| |
Home / Weblog / Oktober 2009
Analytiker-Tagebuch
Gumblar - Verbreitung einer Infektion |
|
Um den 20. Oktober herum erhielten wir von unserem Büro in der Türkei einige Mails über „die mögliche Ausbreitung eines neuen Virus.“ Und unsere Kollegen hatten recht: Etwas war im Gange. Einige Tage vorher davor, am 16. Oktober, hatten wir Veränderungen auf einigen Webseiten festgestellt registriert, die wir seit Mai 2009 beobachtet überwacht hatten, als sich „gumblar“ ausbreitete. Verbreitung von Während im April/Mai der Angriff nur mit Iframes funktionierte, die auf zwei Schad-Webseiten umleiteten (gumblar.cn, martuz.cn), sind dieses Mal die ausbreitenden Server weiter verbreitet - wir haben mehr als 202 Standorte identifiziert. Es folgt die Top-20-Liste der Länder mit infizierten Hosts, welche auf diese Schad-URLs leiten.
7271 VEREINIGTE STAATEN VON AMERIKA
704 RUSSISCHE FÖDERATION
675 REPUBLIK KOREA
619 ISLAMISCHE REPUBLIK IRAN
540 TÜRKEI
510 DEUTSHLAND
499 INDIEN
487 JAPAN
400 THAILAND
382 POLEN
379 BRASILIEN
345 ARGENTINIEN
298 TSCHECHISCHE REPUBLIK
187 UNGARN
182 BELGIEN
173 ITALIEN
163 RUMÄNIEN
159 UKRAINE
157 FRANKREICH
117 VIETNAM
*Hinweis: Die US-Zählung enthält mehr als 4000 Einträge, die auf eine persische Blog-Seite leiten, welche wahrscheinlich der bisher größte missbrauchte Eintrag gewesen ist. Unter den infizierten Hosts befanden sich auch viele .gov-Maschinen. Gegenwärtig zählen wir nicht weniger als 71 .gov-Einträge, 47 davon befinden sich in der Türkei. Wir sehen auch etwa 65 .edu sites und ca. 79 .ac domains, die hauptsächlich über Thailand, Indien und Korea verbreitet sind. Eine gründlichere Analyse der Zählungen in Japan hat mindestens 487 infizierte Seiten offenbart, davon sind noch 357 mit Schad-URLs infiziert, während dieser Beitrag hier geschrieben wird. Einige geschätzte Zugriffs-Zahlen:
21760 www.es***ne.com
20823 www.sport***.mk
19574 www.fortun***.ru
11937 www.***jinja.or.jp
10434 www.***land*.it
Für eine Woche hat unsere Kumulativzählung insgesamt 443748 Zugriffstreffer gezeigt, und das ist nur ein Teil des gesamten Geschehens. Während mehrerer Tage, nachdem wir diese neue Bedrohung festgestellt und unsere Angaben um die Aufdeckung der Schad-Dateien, die auf Adobe Reader und Flash Player zielen, ergänzt hatten, wurde in IT-Sicherheitskreisen überraschenderweise wenig darüber gesprochen. Es brauchte einige Zeit, bis 'new gumblar' in größerem Maßstab erkannt wurde, und viele scheinen ihn immer noch nicht erkannt zu haben. Er ist jedoch in der Tat sehr aktiv, und als Nebenwirkung sind verschiedene PC-Händler-Suppportlines mit Fragen bezüglich plötzlicher Neustarts usw. überschüttet worden. Es wird auch darüber berichtet, dass Rechner, die mit einer Schadversion von gumblar infiziert sind, nicht vollständig hochgefahren werden können, der Bildschirm bleibt schwarz, und nur der Mauszeiger ist zu sehen. Natürlich sind die oben angegebenen Zahlen nicht endgültig, und sie steigen jeden Tag.
Ein “Black Hat” verliert die Kontrolle |
|
Die Urheber bösartiger Software versuchen immer, ihre Identität zu verschleiern, richtig? Falsch! Sogar einige der heute tätigen Online-Kriminellen mit Geschäftsabsichten enthüllen ihre Identität. Wir sind etwas überrascht, aber hier ist die Geschichte eines “Black Hat” der seine Identität preisgab und jetzt versucht “Schadenersatz” für die Recherchen Kasperskys zu bekommen. Vor kurzem beschäftigten wir uns mit einem neuen Dienst für Malware-Programmierer: [avtracker dot info]. Es handelt sich um einen Online-Dienst für die Verfolgung von Antivirus-Software-Herstellern. Die Homepage von [avtracker dot info] beschreibt den Dienst, welcher den Schutz von Schadprogrammen gegen die Überprüfung durch Programme zum Aufspüren von Malware beschreibt und ruft außerdem zu einem DDoS-Angriff gegen Antivirus-Unternehmen auf: 
Zusätzlich haben einige unserer Forscher ein Network Request zur Verfügung gestellt, welches dazu benutzt wurde, um Informationen an [avtracker dot info] zurück zu geben. Dieser Request wurde in einem speziellen Spionageprogramm verwendet, welche vom [avtracker dot info] Inhaber an verschiedene Antiviren-Labs versendet wurde. Bei Ausführung des Programms kontaktiert dieses den Eigentümer und beschreibt die Umgebung des infizierten Systems. Wir haben etwas mit diesem Request gespielt und verschiedene Nutzernamen- und Systemparameter durch zufällige Zahlen- und Buchstabenfolgen ersetzt. Der WHOIS Eintrag war nicht hilfreich – [avtracker dot info] war anonym registriert worden. Dies war nicht überraschend. Online-Kriminelle registrieren Domains meistens anonym, um ihre Identifizierung zu erschweren. So weit nichts Außergewöhnliches – ein normaler Tag im Leben eines Antiviren-Software-Unternehmens. Und dann…Überraschung! Der Inhaber der Dienstes für Malware Programmierer kontaktierte uns und enthüllte seine Identität. Obendrein verlangte er ein Lösegeld von 2000 Euro als Kompensation seines Schadens, der bei unserem Versuch entstand, sein neues Spielzeug zu “zerstören”. Während wir dies schreiben, haben wir das Spionageprogamm erhalten, in dessen Programmcode die folgende Nachricht enthalten war, welche auf dieselbe Person hinwies, die uns kontaktiert hatte: 
Natürlich haben wir alle relevanten Daten unserem Anwalt übergeben, welcher nun die weiteren Schritte unternehmen wird. Wären alle Online-Kriminelle so kooperativ, wäre das Leben eines Antivirus-Unternehmens bedeutend einfacher.
Viren-Almanach (Nr. 9, September 2009) |
|
- Die Top-Drei-Länder, in denen am meisten schädliche URLs gefunden wurden.
Spitzenreiter ist Kanada, dort tauchten über 21% aller schädlichen Links weltweit auf.
Auf dem zweiten Platz befinden sich die USA mit 16%, auf
Platz drei China mit 15%.
- Die Top-Drei-Länder mit den meisten Webseiten, über die schädliche Objekte verbreitet wurden.
China belegt in dieser Kategorie Platz eins – mit 26% aller infizierten Webseiten weltweit.
Platz zwei geht an die USA mit 18%.
Auf dem dritten Platz liegt Russland mit 12%.
- Die Webseite, über die die meisten Schadprogramme verbreitet wurden.
langlangdoor.com – diese Adresse ist der Grund für 1,62% aller infizierten Computer weltweit. Bei der Webseite handelt es sich um ein chinesisches Portal, auf dem pornographische Inhalte angeboten werden. Immer noch ein geeignetes Mittel (Social-Engineering-Trick), um zahlreiche Anwender auf infizierte Webseiten zu locken.
Über langlangdoor.com wurden vor allem Trojaner verbreitet, die zum größten Teil zu den Familien Trojan-Downloader.Win32.Agent und Trojan.Win32.StartPage gehören. - Die Webseite, über die die meisten unterschiedlichen Schädlinge verbreitet wurden.
gddsz.store.qq.com – Über diese Internetseite wurden insgesamt 1.142 Schadprogramme verbreitet, darunter befanden sich nahezu alle erdenklichen Arten von Malware.
- Der größte Schädling
Trojan.Win32.Chifrax.d mit 388 MB. Von diesem Trojaner wurden zahlreiche Modifikationen registriert, die allesamt größer sind als 300 MB. - Der kleinste Schädling
Trojan.BAT.Shutdown.ab mit 30 Byte. Dieser Schädling ist Teil eines anderen Trojaners, mit dessen Hilfe Anwendercomputer infiltriert werden. - Die größte Schwachstelle auf Anwendercomputern
Adobe Flash Player Multiple Vulnerabilities, die erstmals Ende Juli dieses Jahres entdeckt wurden. Mittels dieser Schwachstellen können Cyberkriminelle auf Anwendersysteme zugreifen und dort willkürlich Codes ausführen, vertrauliche Daten anzapfen und das Sicherheitssystem umgehen. Weitere Informationen zu den Adobe-Lücken inkl. Tipps, wie man diese schließt, sind verfügbar unter: http://www.viruslist.com/en/advisories/35948 - Der populärstes Exploit
Exploit.JS.DirektShow.a. Exploits dieser Familie nutzen in Verbindung mit dem Exploit.Win32.DirektShow eine gefährliche Sicherheitslücke im Internet Explorer (Versionen 6 und 7) und sind in letzter Zeit im Internet weit verbreitet. - Der am weitesten im Netz verbreitete Schädling
Packed.Win32.TDSS.z, der im Laufe eines Monats versucht hat, Anwendercomputer in 108 verschiedenen Ländern zu befallen. - Scherzprogramm des Monats (so genannter Hoax – ein Programm ohne schädliche Funktion, das Anwender allerdings erschrickt oder von der Arbeit abhält.)
Hoax.JS.Agent.c – der Hoax mit dem größten Aufkommen. Dieses Programm zeigt ein Videofragment mit anstößigem Inhalt und überhäuft den Anwender mit beleidigenden Mitteilungen, die sich nicht abstellen lassen.
| |
