Der Mac-Lover: „Back from Hell“ ist ein alter Bekannter von Apple-Usern, und zwar der Trojaner Hellraiser.A. Erstmals aufgetreten im Jahr 2004, war er in einer neuen Version wieder auf Streifzug im Internet unterwegs. Der Trojaner ist für Nutzer des Apple-Betriebssystems Mac OS X gefährlich und beweist, dass auch Apple-Nutzer immer weiter ins Visier von Malware-Programmierern rücken: Wird ein System erfolgreich kompromittiert, ist es jederzeit aus der Ferne angreifbar. Der Malware-Programmierer kann sein Opfer ausspionieren und verschiedene Funktionen ausführen – sogar bis hin zum Öffnen des DVD Laufwerks.

Der Nervtötende: Falls dieser Wurm sich in Ihrem System eingenistet hat, versuchen Sie es mit Yoga oder Meditation, denn Sie werden viel Geduld benötigen. Einmal installiert, zeigt Oscarbot.YQ immer und immer wieder dieselbe Nachricht an, egal worauf sie klicken: „Sind Sie sicher, dass Sie das Programm schließen wollen?“ – und das in einer Endlosschleife. Jedes Mal, wenn der User das bestehende Fenster schließt, indem er auf eine Antwort klickt, öffnet sich ein weiteres Fenster mit einer weiteren Frage – völlig unabhängig von der Antwort.

Der Superagent: Im Jahr 2010 geht dieser Award ohne Zweifel an den „Stuxnet.A“ Wurm. Müsste man einen Soundtrack für diesen Wurm finden, könnte man sich etwas in der Art von „Mission Impossible“ oder „The Saint“ vorstellen. Er ist der erste bekannte Wurm, der SCADA-Systeme befällt. Stuxnet kann in industrielle Systeme, beispielsweise nukleare Einrichtungen, eingreifen und diese neu programmieren. Für viele Sicherheitsexperten gilt der Stuxnet-Wurm als Prototyp einer verheerenden Cyberwaffe… ganz wie in einem Hollywood-Film!

Der gute Samariter: Bredolab.Y ist als Microsoft-Nachricht getarnt und meldet dem ahnungslosen User, dass ein neuer Security-Patch für Outlook verfügbar ist. Dieser soll unverzüglich heruntergeladen werden, um Infektionen zu vermeiden. Doch Vorsicht! Sobald der User den Download akzeptiert, installiert er Rogueware auf seinem System. Dann beginnt die eigentliche Infektionsstrategie: Immer wieder werden Meldungen zu einem angeblichen Malware-Befall angezeigt und eine vermeintliche Sicherheitslösung zur Behebung des Problems angeboten – gegen Bezahlung. Zahlt das Opfer, werden die Warnungen einfach abgeschaltet.

Das Sprachgenie: Auch für Hacker wird es schwieriger, neue Infektionsmethoden zu finden und raffinierte Ideen zu entwickeln, um Computer-Nutzer immer wieder aufs Neue zu überraschen und auszutricksen. Um eine breite Masse zu erreichen, sind die Programmierer des Wurms MSNWorm.IE unter die Dolmetscher gegangen: Der Schädling, der ansonsten keine großen Auffälligkeiten zeigt, wird via Messenger verbreitet und verweist per Link auf ein sehenswertes Foto – und das in 18 verschiedenen Sprachen! Ohnehin für alle verständlich ist das letzte Symbol der Nachricht: „:D“. Wenn also jemand schon immer mal wissen wollte wie „Schau mal das Foto an“ in verschiedenen Sprachen klingt, hier ist die Liste mit der Sprachauswahl des kosmopolitischen Schädlings:

Deutsch: schau mal das foto an
Englisch: seen this?? look at this picture
Spanisch: mira esta fotografia
Portugiesisch: olhar para esta foto
Französisch: regardez cette photo
Italienisch: guardare quest’immagine
Niederländisch: bekijk deze foto
Swedisch: titta pσ min bild
Dänisch: ser pσ dette billede
Norwegisch: se pσ dette bildet
Finnisch: katso tΣtΣ kuvaa
Slovenisch: poglej to fotografijo
Slowakisch: pozrite sa na tto fotografiu
Tschechisch: podφvejte se na mou fotku
Rumänisch: uita-te la aceasta fotografie
Polnisch: spojrzec na to zdjecie
Ungarisch: nΘzd meg a kΘpet
Türkisch: bu resmi bakmak

Der Datenschützer: Clippo.A wird so manchen an den fleißigen Microsoft Office Assistenten „Clippy“ in Form einer Büroklammer erinnern. Dieser Wurm schützt alle Office-Dokumente, die im Computer gespeichert sind, indem er sie mit einem Passwort absichert. Wenn der Besitzer eines betroffenen Systems versucht seine Dokumente zu öffnen, wird er das ohne das nötige Passwort nicht schaffen – und das kennt er ja nicht. Aber, aus welchem Grund tut dieser Wurm das? Was ist sein Ziel? Keines! Es wird kein „Lösegeld“ gefordert, kein Reinigungsprogramm zum Verkauf angeboten, keine weiteren schädlichen Symptome erkennbar. Der Wurm ist einfach nur da und strapaziert die Nerven von Computer-Nutzern.

Das Wirtschaftsopfer: Die Wirtschaftskrise macht auch vor der Welt der Cyber-Kriminalität keinen Halt, das macht der Fall von Ransom.AB deutlich. Die Verbreitung von Ransomware scheint nämlich auch nicht mehr die Gewinne zu erwirtschaften, die früher mal erreicht wurden. Aber erst mal zur Erklärung: Ransomware sind Computerprogramme, mit deren Hilfe Eindringlinge private Daten auf fremden Rechnern verschlüsseln und für die Entschlüsselung ein „Lösegeld“ fordern. Opfer solcher Betrugsmaschen mussten da mit Beträgen um die 300 US-Dollar rechnen, um ihren Daten wieder die Freiheit zu schenken. Ganz anders Ransom.AB: Der Programmierer des Schädlings verlangt lediglich 12 US-Dollar.

Der Scheinheilige: SecurityEssentials2010 ist eine der größten Malwareschleudern im Jahr 2010 gewesen. Und damit ist nicht das Antivirenprogramm von Microsoft gemeint, sondern ein gefälschtes, dem echten nachgebildetes Programm, das zur Kategorie der betrügerischen Antivirenlösungen gehört. Die perfekt imitierten Fenster, das Design der angezeigten Nachrichten etc. haben dazu beigetragen, dass die Schadsoftware einen Platz in der „Top Ten“ der Schädlinge hat, die für die meisten Infektionen verantwortlich sind.

Wir können den Viren-Jahresrückblick natürlich nicht schließen, ohne das Mariposa-Botnetz zu erwähnen. Bei der Zerschlagung des bereits seit längerem bekannten Botnetzes haben Panda Security und Defense Intelligence eng mit dem FBI und der spanischen Polizeieinheit Guardia Civil zusammengearbeitet. „Mariposa“ nahm insgesamt 13 Millionen IP-Adressen unter seine Kontrolle. Die fremd gesteuerten Geräte fanden sich weltweit in privaten Haushalten, Regierungsinstitutionen und Universitäten in über 190 verschiedenen Ländern. Darüber hinaus waren zahlreiche Großunternehmen betroffen. Damit baute „Mariposa“ eines der größten Botnetze auf, die bislang registriert wurden.

Eine spanische Panda Mitarbeiterin entdeckte Anfang März schädliche Software auf ihrem neu erstandenen Smartphone HTC Magic von Vodafone. Als sie das Handy über USB an ihren PC anschloss, schlug die installierte Panda Cloud Antivirus Software sofort Alarm. Eine Analyse ergab, dass es sich bei dem Handy tatsächlich um einen Mariposa Bot Client handelte. Zusätzlich entdeckte unser spanischer Malware-Experte Pedro Bustamante weitere Malware wie den Conficker-Wurm und einen Trojaner auf der Speicherkarte des Vodafone-Geräts.

Bei Vodafone wurde zunächst von einem Einzelfall gesprochen. Mittlerweile hat das Mobilfunk-Unternehmen jedoch öffentlich gemeldet, dass schätzungsweise 3.000 User in Spanien betroffen sind. Als Entschädigung erhalten die Nutzer nun eine neue SD-Card und eine kostenfreie Version des Panda Antivirus Pro. Als Vorsichtsmaßnahme stoppte das Headquarter von Vodafone die weitere Auslieferung der Handys. Pedro Bustamante betont jedoch, dass das Problem mit einer neuen Speicherkarte nicht behoben sei. „Denn die Schädlinge waren für den Datendiebstahl konzipiert und bereits gestohlene Daten sind längst in den Händen der Kriminellen“, so der Malware-Experte.

Die Ausschaltung des riesigen Botnetzes Mariposa war ein großer Erfolg für Panda und die anderen Mitglieder der „Mariposa Working Group“. Dennoch ist die Gefahr, die von Mariposa ausgeht, noch nicht vorüber: Wie Bustamante deutlich machte, sind bereits gestohlene Daten nicht mehr zurückzuholen und können auch nach der Ausschaltung des Botnetzes Schaden anrichten. Denn obwohl der Herd des Botnetzwerks von seinen infizierten Rechnern isoliert ist, gibt es nach wie vor zahlreiche gekaperte Computer, deren Sicherheitslücken von Cyber-Kriminellen ausgenutzt werden können. Im schlimmsten Fall könnte dadurch das ausgeschaltete Botnetz wieder aktiviert werden.

Panda Security arbeitet deshalb auch in Zukunft daran, Botnetze wie Mariposa aufzuspüren. Dabei sind wir darauf angewiesen, dass die Öffentlichkeit für das Thema Cyber-Kriminalität sensibilisiert wird. Jeder Computer-Nutzer ist ein potentielles Opfer von Cyber-Kriminalität. Mariposa kaperte nicht nur private Rechner, sondern auch PCs von Universitäten, Regierungsmitarbeitern und Unternehmen wie Vodafone. Dabei traf es nicht nur Länder, in denen Computersicherheit noch in den Kinderschuhen steckt: Unter den Top 25 der betroffenen Ländern befinden sich beispielsweise auch die USA und Spanien. Deutschland liegt immerhin noch auf Platz 47.

Grafik (Panda Security): Mariposa kaperte Rechner in mehr als 190 Ländern. Die Grafik zeigt, welche Länder am stärksten betroffen sind (Je dunkler die Farbe, desto mehr betroffene IP-Adressen)

Es ist also von großer Bedeutung für unsere Sicherheit, dass Botnetze unterbunden werden. Luis Corrons, technischer Leiter der PandaLabs, appeliert auf dem PandaLabs Blog in diesem Zusammenhang auf eine Verschärfung der Gesetze gegen organisierte Cyber-Kriminalität und an eine bessere Kommunikation zwischen den betroffenen Ländern: Gerade bei gigantischen Botnetzwerken wie Mariposa, bei denen mehr als 190 Länder betroffen sind, müssten Untersuchungen ohne Verzögerung international durchgeführt werden, damit den Kriminellen keine Zeit gegeben wird, ihre Spuren zu verwischen. Des Weiteren sollten Länder, in denen Computersicherheit noch ein Fremdwort ist, mit Expertise von fortschrittlicheren Ländern unterstützt werden. Der Fall Mariposa ist ein erster Schritt in die richtige Richtung.

Weitere Informationen zum Fall Vodafone auf dem englischsprachigen Panda Research Blog:

http://research.pandasecurity.com/vodafone-distributes-mariposa/

http://research.pandasecurity.com/vodafone-distributes-mariposa-part-2/

weitere Informationen zum Fall Mariposa auf dem englischsprachigen PandaLabs Blog:

http://pandalabs.pandasecurity.com/cybercriminals-computer-genius-or-professional-criminals/

http://pandalabs.pandasecurity.com/mariposa-stats/

• 12,7 Millionen infizierte IP-Adressen weltweit
• Festnahme von drei mutmaßlichen Drahtziehern

Panda Security, die Cloud-Security-Company, hat entscheidenden Anteil an einem internationalen Erfolg im Kampf gegen die Cyberkriminalität, nämlich der Abschaltung des „Mariposa“-Botnetzes, eines der größten bisher registrierten Netze aus infizierten Computern. Nach Angaben von Panda sowie der IT-Sicherheitsfirma Defence Intelligence ist das gigantische Netzwerk aus infizierten Rechnern bereits kurz vor Weihnachten vom Netz genommen worden. Es war von Internetkriminellen entwickelt worden, um sensible Informationen ahnungsloser Computer-Nutzer wie Kontodaten, Kreditkartenangaben etc. zu stehlen. Drei Verdächtige, die das Botnetz gesteuert haben sollen, wurden von den spanischen Behörden verhaftet.

Bei der Zerschlagung des bereits seit längerem bekannten Botnetzes haben die Sicherheitsfirmen Panda Security und Defense Intelligence eng mit dem FBI und der spanischen Polizeieinheit Guardia Civil zusammengearbeitet. „Mariposa“ nahm seit Ende 2008 insgesamt 12,7 Millionen IP-Adressen unter seine Kontrolle. Die fremd-gesteuerten Geräte fanden sich weltweit in privaten Haushalten, Regierungsinstitutionen und Universitäten in über 190 verschiedenen Ländern. Darüber hinaus waren zahlreiche Großunternehmen betroffen, darunter rund 500 US-amerikanische Spitzenunternehmen. Damit baute „Mariposa“ eines der größten Botnetze auf, die bislang registriert wurden. Die Cyber-Kriminellen erhielten von den gekaperten Computern Bankverbindungen und Kreditkarteninformationen sowie vertrauliche Zugangsdaten wie Usernamen und Passwörter für Soziale Netzwerke und E-Mail-Services.

Weitere Informationen zu Mariposa und zur Zerschlagung des Botnetzes stehen auf dem Panda-Blog unter: http://pandalabs.pandasecurity.com/ zur Verfügung.