News

Eine Malware-Matrjoschka

Von allen Instant Messaging Systemen ist ICQ wohl am anfälligsten für Spam. Grund dafür ist die Tatsache, dass man die Accounts in diesem System durch eine geringe Anzahl Indikatoren bestimmen kann. Soweit wir das beurteilen können, haben die Übeltäter längst spezielle Roboter erstellt, die willkürlich die ICQ-Nummern wählen und schädliche Links dorthin versenden.

Aus diesem Grunde haben wir vor einiger Zeit mit einem Netz ICQ-Fallen (ICQ-honeypot) aus 10 Accounts begonnen zu experimentieren. Alle in dieses Netz eingehenden Nachrichten werden in eine spezielle Datenbank für die nachfolgende Analyse verschoben. Gegenwärtig fangen wir mit diesem honeypot etwa 30 infizierte Links pro Monat ab. Die meisten davon führen auf mit Exploits überfüllte html-Seiten, von welchen aus sich verschiedene Trojaner versuchen herunterzuladen und zu installieren.

Vergangenen Freitag erweckte einer dieser Links meine besondere Aufmerksamkeit. Als ich versuchte, eine Webseite mithilfe WGET herunterzuladen, erhielt ich das folgende Resultat:

Warum sollte man jemandem einen Link auf eine Seite mit 0 byte schicken? Das Herunterladen mit diesem Link im Test-System mit dem IE ergab folgendes Ergebnis: ein Trojaner lud sich ins System, installierte sich und ging ins Netz, um einen weiteren Trojaner herunterzuladen. Vielleicht überprüfen die Autoren so den Agenten, der diese Seite herunterlädt und verschicken nur das Exploit an den „richtigen“ Browser?

Für mich war interessant, was passiert, wenn man versucht, mithilfe WGET, aber gefälschtem Identifikator des Browsers auf diese Seite zu gehen. Der Versuch gelang – es wurde eine Seite mit einer Größe von 3043 byte heruntergeladen. Doch was war in dieser Datei?

Wie Sie sehen, können ist es ein Skript, aber verschlüsselt. Und so verschlüsselt, dass jeder Versuch, es zu verändern dazu führt, dass eine Dechiffrierung nicht möglich ist. Wir hatten ziemlich zu tun, doch schließlich, nachdem wir diese Datei dennoch öffneten, fanden wir – … noch ein verschlüsseltes JavaScript.

Dieses im verschlüsselten Skript versteckte Script, welches Sie nur dann bekommen, wenn Sie die Seite mit IE herunterladen, öffnet eine weitere Seite und lädt unter anderem ein Java Applet auf den Computer.

Wir dekompilierten das Applet und entdeckten darin – raten Sie was? – … richtig – noch ein Applet, der vom ersten Applet heruntergeladen wird, und anschließend eine Webseite herunterlädt, die wiederum ein Skript startet, welches auf eine bestimmte Webseite geht und einen Trojan-Downloader herunterlädt. Dieser wiederum lädt einen weiteren Trojaner herunter, der mit einer üblichen Methode verschlüsselt ist – mithilfe FPU. Das ist interessant, dieser letzte Trojaner verändert sich täglich – in der vergangenen Woche war dort ein keylogger, und heute morgen fanden wir über diesen Link einen Bank-Trojaner.

Treten Sie näher: eine Malware-Matrjoscka!

Eine Malware-Matrjoschka

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach