Der russische Sicherheitsspezialist Dr.Web hat die Bedrohungen im Netz analysiert. Auch im Juli 2009 waren die meisten Angriffe auf Sicherheitslücken in Windows und in anderen gängigen Softwarepaketen gerichtet. Trotz zurückgehender Virenaktivität im E-Mail-Verkehr arbeiten Virenschreiber ständig daran, die Aufmerksamkeit der Anwender mit ihren Mails zu gewinnen.

1. J.S.Gumblar

Wie bereits im gesamten ersten Halbjahr 2009, entwickelte sich auch im Juli 2009 JS.Gumblar zu einer ernsthaften Bedrohung. Die Grafik nebenan zeigt die zunehmende Verbreitung dieser Gefahr in Russland. Dem Diagramm ist zu entnehmen, dass die Virenaktivität am 28. Mai 2009 ihren Spitzenwert erreichte und zu diesem Zeitpunkt einen 13,7prozentigen Anteil unter allen Malware-Websites einnahm. In der Zwischenzeit ging die Verbreitungsgeschwindigkeit von JS.Gumblar zurück, dennoch bleibt die Bedrohung bis jetzt aktuell.

2. Trojan.Hosts

Die Trojan.Hosts-Familie ist bereits mehrmals als digitale Seuche ausgebrochen. Insbesondere in der weit verbreiteten Nachricht über offen gelegte Passwörter für Tausende Benutzerkonten des beliebten russischen sozialen Netzwerks Vkontakte.ru geht es um Phishing-Malware, die Daten sammelt. Dies ist aber nach Ansicht der Experten nur die Spitze des Eisbergs. Momentan zählt die Trojan.Hosts-Familie mehrere Hunderte Exemplare. Bei vielen werden vergleichbare Methoden zur Erhebung von Benutzerdaten verwendet. Die Virenforscher von Dr.Web befürchten, dass die Zahl der geklauten Benutzerdaten weit höher ist als bisher gemeldet. Die oben angeführten Zahlen gelten nur für Vkontakte.ru.

Im Falle einer Infizierung mit diesem trojanischen Pferd muss die hosts-Datei im Verzeichnis C:\WINDOWS\system32drivers\etc editiert werden. Zudem müssen in dieser Datei der Header, die Zeile "127.0.0.1 localhost" sowie weitere Zeilen, die persönlich eingetragen wurden, unverändert bleiben. Andere Zeilen müssen entfernt werden.

3. FlashBack

Mitte des Monats Juli 2009 war durch die Aktivität von Varianten der Win32.HLLM.MyDoom-Familie gekennzeichnet. Eine solche Situation war zuletzt 2004 zu beobachten. Gegenwärtig werden sie bei massenhaften DDoS-Angriffen gegen südkoreanische und amerikanische Websites verwendet. Auf dem Bild daneben sind Daten aus der Konfigurationsdatei für eine Virus-Komponente angeführt, die unmittelbar eine DDoS-Attacke durchführt (detektiert als DDoS.Config).

Derzeit beteiligen sich Zehntausende infizierte Computer an Angriffen gegen Websites von Behörden in den USA und Südkorea. Als Beispiel lassen sich whitehouse.gov, nsa.gov, president.go.kr und viele andere anführen. Neue Modifikationen werden hauptsächlich per Anhang in Spam-Mails verbreitet. So kann der in Vergessenheit geratene Schädling massenhafte Angriffe durchführen.

4. Mobiles Botnetz

Im Juli 2009 ist ferner ein neuer Wurm für mobile Endgeräte unter Symbian Series 60 3rd Edition aufgetaucht. Der Wurm verbreitet sich als gutartige Software. Infizierte mobile Endgeräte verschicken SMS-Spam im Namen des Besitzers an die im Adressbuch eingetragenen Personen. In einer solchen SMS-Nachricht wird dazu aufgefordert, auf einen Link zu klicken, der auf eine Malware-Website umleitet.

Mit diesem Schädling entstand die ganze Symbian.Worm-Familie, die als Symbian.Worm.1 detektiert wird. Besonders interessant ist dabei die Tatsache, dass der bösartige Download über eine digitale Signatur von Symbian Signed verfügt. Dieses Zertifikat wurde durch Symbian bereits zurückgenommen. Die entsprechende Pressemeldung findet sich auch im Blog des Unternehmens.

Symbian.Worm.1 stiehlt persönliche Teilnehmer-Daten und versendet diese an entfernte Server. Die SMS-Templates zum böswilligen Versand können bei der Internetverbindung aktualisiert werden. Es entsteht im Endeffekt ein "mobiles Botnetz", das von Cyber-Kriminellen betrieben wird und für diese persönliche Daten infizierter Anwender kapert.

5. Exploits

Anfang Juli wurde eine ernsthafte Anfälligkeit in einer der Komponenten von Microsoft DirectX entdeckt. Diese Komponente kommt in MS Internet Explorer 6 und 7 zum Einsatz. Bedroht waren alle Nutzer von Windows 2000/2003/XP (einschließlich aller letzten Updates und x64-Versionen dieser Betriebssysteme). Dabei wurde das Video in der ActiveX-Komponente msVidCtl.dll inkorrekt bearbeitet. Diese Sicherheitslücke kann zur Verbreitung von Malware über entsprechende Websites genutzt werden. Alle entdeckten Exploits, die diese Anfälligkeit ausnutzen, fallen unter Exploit.DirectShow.

Eine vergleichbare Schwachstelle wurde auch in der "Office Web Components Spreadshee"- ActiveX-Komponente entdeckt. Wegen dieses Fehlers konnten Daten in msDataSourceObject() nicht richtig bearbeitet werden. Alle aufgespürten Exploits dieser Art gehören nach Klassifikation von Dr.Web zur Exploit.SpreadSheet-Familie.

Auch die aktuelle Version von Firefox haben die Übeltäter ins Visier genommen. Mitte Juli wurde ein Fehler bei der Bearbeitung von Javascript-Szenarien entdeckt, der den Speicher des Just-in-Time-Compilers beschädigt. Alle entdeckten Exploits solcher Art fallen nach Ansicht von Dr.Web unter Exploit.Mozilla.

Ende Juli 2009 wurde auch eine Schwachstelle in Adobe-Produkten (Reader, Acrobat und Flash Player) entdeckt. Die Bibliothek authplay.dll, die SWF-Dateien in PDF-Dokumenten bearbeitet, erwies sich als anfällig. Sie ist beim Öffnen eines erstellten PDF-Dokuments sowie Aufrufen von Malware-Websites, die diese Schwachstelle ausnutzen, beteiligt. Alle entdeckten böswilligen PDF-Dateien gehören zur Exploit.PDF-Familie.

Anfang August 2009 war die Sicherheitslücke noch nicht geschlossen. Alle oben genannten Vulnerabilities wurden zur Virenverbreitung über spezielle Websites aktiv ausgenutzt. Für alle diese Schwachstelle sind bereits Patches verfügbar. Es wird deshalb dringend empfohlen, alle verfügbaren Updates zu installieren.

6. Wurm Win32.HLLW.Facebook in Twitter

Die Aktivität von Win32.HLLW.Facebook (Koobface) zeigte sich im Juli 2009 wiederholt bei Twitter. Vor Win32.HLLW.Facebook warnen auch die Betreiber dieses Netzwerks. Die Virenanalysten von Dr.Web stellten fest, dass alle Modifikationen von Win32.HLLW.Facebook zahlenmäßig sehr gering sind. Die grundlegenden Funktionsalgorithmen des Schädlings haben keine Änderungen erfahren. Dadurch konnte er effektiv mit der Technologie Origins Tracing. aufgespürt werden. Nun werden die meisten neuen Varianten als Win32.HLLW.Facebook.origin detektiert.

7. Trojan.Winlock

Trojaner, die Windows blockieren, haben sich im Juli 2009 weiter verbreitet. Die meisten Schädlinge waren als Antivirenprodukte getarnt.

8. E-Mail-Viren und Phishing

Im Juli 2009 wurde Malware via E-Mail in geringerem Maße verbreitet als zuvor. Stattdessen tauchten Werbe-Mails für Medizin und Arzneimittel immer öfter auf. Es gab auch Fälle, wo solche Dienste wie Google Groups, Yahoo Groups, LiveJournal zum Hosten des Werbemülls verwendet wurden. Ansonsten war letzten Monat wenig Malware in der Spam-Flut anzutreffen. Eine Ausnahme bildet IRC.Flood.702, der als E-Card via ICQ verbreitet wurde.

Im Rahmen von E-Cards wurde die BAT.Hosts-Familie gestreut. Die Malware fügte dabei irreguläre Zeilen in die hosts-Systemdatei ein. Wenn der Anwender eine Homepage öffnen wollte, wurde er auf Phishing-Websites weitergeleitet. Solche Tricks zielten insbesondere auf Kunden spanischer Banken ab. Die entsprechenden Mails waren auch in spanischer Sprache verfasst. Unter den Phishing-Opfern waren im Juli auch Nutzer des Auktionshauses eBay und Kunden von America Online anzutreffen. Unter weiteren Phishing-Opfern waren Kunden solcher amerikanischer Banken wie Comerica Bank, Ally Bank und USAA.

Die Cyber-Kriminellen haben auch den Tod von Michael Jackson sowie die damit verbundenen Ereignisse ausgenutzt. Anstatt versprochener Hintergrundinformationen zu diesem Ereignis wurde ein Link versendet, der auf eine Malware-Website mit der nächsten Variante von Trojan.PWS.Panda.122 weiterleitete. (rw)