:: NORMAN :: Antivirus | Firewall

Proaktive IT-Sicherheit

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2005 » Aktuelles in Sachen Malware – schneller Wandel

Aktuelles in Sachen Malware – schneller Wandel

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 10, 2005

Einführung

Zu Anfang des Jahres gaben wir einen kurzen Überblick über die Sicherheitsthemen des Jahres 2004 und stellten Prognosen für 2005. Im ersten Quartal dieses Jahres zeichnet sich jedoch deutlich ab, dass es hinsichtlich der Sicherheitssituation einen grundlegenden Wandel im Vergleich zu den vergangenen Jahren gibt.

In dem vorliegenden Artikel möchten wir Sie über einige neue Entwicklungen informieren, die wir beobachtet haben.

Explosionsartige Verbreitung neuer „Bots“

Noch vor einigen Monaten erhielten die Virusanalysten von Norman jeden Tag etwa 50 neue Malware-Programme der verschiedensten Kategorien.

In der Zwischenzeit gehen täglich 500 verschiedene Arten von Malware bei uns ein. Ein solcher Anstieg ist in der Geschichte der Malware-Programme bisher einzigartig.

Interessant ist, dass dieser Anstieg nicht die Ausmaße einer neuen „Epidemie“ wie der Sobig.F-Angriff bzw. die verschiedenen MyDoom-Angriffe des letzten Jahres angenommen hat.
Der Zuwachs wird durch unzählige „Bots“ (abgeleitet vom englischen „Robots“) ausgemacht. Dabei handelt es sich um Programme, die verschiedene Aktionen ausführen können, u. a.:

Herstellen einer Verbindung mit verschiedenen Websites und Herunterladen anderer Malware wie Backdoor-Programme
Installieren von Malware - z. B. von Backdoor-Programmen - auf dem Computer
Durchsuchen des Netzwerks nach Computern in der näheren Umgebung, die nicht durch Patches geschützt und so ein einfaches Angriffsziel sind
Ermitteln persönlicher Daten wie Bankkontonummern, Kreditkartennummern und Kennwörter

Da keiner dieser Bots wirklich weit verbreitet ist, wird ihnen auch kaum Aufmerksamkeit geschenkt. So kann es leicht passieren, dass Ihr Computer infiziert wird, ohne dass Sie die akute Gefahr für Ihr System überhaupt bemerken.

Wenn Ihr Computer von einem Programm infiziert wird, das ein Backdoor-Programm installiert, kann weltweit jedermann, der ihre Anmeldeinformationen (falls vorhanden) kennt, ungehindert eine Verbindung zu Ihrem Computer herstellen. Unabhängig davon, ob auf Ihrem Computer persönliche oder Unternehmensinformationen gespeichert sind, kann er zu folgenden böswilligen Zwecken missbraucht werden:

Ausgangspunkt zum Senden von Spam-Mails

Da das Senden von Spam-Mails in einigen Ländern gesetzwidrig ist, möchten die Versender von Spam-Mails dazu möglichst nicht ihren eigenen Computer verwenden. Stattdessen wird Ihr ungeschützter Computer als idealer Ausgangspunkt genutzt.

Zombie-Computer für Angriffe gegen Dritte

Im Laufe der Jahre wurden bereits mehrere bekannte Websites durch DDoS-Angriffe (Distributed Denial of Service) zum Absturz gebracht. Diese Art von Angriffen erfolgt über eine Gruppe von Computern (unter denen sich womöglich auch Ihrer befindet), von denen aus unzählige Befehle gleichzeitig an einen bestimmten anderen Computer (z. B. einen Webserver) oder ein Netzwerk gesendet werden. Der Umfang der eingehenden Daten ist so immens, dass der angegriffene Computer das Datenvolumen nicht mehr bewältigen kann und zur Erfüllung seiner eigentlichen Aufgaben nicht mehr zur Verfügung steht.

Infizierte Computer werden ohne Wissen ihrer Eigentümer als Ausgangspunkt für den Angriff - also als sog. Zombie-Computer - missbraucht. Der eigentliche Angreifer, der Ihren und Tausende anderer Zombie-Computer steuert, sitzt ganz woanders und muss lediglich den Startschuss für den Angriff geben.

Neue Anwendungen zur Verbreitung von Malware auf Computern

In den vergangenen Jahren waren E-Mails zweifelsohne die beliebteste und effizienteste Methode zur Verbreitung von Malware. Es gab aber auch einige Fälle, bei denen Malware (ausschließlich) über Netzwerke verbreitet wurde, z. B. Pinfi (durch Klicken auf den Link öffnet sich ein separates Browser-Fenster). Über ein Netzwerk verteilte Malware lässt sich meist nur schwer wieder beseitigen, da bereits ein nicht bereinigter Computer ausreicht, um im gesamten Netzwerk Meldungen über einen versuchten Virenangriff auszulösen oder sogar das gesamte Netzwerk innerhalb weniger Sekunden zu infizieren, sollte dieses nicht vor dem betreffenden Angriff geschützt sein.

Anfang 2005 gab es verschiedene Vorfälle, bei denen MSN Messenger zur Verbreitung von Malware missbraucht wurde.

Beim ersten und aus technischer Sicht wohl interessantesten Vorfall wurde eine neu entdeckte Sicherheitslücke ausgenutzt, um den Computer eines anderen Benutzers durch Versenden eines speziell entworfenen Bildes zu infizieren. Microsoft reagierte sofort auf diese Sicherheitslücke und sorgte dafür, dass MSN Messenger erst wieder verwendet werden konnte, nachdem auf eine neuere Version von MSN aktualisiert wurde, in der diese Sicherheitslücke bereits behoben war.

Daraufhin kehrten die Malware-Autoren zu ihren Wurzeln zurück, indem sie sich der altbewährten Methode des Social Engineering bedienten, also dem Erlangen vertraulicher Informationen durch Annäherung an die betreffenden Personen mittels sozialer Kontakte.

Dazu wird beispielsweise einem Benutzer eine Nachricht gesendet, die (allem Anschein nach) von einem Kontakt aus seiner MSN-Kontaktliste stammt und ihn auffordert, auf einen Link zu klicken, um etwas Lustiges, Interessantes, Ausgefallenes usw. zu sehen. Und über diesen Link wird dann schließlich das Programm geöffnet.

Auf diese Weise wurden selbst Benutzer, die nicht einmal in ihren wildesten Träumen eine E-Mail-Anlage öffnen oder auf einen E-Mail-Link klicken und diesen ausführen würden, von der bzw. dem sie die Authentizität nicht kennen, dazu überlistet, auf den Link zu klicken. Und schon war ihr Computer infiziert ...

Die Methode ist die alte geblieben, nur das Medium hat sich etwas geändert.

Auch in den Wochen und Monaten, die vor uns liegen, werden wir vermutlich viele ähnliche Versuche zur Verbreitung von Malware beobachten können. Und irgendwann werden die meisten Benutzer zu der Erkenntnis gelangen, dass es keine gute Idee ist, einen solchen Link bzw. ein solches Programm zu öffnen, unabhängig davon, ob es nun per Mail oder von einem MSN-Kontakt gesendet wurde.

Kombination aus verschiedenen Arten von Malware

Eine Entwicklung, die wir - unabhängig von den zur Verbreitung von Malware eingesetzten Mitteln - beobachten konnten, ist, dass die verschiedenen Arten von Malware immer enger miteinander verknüpft sind.

Viren werden zur Installation von Backdoor-Programmen eingesetzt, die wiederum das Versenden von Spam-Mails ermöglichen
Würmer stellen Verbindungen zu Websites her und führen Programme aus, mit denen Spyware und Adware installiert werden
Bots werden immer ausgeklügelter, wenn es darum geht, Sicherheitslücken von Betriebssystemen und Anwendungen auszunutzen, und können sogar bewirken, dass Computer für Angreifer frei zugänglich sind

Dieser Trend wird sich mit aller Wahrscheinlichkeit im Laufe des Jahres weiter fortsetzen.

Die Herausforderungen im Sicherheitsbereich scheinen im Vergleich zu den vergangenen Jahren keineswegs kleiner geworden zu sein.

Per Olav Førland

VIRUSWARNUNGEN

Medium risk
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2008-07-04 (UTC 13:16)

Sicherheitsinfo

>>	Der Jahresbericht des Internet Crime Complaint Center für 2007
>>	2007

Sicherheitshinweise

>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Juni 2008
>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Mai 2008

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.