News

Myrte und Guave: Episode 4

Vor Kurzem berichteten wir über eine neue Variante der Rootkit-Komponente des Wurms Stuxnet, die auch mit einem digitalen Zertifikat versehen war. Allerdings stammte es diesmal nicht von der Firma Realtek, sondern von dem Unternehmen JMicron. Costin Raiu widmete sich diesem Thema ausführlich in zwei Postings .

Die Massenmedien griffen die Neuigkeit schnell auf, und im Internet war viel von der „Entdeckung einer neuen Wurm-Variante“ die Rede. Allerdings war das alles nicht so ganz einfach, wie es Schlagzeilen dieser Art suggerierten.

Denn die wichtigste Frage blieb in allen Berichten unbeantwortet: Wo war eigentlich der Wurm selbst, zu dem der signierte Treiber gehören sollte? Die Tatsache, dass der Treiber am 14 Juli erstellt wurde, könnte bedeuten, dass es auch eine neue Variante des Wurms „in freier Wildbahn“ gibt, und zwar möglicherweise auch mit neuer Funktionalität.

Allerdings waren all unsere Bemühungen, den Dropper oder auch nur einen zweiten Rootkit-Treiber aufzuspüren (denn davon müsste es zwei geben) nicht von Erfolg gekrönt.

Die Erklärungsversuche für das Auftauchen von Zertifikaten taiwanesischer Firmen in Malware liefen in der letzten Zeit immer auf zwei Theorien hinaus – entweder wurden sie mit Hilfe eines trojanischen Programms oder durch einen Insider gestohlen. Dass es uns nicht gelungen war, den Dropper oder zweiten Treiber zu finden, machte die ganze Geschichte nur noch verworrener.

So entschlossen wir uns, einen Blick auf die Detektierungs-Statistik von Rootkit.Win32.Stuxnet.c, dem Treiber mit der Jmicron-Signatur, zu werfen. Das Ergebnis war entmutigend: Unser System KSN hatte innerhalb von 3 Tagen (vom 20-23. Juli) das Modul genau 2 Mal gefunden – einmal in Russland, einmal in der Ukraine.

Verglichen mit der Verbreitungsstatistik der Rootkit-Komponente mit dem Realtek-Zertifikat ist das einfach lachhaft.

So oder so, Verisign nahm das entsprechende Zertifikat von JMicron zurück, und es ist jetzt nicht mehr gültig. In unserer Whitelist-Datenbank waren 124 von ihnen signierte Anwendungen enthalten. Selbstverständlich waren sie alle „sauber“.

Ich möchte im Moment noch keine Aussage über die Herkunft des mysteriösen Treibers treffen. Dass es sich dabei um eine veränderte Variante des Rootkit-Treibers mrxcls.sys handelt, steht zweifelsfrei fest. Doch wir sind noch immer auf der Suche danach, was er auf den infizierten Computern starten soll. Ebenso wie die von ihm infizierten Computer:).

Guckt man sich die Verbreitungsstatistik der Hauptvariante von Stuxnet an, so sieht man, dass sich die Epidemie in Indien, im Iran und in Indonesien weiter ausbreitet. Die Zahl der infizierten Computer steigt täglich um etwa 1000 – und das ist nur die Spitze des Eisbergs, die wir mit Hilfe von KSN sichtbar machen können.

Bemerkenswert ist, dass Stuxnet auch in Afghanistan und Aserbaidschan recht weit verbreitet ist, wo jeweils über 1000 infizierte Systeme entdeckt wurden.

Das Verbreitungsgebiet der Bedrohung gibt reichlich Stoff zum Nachdenken…

Myrte und Guave: Episode 4

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach