Malware

Deutlich mehr Malware-infizierte Fehlermeldungen im August / Tarnung mit persönlichen Daten

Die Malware-Industrie intensiviert Angriffe via E-Mail-Fehlermeldungen. In Vergleich zum durchschnittlichen Aufkommen dieser gefährlichen Spam-Art von Januar bis Juli 2009 schnellte die Rate im August drastisch nach oben. Die Betrüger gehen dabei äußerst raffiniert vor: Die gefälschten Non-Delivery-Reports (NDR) sehen aus wie die echten Meldungen, die Nutzer über Zustellungsschwie-rigkeiten informieren. Sie nutzen sogar persönliche Daten wie den Namen oder die E-Mail-Adresse des angeblichen Absenders und wirken so authentischer. Ein Verweis auf wei-tere Informationen im Anhang soll dazu verleiten, der Malware Tür und Tor zu öffnen.

Nur knapp zwei E-Mails von 100 sind gewollt, schreibt das Bundesamt für Sicherheit in der In-formationstechnik (BSI) in seinem Lagebericht vom 16. September 2009. Viele der 98 Prozent Spam-Mails werden ausgefiltert. Trotzdem setzt die professionelle Malware-Mafia weiter auf die-sen Kanal, um ihre Programme auf die Rechner zu spielen. Seit August bedient sie sich massiv gefälschter Fehlermeldungen, so die Analysen der PandaLabs.
NDR-Spam
Fehlermeldungen an sich sind legitim und nützlich – sie geben Auskunft darüber, ob der potenzielle Empfänger nur im Urlaub ist, die E-Mail-Adresse nicht gilt oder ob vielleicht sogar die eigene Technik überprüft werden sollte. NDR-Spam nutzt den Reflex, die Fehlerursache he-rauszufinden, aus. Dabei übersieht so mancher Nutzer, dass er keine E-Mail an diesen Adressaten verschickt hat. Legitime Sendeberichte schicken dem Absender normalerweise seine ursprüngliche Nachricht als Dateianhang. Die Spammer machen sich dies zu Nutze, in dem sie im Anhang ihre schädlichen Dateien verstecken. Diese installieren beim Download ein Schadprogramm auf dem Computer. Nicht nur die Nachahmung des originalen Sendeberichtes sondern auch die Tatsache, dass die Spammer den richtigen Namen des Empfängers verwenden, erschwert es den Opfern, den Betrug zu entdecken. Laut Panda Security liegt der Anteil der falschen Zustellungsberichte aktuell schon bei 20 Prozent der globalen Spam-Mails.

Am Spam-Filter vorbei
Luis Corrons, technischer Leiter der PandaLabs, warnt eindringlich vor dieser Bedrohung: „Derzeit ist noch nicht klar, ob Spammer die NDR-Technik nutzen, um Spam-Filter umgehen zu können oder ob es nur eine weitere Variante möglichst unauffälliger, aber attraktiver E-Mail-Betreffs darstellt. Weil die meisten NDR-Mails aber bislang legitim versendet wurden, können manche Anti-Spam-Techniken die Fälschungen nicht erkennen und herausfiltern.“
Generiert werden die immer neuen Angriffswellen unter Verwendung von Botnetzen, riesige Netzwerke mit Malware infizierter PCs, die von Angreifern für ihre Zwecke ferngesteuert werden.

Vorbeugen
Panda Securitys Corporate Sicherheitslösungen enthalten Techniken, die NDR-Spam unschädlich machen. Unter www.pandasecurity.com/germany/enterprise/solutions/security-appliances sind weiterführende Informationen zu finden.

Von Friday 13. über IloveYou bis hin zu Conficker: Seit zwanzig Jahren kämpft Panda Security nun gegen Viren, Würmer, Trojaner und andere Internet-Bedrohungen. Im Rahmen seiner Rückschau auf zwei Jahrzehnte Sicherheits-Technologien hat Panda seine gefährlichsten Gegner chronologisch zusammengestellt:

Friday 13 oder Jerusalem

Erschaffen: 1988, Israel

Ziel des Schädlings war es, an jedem Freitag, den 13. alle angewendeten Programme des befallenen Computers zu löschen. Die Bezeichnung Jerusalem gründet darauf, dass er zum ersten Mal in Jerusalem entdeckt wurde und angeblich an den 40sten Geburtstag von Israel erinnern soll.

Barrotes

Erschaffen: 1993, Spanien

Einmal in den Computer eingedrungen blieb der Schädling bis zum 5. Januar unbemerkt und tatenlos. Erst dann platzierte er mehrere Balken auf dem Monitor.

Cascade oder Falling Letters

Erstmals aktiv: 1997, Deutschland

Bei einer Infektion verwandelt dieses Exemplar die Buchstaben auf dem Bildschirm in eine Kaskade.

CIH oder Chernobyl

Erschaffen: Taiwan, 1998

Dieser Virus benötigte nur eine Woche um sich zu verbreiten und tausende von Computern zu infizieren.

Melissa

Erschaffen: 1999, USA

Der Wurm verbreitete sich enorm schnell per E-Mail und lockte die Anwender mit der Betreffzeile: „Here is that document you asked for…don’t show anyone else“.

ILoveYou oder Loveletter

Erschaffen: 2000 Phillipinen

Der berühmte Wurm verbreitete sich binnen weniger Tage explosionsartig und erzeugte Schäden in Millionenhöhe. Seine Bezeichnung stammt daher, dass er sich per E-Mail mit der Betreffzeile „I love you“ verbreitete.

Klez

Erschaffen: 2001, Deutschland

Die Eigenart Schädling war so programmiert, dass er Computer nur am 13. Tag von ungeraden Monaten infizierte.

Nimda.

Erschaffen: China, 2001

Die Bezeichnung Nimda bedeutet umgekehrt buchstabiert: Admin. Dies gründet auf die Fähigkeit, Administrationsrechte auf infizierten Computern zu erstellen.

SQLSlammer

Erschaffen: 2003

Der Computerwurm befiel in wenigen Tagen mehr als eine halbe Millionen Server.

Blaster

Erschaffen: 2003, USA

Der Code des Schädlings verbarg die Nachrichten „I just want to say lave you San!!“ und „Billy Gates, why do you make this possible? Stop making money and fix your Software”.

Sobig

Erschaffen: 2003, Deutschland

Sobig.F, die sechste Variante dieses Virus verursachte die schwersten Schäden. Sie kopierte sich am 19. August 2003 mehr als Millionen mal selbst.

Bagle

Erschaffen: 2004

Setzt man diesen Wurm in Relation zu seinen zahlreichen Varianten gilt er als einer der produktivsten Schädlinge überhaupt.

Netsky

Erschaffen: 2004, Deutschland

Das Exemplar stammt aus der Feder des Programmierers des berühmten Sasser-Virus. Es nutzte Sicherheitslücken im Internet Explorer um in Computer eindringen zu können.

Conficker oder Downadup, Downup

Erschaffen: 2008,

Der aktuellste der einflussreichen Schädlinge infizierte Computer mit Microsoft Betriebssystemen, insbesondere mit der Version Windows XP. Neben einer Sicherheitslücke in diesem System nutete der Wurm auch Wechseldatenträger wie USB-Sticks oder ähnliches zu seiner Verbreitung.

Die Panda Security Labore entdeckten 60 neue, aktive Domains, die den Wurm Koobface verbreiten. Der speziell auf den Angriff über soziale Netzwerke konstruierte Schädling treibt sein Unwesen hauptsächlich auf Facebook. Luis Corrons, Direktor der Panda Labore, beschreibt das Vorgehen der neuen Wurm-Variante:

Die Urheber verbreiten die nächste Stufe des Schädlings über die übliche Methode. Über Facebook versenden Sie E-Mails, die einen Link auf ein „Cooool Video“ enthalten.
Klicken die User auf den Link werden sie automatisch an einen von Koobface kontrollierten Server weitergeleitet. Der wiederum führt sie auf eine falsche Codec-Seite des Sozialen Netzwerkes, über die der Empfänger die schädliche E-Mail angeblich empfing. ) Dort stellen die Kriminellen einen angeblich für das Video notwendiges Flash Player Upgrade zum Download bereit. Fallen die Anwender darauf herein, wird ihr Rechner zur weiteren Verbreitung des Wurmes genutzt.

(Screenshot der Koobface Verbindungs-Logs)

Bei einer Infektion lädt Koobface umgehend drei weitere EXE-Dateien nach:

Zusätzlich installieren die Betrüger eine falsche Sicherheitssoftware auf dem Rechner.

• 37.000 neue Viren pro Tag
• Ende Juli 2009 insgesamt ca. 30 Millionen bekannte Virensignaturen
• Kurze Lebensdauer um Antiviren-Software zu umgehen

Tag für Tag empfangen die Panda Sicherheitslabore nahezu 37.000 Exemplare neuer Viren, Würmer, Trojaner und andere Internet-Bedrohungen. 52% existieren gerade mal einen Tag. Nach 24 Stunden beenden Sie Ihre Suche nach neuen Opfern schon wieder. Denn Sie werden ersetzt durch neue Varianten und die Suche beginnt aufs Neue.

Dass die schädlichen Codes schon nach nur 24 Stunden neu programmiert werden ist kein Zufall. Dahinter steckt das wirtschaftliche Kalkül professionell organisierter Internet-Krimineller. Mit allen Mitteln erschweren Sie Antiviren-Herstellern, ihre Malware-Exemplare zu entdecken.

Die Gewinnorientiertheit der Online-Mafia hat den drastischen Anstieg neuer Malware-Exemplare zur Folge. Die Panda Labore meldeten allein seit Ende des Jahres 2008 eine Anstieg von fast 100%: Während die Signaturdatenbank Ende 2008 noch 16 Millionen bekannte Signaturen umfasste, beinhaltete sie Ende der ersten Jahreshälfte 2009 schon rund 30 Millionen.

Luis Corrons, Direktor der Panda-Labore, vergleicht diese Problematik mit einem endlosen Kopf-an-Kopf-Rennen, das die Hacker unglücklicherweise noch gewinnen: „Wir sind gezwungen zu warten, bis wir die Malware zur richtigen Zeit entdecken, um sie analysieren und entfernen zu können. Traditionelle Antiviren-Hersteller mit lokalen Signaturdateien blieben bei diesem Rennen schon in den ersten Runden auf der Strecke. Ihre Reaktion beansprucht angesichts der heutigen, kurzen Infektionswege viel zu viel Zeit. Panda’s Collective Intelligence Technologie reduziert die Gefahren durch Echtzeit-Analysen enorm und stellt die schnellste Alternative mit dem besten Schutzlevel dar.“