RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2009  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov  
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.
Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog / Januar 2009

Analytiker-Tagebuch

Macintosh 25th anniversary


  Magnus        24 Januar 2009 | 13:50  MSK

Ihr Kommentar  

Vielen Dank an meinen Kollegen Christian, der mich mit Infos für diesen Blog-Eintrag versorgt hat.

Heute, am 24. Januar 2009, feiert der berühmte Macintosh Jubiläum – heute vor 25 Jahren stellte Steve Jobs den ersten Macintosh Computer, den sogenannten 128K, auf Apples jährlicher Hauptversammling vor. Es wurde der erste kommerziell erfolgreiche Computer, welcher anstelle einer Kommandozeile mit einer Maus und einer grafische Benutzeroberfläche aufwarten konnte – ein großer Schritt zu dieser Zeit. Während die verehrende Mac-Gemeinde gespannt in die Zukunft blickt, werfen wir einen Blick in die jüngere Vergangenheit, insbesondere hinsichtlich Malware und Sicherheit im Allgemeinen.

Malware-Schreiber ließen wegen des wesentlich höheren Marktanteils der Windows-Systeme für gewöhnlich das Macintosh eigene Betriebssystem OS X eher unbeachtet. Aber regelmäßig erscheinende Proof-of-Concept Beispiele zeigen, dass auch dieses System nicht unverwundbar ist.

Besonders im Jahr 2006 gab es hierfür zwei nennenswerte Beispiele – zum einen der Wurm Leap.a, welcher die Anwender austrickste indem er damals vorgab, erste Screenshots von Leopard – der aktuellen Version von OS X - zu enthalten und sich via iChat weiter verbreitete. Zum anderen der Wurm Inqtana.a, welcher eine Bluetooth Schwachstelle ausnutzte, um andere Bluetooth-Geräte in Reichweite zu infizieren. Erst am 23. Januar 2009 ist ein neuer Schädling namens Backdoor.Mac.iWorm.a bekannt geworden. Dieser Schädling könnte mit der Absicht geschrieben worden sein, den Raubkopierern eine Lehre zu erteilen - dennoch, Malware ist und bleibt Malware.

Apples Umstieg auf die x86-Architektur im Jahr 2006 öffnete neue Wege: Niedrigere Preise und die Möglichkeit, Windows nativ auf Macintosh-Rechnern zu benutzen sprach eine breitere Zielgruppe an. Das Ergebnis: Eine stetig steigender Marktanteil, in Zahlen ausgedrückt: Ein Wachstum von 2,88% in 2004 auf über 10% Ende 2008. Die Kehrseite der Medaille: Die steigende Beliebtheit führte auch zu einem Anstieg an Schadprogrammen, welche es auf Macs abgesehen hat.

Obwohl die Anzahl an Malware an sich recht niedrig ist– insbesondere gegenüber Menge an Schadprogrammen für Windows – ist der sprunghafte Anstieg 2007 besorgniserregend. Sobald ein Betriebssystem eine kritische Grenze hinsichtlich seiner Verbreitung erreicht hat, gerät es auch in das Fadenkreuz der Malware-Autoren. Und diese haben es heutzutage auf Angriffe mit der Aussicht auf hohen Profit abgesehen.

Doch nicht nur die Computer selbst sind von diesem Risiko bedroht, auch Apples andere Produkte wie der iPod und das iPhone bieten mit ihrem Funktionsumfang und ihrer Netzwerk-Fähigkeit eine große Angriffsfläche für Malware.

Auch Mac-Besitzer müssen sich daran gewöhnen, durch regelmäßiges Updaten des Betriebssystems und der Anwendungen ihr System zu schützen. Insbesondere der iTunes Media-Player und Apple's Safari Browser haben in Vergangenheit durch Sicherheitslücken auf sich aufmerksam gemacht. Nichtsdestotrotz ist der Mac bis heute einer der sichersten Systeme und kann sich diesen Platz auch weiterhin erhalten, wenn das Thema Sicherheit auch in Zukunft als ernstzunehmendes Thema in den Köpfen der Anwender bleibt.

Happy Birthday Macintosh! Alles Gute – insbesondere Gesundheit – für die nächsten 25 Jahre!

Kido, das ist nicht witzig


  Costin       23 Januar 2009 | 12:38  MSK

Ihr Kommentar  

Am 13. Januar erhöhten wir das Alarmierungsniveau für die Kido-Familie auf Orange: moderates Risiko. Es ist schon eine Weile her, seit ein Netzwerkwurm der 'alten Schule' solches Aufsehen erregte - Kido's schaffte es nicht nur im Vertrauen auf die kritische Windows SMB Schwachstelle zur Verbreitung, er ging auch mit brachialer Gewalt gegen schwache Passwörter vor, um Zugang zu andern Maschinen im lokalen Netzwerk zu bekommen.

Deshalb (zusammen mit einigen andern Dingen) ist es äußerst schmerzhaft, Kido zu beseitigen. Wir haben deshalb beschlossen, ein frei erhältliches Tool zur Säuberung infizierter Maschinen bereit zu stellen.



Sie können unseren KidoKiller-Tool auf support.kaspersky.com bekommen.

Tun Sie sich keinen Zwang an und probieren Sie es aus.

Viren-Almanach (Nr. 12, Dezember 2008)


  Yury       21 Januar 2009 | 10:55  MSK

Ihr Kommentar  

Das vergangene Jahre endete mit alten Bekannten sowie ganz neuer Malware. In der Hitliste der Extremschädlinge für Dezember 2008 registrierten die Experten von Kaspersky Lab unter anderem neue Schadprogramme aus dem Bank-Bereich und für elektronische Geldsysteme. Der „kleinste Schädling“ zeigte sich resistent gegen seine Konkurrenz und konnte sich –noch einmal verkleinert – auf dem ersten Platz halten. Besonders unverwüstlich ist der Spitzenreiter in der Kategorie der „am weitesten verbreitete Familie unter Viren und Würmern“: Seit sieben Monaten hält sich hier Worm.Win32.AutoRun. Man darf also gespannt sein, wie sich die Hitliste der Extremviren im Jahr 2009 entwickeln wird.

  1. „Gierigster Schädling im Bank-Bereich“: Trojan.Win32.Qhost.gn. konnte sich gegen den Spitzenreiter des Vormonats durchsetzen. Er lenkte die Kunden von 39 Banken – ganze 19 mehr als der Vormonats-Sieger – auf eine Phising-Seite um.
  2. „Gierigster Schädling für elektronische Geldsysteme“: Trojan.Win32.Agent.eii erwies sich im Dezember als der aktivste Schädling dieser Kategorie. Er griff die Nutzer von drei elektronischen Geldsystemen gleichzeitig an.
  3. „Gierigster Schädling für Key Cards“: Auch hier ist der oben erwähnte Trojan.Win32.Agent.eii führend. Er richtete seine kriminelle Tätigkeit auch gegen die Kunden von vier Geldkartensystemen.
  4. „Bestversteckter Schädling“: Am besten versteckt hat sich im Dezember erneut eine Modifikation namens Trojan-PSW.Win32.LdPinch.auv. Diesmal war der Trojaner zehnfach von unterschiedlichen Komprimierungsprogrammen gepackt – zweimal mehr als im Vormonat.
  5. „Kleinster Schädling“: Der kleinste Schädling war im Dezember wieder Trojan.BAT.Shutdown.g. Ihm reichten gerade einmal 20 Byte aus, um die Computer seiner Opfer in die Knie zu zwingen.
  6. „Größter Schädling“: Im Dezember 2008 nimmt den Platz des größten Schädlings Trojan-Banker.Win32.Banbra.bby ein. Mit seinen 27 MB war er um 8 MB größer als sein Vorgänger im November.
  7. „Populärster Exploit“: Besonders aufgefallen im Dezember sind die Exploits für SWF-Schwachstellen. Der Anteil der SWF-Exploits lag bei zwölf Prozent der gesamten im Web entdeckten Malware.
  8. „Am weitesten im Netz verbreiteter Schädling“: Den Dezember-Ergebnissen zufolge verbreitete sich Trojan-Downloader.HTML.IFrame.wf. am weitesten. Er hatte einen Anteil von acht Prozent am insgesamt im Web entdeckten Schadode. Damit war er doppelt so verbreitet wie der Vormonats-Sieger.
  9. „Am weitesten verbreitete Familie unter den Trojanern“: Das Jahresende brachte auch hier eine Veränderung. Backdoor.Win32.Hupigon. trat mit 1.499 bis dato unbekannten Modifikationen in Erscheinung.
  10. „Am weitesten verbreitete Familie unter Viren und Würmern“: Last but not least zeigt sich Worm.Win32.AutoRun erneut siegreich gegen die monatliche Konkurrenz. Mit 312 Modifikationen wurde der Schädling wieder Spitzenreiter dieser Kategorie.

Die Google-Variable


  Bestuzhev        8 Januar 2009 | 14:49  MSK

Ihr Kommentar  
Drive-by Downloads haben sich im Laufe des Jahres 2008 mehr und mehr verbreitet. Da sich Webmaster immer mehr der wachsenden Sicherheitsprobleme bewusst werden, sind Cyber-Kriminelle ständig auf der Suche nach neuen Techniken, um sicherzustellen, dass ihre Schadprogramme so lang wie möglich überleben.

Und was wäre einfacher, als Google dafür zu nutzen? Heutzutage nutzt jeder Google – warum also sollte es ausgerechnet bei Virenschreibern anders sein? In letzter Zeit haben wir zunehmend Attacken registriert, die nach dem folgenden Muster arbeiten.

Die Schadprogrammschreiber starten zunächst eine Google-Suche, um beliebte Webseiten zu identifizieren. Die beliebtesten Seiten, die sich aus der Suche ergeben, werden dann einem Penetrationstest unterzogen, um Schwachstellen zu ermitteln. Die anfälligsten Webseiten werden dann kompromittiert, und um ihre Spuren zu verwischen, fügen die Schadprogrammschreiber den kompromittierten Seiten dann keinen Code in Form von neuen Dateien, ja nicht einmal verschleierten Code hinzu. Stattdessen modifizieren Sie einfach Skripts, die bereits auf den kompromittierten Seiten ausgeführt werden. In diesem Fall, enthalten die neuen Parameter, die dem bestehenden Skript hinzugefügt werden, die folgende Funktion: (--referer=http://www.google.com/).

Diese Funktion prüft, woher der Besucher der infizierten Seite gekommen ist. Wenn die Verbindung über einen Link in einer Google-Suche zustande kam, wird der Besucher automatisch zu einer Reihe von infizierten Webseiten weitergeleitet, die nichts mit der ursprünglichen Seite zu tun haben. Das Ergebnis: ein infizierter Computer.

Interessanterweise erfolgt die Weiterleitung nicht, wenn man den Namen einer infizierten Webseite ganz einfach eingibt. Dann wird keine der infizierten Skriptfunktionen ausgeführt und es wird ganz einfach die gewünschte Seite angezeigt. Dies dient dazu keinen Verdacht bei Webmastern, Angestellten und regelmäßigen Besuchern der Seite aufkommen zu lassen und trotzdem das Ziel der Cyber-Kriminellen zu erreichen:

  • nämlich möglichst viele Nutzer zu infizieren

  • und das schädliche Skript vor dem Webmaster zu verstecken, um eine längere Lebensdauer der Schadsoftware zu sichern.

Diese Art von Attacke schadet also nicht nur den Nutzern, sondern kann auch dazu führen, dass harmlose Webseiten von Security-Produkten auf die schwarze Liste gesetzt werden.

Es sind übrigens nicht nur Webseiten, die zur Erzielung guter Suchrankings optimiert wurden, die verwendet werden – die Cyber-Kriminellen zielen sogar speziell auf einige Security-Seiten ab. Beispielsweise waren besonders gefälschte Antivirus-Lösungen wie Antivirus XP im Gespräch. Wenn Sie Google verwenden, um Informationen zu diesem Thema zu suchen, bringen die Suchergebnisse viele verschiedene Seiten – das Problem dabei ist, dass wenn Sie auf eine Seite aus der Google-Ergebnisliste klicken, führt das modifizierte Skript auf dem gehackten Security-Server Antivirus 2010 auf Ihrem Computer aus.

Die Kompromittierung von Webseiten, die für Suchmaschinen optimiert wurden und dadurch die Infizierung von Nutzern über eine Reihe von bösartigen Umleitungen wird 2009 mit Sicherheit ein beliebtes Mittel für Attacken sein und wird den Webmastern so einiges Kopfzerbrechen bereiten.

Das zeigt wieder einmal, dass nichts im Internet so sicher ist, wie es scheint. Und um das gleich klarzustellen, nicht nur Google ist betroffen! Ich habe das Attacken-Szenario auch mit Yahoo! und MSN durchgespielt und das Ergebnis war dasselbe. Wir haben die Schadsoftware im oben erläuterten Beispiel als Trojan-Downloader.Win32.Fraudload.vffa identifiziert und wir werden sicher noch verschiedenste Varianten davon zu Gesicht bekommen. Halten Sie also Ihre Antivirus-Software auf dem neusten Stand!

 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com