News

Zbot-Attacken via PDF

Kürzlich stieß ich auf eine verdächtige pdf-Datei und habe diese daraufhin näher unter die Lupe genommen. Nach dem Entpacken blieb eine xml–Datei mit TIFF-Grafik. Diese sah allerdings reichlich seltsam aus, und es stellte sich heraus, dass die xml–Datei ein Exploit enthält, das die Sicherheitslücke CVE-2010-0188 ausnutzt.

Mir erschien es merkwürdig, dass Dateien dieser Art bisher fast nie vorgekommen sind und ich befragte die Statistik zur Ausnutzung der betreffenden Sicherheitslücke.

Statistik zur Ausnutzung der Sicherheitslücke CVE-2010-0188

Wie aus der oben dargestellten Grafik klar ersichtlich wird, begann die Verbreitung von Schädlingen, die die Sicherheitslücke CVE-2010-0188 ausnutzen, Ende Juni. Bis dahin wurden derartige Schadprogramme praktisch nicht auf den Computern der User gefunden. Das lässt den Schluss zu, dass die Virenschreiber einige Monate auf die Anpassung der Exploits an eine neue Lücke in dem Produkt von Adobe verwendet haben.
Im Zuge der weiteren Analyse stellte sich heraus, dass die Hauptfunktionalität des PDFs im Download und Start einer anderen Datei besteht, und zwar Trojan-Dropper.Win32.Zbot.cm. Die wichtigste Aufgabe dieses Droppers wiederum besteht in der unbemerkten Installation des Haupt-Bots Zbot (ZeuS) und dem Widerstand gegenüber Antiviren-Programmen.
Ich konnte ein endgültiges Exemplar von Zbot ergattern, doch es erwies sich als verschlüsselt und obfuskiert. Im Folgenden erhielt ich seinen Dump und entschlüsselte Zeilen. Darunter befinden sich auch ein eindeutiger Link auf die Ziel-Bankseite, http-Anfragen des Bots sowie einige Befehle, die vom C&C des Botnetzes Zbot verwendet werden. Dieses sind auf dem folgenden Screenshot zu sehen.

Fragment der dechiffrierten Datei Zbot

Dies ist der erste registrierte Fall der Verbreitung von Zbot über die Sicherheitslücke CVE-2010-0188. Seine Entwickler ruhen sich nicht auf ihren Lorbeeren aus, sondern finden immer wieder neue Wege, ihr Produkt an den User zu bringen.

Zbot-Attacken via PDF

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach