und die explosionsartige Entwicklung einer neuen Klasse von Würmern, der IM-Worms. Dabei handelt es sich um Würmer, die zu ihrer Verbreitung gängige Instant Messaging-Programme nutzen. Kaspersky Lab zeigte damals auf, dass ihre Evolution den P2P-Würmern sehr ähnlich ist und allgemeine Entwicklungsmerkmale einer neuen Wurmklasse aufweist: die überwiegende Mehrheit wurde in der Programmiersprache Visual Basic geschrieben und basiert auf einem Standard-Code.

Im Frühjahr und Sommer 2005 erreichten die IM-Würmer offensichtlich die Spitze ihrer Entwicklungsgeschwindigkeit – sie legten das höchste Entwicklungs-Tempo aller Klassen der Internetwürmer vor. Im ersten Halbjahr registrierte Kaspersky Lab monatlich im Durchschnitt 28 neue IM-Würmer.
IM Vergleich: auf dem Höhepunkt der Entwicklung der P2P-Würmer (2003) tauchten wöchentlich etwa 10 neue Varianten auf.

Doch dann änderte sich alles. Urplötzlich brach der Strom der IM-Würmer ab und gegenwärtig wird etwa eine neue Variante pro Woche entdeckt, die noch dazu allesamt lediglich geringfügig modifizierte Ableger älterer Wurmfamilien sind. Was ist mit der IM-Malware los? Im Folgenden wird versucht, die Ursachen für diese „Stagnation“ herauszufinden.

AOL und MSN, die die Mehrheit aller IM-Nutzer zum Kunden haben, wurden zur Grundlage für das Funktionieren dieser Würmer. Beide Unternehmen haben zum Schutz ihrer Kunden Maßnahmen getroffen: erstens blockierten sie die Übertragung von Dateien mit Namen und Erweiterungen, die bekannten IM-Viren entsprechen. Trotz der Tatsache, dass diese Übertragungs-Methode des Wurmkörpers nur von einer geringen Zahl von Würmern angewandt wurde, erwies sich die Entscheidung der Unternehmen als sehr effektiv. Ein weiterer Schritt war das Blockieren der Übertragung von Hyperlinks mit Dateien, die den Wurm-Körper enthielten, was der Hauptübertragungsweg der IM-Würmer war.

Auf diese Weise gelang es, einen großen Teil der Schlupflöcher zu schließen, die von Virenschreibern genutzt wurden. Darüber hinaus wurden die Schlupflöcher geschlossen, auf deren Nutzung alle Quellcodes dieser Würmer basierten, die im Computer-Underground zirkulierten. Der IM-Wurm-Code zeugte in der Regel von niedriger Qualität, was den Schluss nahelegt, dass die Würmer in ihrer Mehrheit von Script-Kiddies mit mangelnder Programmiererfahrung geschrieben wurden. Als der Code nach der Schließung einiger Sicherheitslücken nicht mehr funktionierte, waren diese „Virenschreiber“ nicht mehr in der Lage, neue Verbreitungsmethoden für ihre Schadprogramme zu finden, was zu einem starken Abfall der Population der IM-Würmer führte.

Ein weiterer wichtiger Faktor, über den bereits zu Beginn dieser Analyse gesprochen wurde, ist die Sicherheitslücke im PnP-Dienst. Warum entwickelten sich die IM-Würmer am Anfang des Jahres so dramatisch? Weil die Virenschreiber aufgrund des Fehlens kritischer Sicherheitslücken in Windows ihre Aufmerksamkeit anderen Datenübertragungswegen widmeten. P2P-Netze und IRC-Kanäle befinden sich im auf dem absteigenden Ast und sind angesichts der geringen Zahl ihrer Anwender uninteressant. So blieb die gegenwärtig wohl am weitesten verbreitete Kommunikationsmethode – das Instant Messaging, und es folgte ein Aufblitzen von Schadprogrammen für diese Technologie.

Die Sicherheitslücke in PnP bewegte die Übeltäter zu einer augenblicklichen Verlagerung ihrer Aktivitäten. Es existieren einige verschiedene IM-Clients, und ein „universeller“ Wurm für sie alle ist anscheinend nicht realisierbar. Ergebnis all dessen ist, dass die PnP-Sicherheitslücke den Virenschreibern weitaus größere Möglichkeiten und eine höhere Zahl potenziell angreifbarer Computer bieten konnte als Instant Messaging.

Obige Beschreibungen zeigen, dass die PnP-Sicherheitlücke tatsächlich das bisher bedeutendste Ereignis dieses Jahres ist. Sie veränderte die Virenlandschaft maßgeblich indem sie die Entwicklung der Schadprogramme über Monate beeinflusste.

Die IM-Würmer wiederholen momentan den Weg der P2P-Würmer, bei denen dem blitzartigen Erscheinen ein blitzartiger Fall folgte. Und auch die Gründe dafür sind sehr ähnlich: die P2P-Würmer verschwanden mit der Entdeckung der Sicherheitslücken im RPC DCOM und LSASS.

Es liegt also der Schluss nahe, dass wir in den nächsten Monaten keine bedeutenden Epidemien durch IM-Würmer keine befürchten müssen. Kaspersky Lab geht jedoch davon aus , dass das Interesse der Virenschreiber an Instant Messaging wieder aufflammen wird, sobald über eine gewisse Zeit hinweg keine neuen kritischen Sicherheitslücken in Windows entdeckt werden.

Viren für mobile Geräte

Vor kurzem veröffentlichte Kaspersky Lab die Ergebnisse einer umfangreichen Analyse zur aktuellen Situation der Viren für mobile Geräte und gab Prognosen für die weitere Entwicklung auf diesem Gebiet ab.

Eine der wichtigsten Schlussfolgerungen dieser Analyse ist, dass sich die Stagnation bei der virenseitigen Erschließung des mobilen Bereichs noch mindestens ein halbes Jahr hinziehen wird. In dieser Zeit erwartet uns ein regelmäßiges Auftauchen bereits bekannter Viren, die selten mit technologischen Innovationen aufwarten.

Bislang bestätigt sich diese Prognose in vollem Umfang. In den letzten Wochen erschienen lediglich einige neue Trojaner für Symbian.

Ende September wurde Trojaner Cardtrap (Trojan.SymbOS.Cardtrap) entdeckt, der sich ganz nach dem Prinzip der Symbian-Trojaner verhält: bei Installation in das System überschreibt er verschiedene Anwendungen von Fremdherstellern mit leeren oder nicht arbeitsfähigen Dateikopien. Er unterscheidet sich von anderen Trojanern dadurch, dass er nicht nur die Dateien aus dem Smartphone abschreibt, sondern zwei Schadprogramme auf dem Wechselspeicher des Telefons installiert, die nur auf Plattformen Windows für 32 Bit Prozessoren funktionieren. Das erste dieser beiden Schadprogramme ist eine bekannte Modifikation des Multifunktions-Backdoors Padobot, das zweite ist ebenfalls eine bekannte Variante des E-Mail-Wurms Rays.
Übrigens wird dieser Wurm bereits zum zweiten Mal auf unterschiedlichen mobilen Geräten gefunden. Ende August infizierte er in Japan etwa 4000 MP3-Player des Herstellers Zen Neeons. Leider wurde Kaspersky Lab nicht über die Ergebnisse der Untersuchung des Herstellers informiert.

Padobot und Rays stellen keine unmittelbare Gefahr für das Smartphone dar, wenn sie auf dem Wechselspeicher installiert sind, da sie lediglich auf Windows ausgerichtet sind. Offensichtlich glaubten die Autoren, dass der Anwender des infizierten Smartphones die Dateien bei Anschluss des Geräts am PC Startet, wodurch der PC infiziert würde.Um sich die Arbeit zu erleichtern, versahen die Autoren Padobot mit der Möglichkeit zur automatischen Ausführung auf dem Wechselspeicher. Dabei übersah er offensichtlich, dass unter Windows kein Autostart von einem Wechselspeicher aus möglich ist, wodurch das Infektionsrisiko beim Lesen der Karte durch den Computer praktisch ausgeschlossen wird.

Wurm Rays wird als Datei system.exe auf die Karte installiert. Sein Icon entspricht der Darstellung eines Verzeichnisses und nicht einer Datei. Eine Ausführung des Wurms ist also nur möglich, wenn der Anwender dieses Icon als Verzeichnis annimmt und es zu öffnen versucht.

Einem Virus, der versucht, zwei Betriebssysteme gleichzeitig zu infizieren (Windows und Symbian), ist Kaspersky bislang noch nicht begegnet. Etwas Ähnliches versuchte in einer abgeschwächten Variante nur Virus Lasco, dessen Windows-Komponente jedoch nur nach Dateien im sis-Format suchte und diese mit der Symbian-Komponente zu infizieren versuchte.

Dies beweist, dass für die Viren-Autoren nach wie vor Windows Priorität hat und die Infektion von Smartphones nur auf die Infektion des PC abzielt.

Ein zweiter auffälliger Trojaner für Symbian wurde der Ende September entdeckte Cardblock.
Dieser Trojaner gehört der gefährlichsten Art an – er ist ein reiner „Hooligan-Trojaner“ und verfügt über äußerst zerstörerische Funktionen. Nach seiner Installation in das System entfernt er System-Verzeichnisse und Informationen über installierte Anwendungen. Dadurch wird das Telefonbuch sowie alle gespeicherten SMS und MMS entfernt. Viele Smartphones können danach nicht mehr gestartet werden und benötigen einen Hard-Reset.

Eine technologische Neuerung sindTrojanerangriffe auf MMC-Wechselspeicher, bei denen der Virus den Zugang durch ein willkürlich generiertes Passwort blockiert. Solange sich die Karte in dem infizierten Telefon befindet, funktioniert sie normal. Nach einem Neustart des Telefons oder dem Versuch, die Karte durch ein anderes Gerät lesen zu lassen, wird sie blockiert und der Zugang zu den gespeicherten Datenist unmöglich.

In diesem Fall haben wir es mit Grundversionen von Trojanern zu tun, die dem Windows-Trojaner Gpcode ähneln, über den in einem der vorangegangenen Quartalsberichte berichtet wurde. Dieser Trojaner verschlüsselt Anwenderdaten und fordert eine bestimmte Geldsumme für die Dechiffrierung der Daten. Dies ist ein alarmierendes Signal, denn wenn sich solche Machenschaften etablieren, hat das Cyberverbrechen einen Weg gefunden, auch mithilfe von Viren für mobile Geräte Geld zu machen.

Als dieser Quartalsbericht schon fast finalisiert war, erhielt Kaspersky Lab Informationen über den ersten Trojaner für Spielekonsolen. Opfer war die Sony PlayStationPortable. Der Trojaner entfernt Systemdateien auf dem Gerät und macht es dadurch funktionsuntüchtig – ein Verhalten, das in den Grundzügen den Trojanern für Smartphones ähnelt. Zwei Tage danach wurden zwei weitere Trojaner für Nintendo DS entdeckt. Es ist also nicht ausgeschlossen, dass dies der Beginn des Zeitalters für Konsolen-Viren ist. Ausführlich wird Kaspersky Lab dieses Thema in seinem vierten Quartalsbericht 2005 behandeln.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.