News

News

Microsoft enttarnt Hintermänner des ZeuS Botnets

Nach Erfolgreichen Schlägen gegen ZeuS Botnetze im März konnte Microsoft nun zwei der Betreiber identifizieren. Sie sollen in den vergangenen fünf Jahren 75 Millionen Euro Schaden verursacht haben.

Millionen Rechner unter Kontrolle des ZeuS Trojaners

Obwohl die Domains der Kontroll-Server zweier Botnetze im März abgeschaltet wurden, sind von den ursprünglich 13 Millionen PCs immer noch mehrere Millionen mit dem ZeuS-Trojaner infiziert. Die Malware, die sich über Mails und Drive-by-Downloads verbreitet, hat es vor allem auf die Übernahme von Bankkonten abgesehen. Sie verwendet infizierte Rechner, um Phishing-Mails zu versenden und besitzt einen Keylogger, der sich automatisch aktiviert, sobald der Nutzer bestimmte Bankseiten aufruft. So gelangen die Betreiber an Zugangsdaten.

Zwei Beschuldigte in Haft

Zwei Verdächtige, Yevhen K. und Yuriy K., wurden nun in Großbritannien inhaftiert, die belastenden Unterlagen sollen dem FBI zur weiteren Untersuchung weitergegeben werden. Sie werden beschuldigt, das Botnetz betrieben und den ZeuS Trojaner zum Kauf angeboten zu haben. Microsoft geht davon aus, dass weitere Personen an ZeuS beteiligt waren, konnte diese jedoch nicht ausfindig machen. Der Konzern geht dennoch davon aus, einen Erfolg errungen zu haben. Das Ziel sei nicht die vollständige Abschaltung des Botnetzes, sondern die Einnahmequelle versiegen zu lassen. Das sei gelungen, so Microsoft. Die Anzahl der Neuinfizierungen habe sich nach der Abschaltung im März auf 340'000 pro Monat halbiert.

Trojaner löst Drucker-Chaos aus

Seit einigen Wochen sorgt der Computertrojaner "Trojan.Milicenso" für Probleme mit Druckern auf der ganzen Welt aus. Gelangt der Schädling unbemerkt auf das System, greift er auf den Drucker zu und lässt diesen nicht mehr stillstehen.

Längere Zeit bekannt

Der Trojaner sorgt seit Anfang Juni 2012 vermehrt für Ärger in Büros und bei Privatpersonen. Bekannt ist die Malware hingegen schon seit 2010, zu diesem Zeitpunkt wurde sie erstmals vom Antiviren-Experten Symantec gesichtet.
Die Aufgabe des Trojaners ist eigentlich nur die Einblendung ungewollter Werbebanner auf dem Computer. Die Tatsache, dass "Trojan.Milicenso" derzeit Angst und Schrecken unter Besitzern von Druckern auslöst, war vom Autor vermutlich niemals geplant. Dafür sorgen nach Angaben von Symantec ungewollte Veränderungen an der Malware. Das Ausdrucken von Buchstaben in unleserlicher Reihenfolge und Form ist anscheinend nur ein Nebeneffekt.
Der Schädling entpackt auf dem Computer eine Datei, die sich in die Warteschlange für den Drucker einnistet. Windows erkennt daraus einen Auftrag für den Drucker und druckt das unendlich lange Skript aus. Ein Ende findet der Drucker erst, wenn entweder die Tinte oder aber das Papier nicht mehr zur Verfügung steht.

Weltweit verbreitet

Zunächst hat "Trojan.Milicenso" lediglich Computer in den Vereinigten Staaten befallen. Neben den USA ist inzwischen auch Indien stark betroffen. Vermehrt wird der Trojaner auch in Europa und Südamerika entdeckt. Betroffen sind in Europa neben Deutschland und Frankreich auch Großbritannien und Italien.
Verbreitung findet der Schädling über E-Mail-Anhänge, aber auch Internetseiten, die bedenkliche Skripte hosten, verteilen "Trojan.Milicenso" derzeit sehr schnell.

Veränderte Variante

Antivirenprogramme haben derzeit noch große Schwierigkeiten, den Trojaner unschädlich zu machen. Erst vor einigen Tagen entdecken Programmierer eine neue Variante des "Trojan.Milicenso". Für Schutzprogramme ist die neue Variante deutlich schwerer zu erkennen. Die Autoren des Schädlings arbeitet vermutlich weiter intensiv daran, den Trojaner weltweit weiter zu verbreiten.

Virenscanner übersehen alte PDF-Exploits

Eine seit über einem Jahr bekannte Sicherheitslücke in PDF-Dokumenten kann offenbar so manchen Virenscanner aus dem Tritt bringen. Dass neue Viren, die gerade erst entdeckt wurden, dies tun, ist ja nicht verwunderlich und auch nicht ungewöhnlich. Dass der jetzt ins Rampenlicht gerückte Exploit allerdings bereits seit 2011 bekannt ist und dennoch von Virenscannern unentdeckt bleibt, überrascht dann schon etwas.

Überraschende Entdeckung

Bekannt wurde der Fall nun, da der Sicherheitsforscher Brandon Dixon eine präparierte Datei erzeugt hat, die genau dies tut. Der Exploit ist dabei nicht direkt in der PDF-Datei, sondern er versteckt sich in der XDP-Datei innerhalb des Dokumentes. Mittels dieser Datei kann so gut wie jeder moderne Virenscanner umgegangen werden. Das verwunderliche ist dabei, dass die Hersteller von Antivirussoftware sonst sofort auf Schwachstellen im Adobe Acrobat Reader reagieren.

Was ist XDP eigentlich?

XDP ist ein, dem XML ähnliches, Dateiformat, welches sämtlichen Text und Code eines PDFs in einem base64-kodierten Datenstrom enthält. Diese Datei kann man dann ganz normal mit dem Reader öffnen und lesen. Dixon spielte mit diesem Dateityp herum und schleuste einen Exploit ein, der nur von einem der über 42 Virenscanner auf Virustotal.com überhaupt erkannt wurde.

Nach dieser überraschenden Erkenntnis lies Dixon seiner Empörung in seinem Blog freien Lauf. Er meint, dass solche Sicherheitslücken längst hätten geschlossen sein müssen und dass er bereits im Frühjahr 2011 auf diese Lücke aufmerksam gemacht wurde. Wer auf Nummer sicher gehen will, sollte seinen Reader aktuell halten und vorerst einen Bogen um XDP-Dokumente machen.

Der große Test - Sicherheits-Software fürs Internet

Nachstehende Produkte wurden auf einem handelsueblichen PC, Betriebssystem Windows 7 Home Premium 64-Bit Version, und SP 1 getestet. Der Test fand im Mai 2012 statt, als Einstellungen wurden die Standardvorgaben der Programme verwendet.

  • AhnLabV3 Internet Security 8.0
  • Avast! Internet Security 7.0
  • AVG Internet Security 2012
  • AVIRA Internet Security 2012
  • Bitdefender Internet Security 2012
  • ESET Smart Security 5.0
  • F-Secure Internet Security 2012
  • Fortinet FortiClient Lite Premium 4.2
  • G DATA Internet Security 2013
  • GFI Vipre Internet Security 2012
  • Kaspersky Internet Security 2012
  • McAfee Internet Security 2012
  • Panda Internet Security 2012
  • PC Tools Internet Security 2012
  • Oihoo 360 Security 3.0
  • Sophos Endpoint Security 10.0
  • Tencent 00 PC Manager 6.6
  • Trend Micro Titanium Internet Security 2012
  • Webroot SecureAnywhere Complete 2012

Getestet wurde das Verhalten mit der PC Mark 7 Professional Testing Suite. Testablauf Beim Dateidownload aus dem Internet, waren alle Programme annähernd gleich schnell. Bei der Sicherung und beim Löschen von Dateien, wurden von fast allen Programmen sämtliche Dateitypen erkannt. Die En-und Transcodierung wurde von allen Produkten sehr schnell durchgeführt. Das Installieren und Deinstallieren von Programmen, führte bei der Zeitnehmung zu gemischten Ergebnissen, wie unten beschrieben. Zur Feststellung der Reaktionszeit wurden sehr große Dateien als Office- und PDF Dokumente geöffnet und geschlossen. Die Zeit vom Öffnen des Dokuments bis zur Ansicht am Monitor wurde gemessen, Ergebnisse finden sich im nachstehenden Resultat. Beim Kopieren von Dateien lieferten alle Programme ein sehr schnelles Ergebnis. Das Resultat der Tests Die Ergebnisse hängen stark von den jeweiligen Prioritäts-Einstellungen der verschiedenen Internet Sicherheitssoftware ab. Einige Programme würden lediglich eine kleine Änderung der Faktoren benötigen, um mit dem Rest gleichzuziehen. Im Gegenzug würden die Leistung anderer Software abnehmen, wenn bei diesen die Einstellungen gegenteilig geändert werden. Zur Auswertung wurden die manuellen Messergebnisse mit den Ergebnissen des PC Mark Score kombiniert und führten zu folgenden Resultaten und Punkteständen: 1. Webroot 187.8 ++ 2. Avast 187.7 ++ 3. ESET 187.6 ++ 4. AVIRA 187.4 ++ 5. Sophos 187.4 ++ 6. Oihoo 187.2 ++ 7. Tencent 187.1 ++ 8. F-Secure 186.8 ++ 9. Panda 186.8 ++ 10. Bitdefender 186.6 ++ 11. Kaspersky 186.6 ++ 12. AVG 186.5 ++ 13. eScan 184.1 + 14. AhnLab 181.0 + 15. McAfee 180.8 + 16. GFI 176.0 + 17. Trend Micro 174.7 + 18. G DATA 174.0 + 19. Fortinet 161.0 20. PC Tools 159.1 Die mit ++ gekennzeichneten Programme erhalten ein Ausgezeichnet. Programme mit + sind Sehr gut. Andere Programme Standard.

Hacker erweitern ihren Angriffsfokus: iOS und Android im Visier

In der Zeit der Smartphones und Tablet-PCs sind für Hacker nicht mehr nur Windows-Rechner relevant. Auch Android und iOs- Geräte geraten nun ins Visier, denn diese werden nicht ausschließlich von Privatpersonen sondern auch immer häufiger von Firmen genutzt. Mit Hilfe einer ausgefeilten Phishing-Methode können so mobile Geräte unabhängig vom Betriebssystem sowie sogar Mac-Rechner befallen werden.

Was sind die Gründe für diese Ausweitung der Angriffe?

Abgesehen von dem oben genannten Grund, dass nun auch Firmen Smartphones und Tablets für interne Zwecke nutzen, gibt es noch weitere Gründe.
Der erste ist, dass Windows die Sicherheitsstandards erhöht hat und es den Cyberspionen immer schwieriger macht, an die Daten heranzukommen, die sie gerne hätten. Bisher war es lukrativer, sich auf Windows-Rechner zu konzentrieren, denn diese wurde auch von den meisten Menschen genutzt. Nun, da die Anzahl der Apple-Nutzer steigt (und folglich die der Windows-Nutzer sinkt), müssen auch Hacker ihren Fokus erweitern um die Zahl der potentiellen Opfer möglichst hoch zu halten.

Welche Arten von Viren bzw Programmen erwarten uns?

Der neue Trojaner "Opfake" befällt die meisten gängigen Betriebssysteme wie Windows, Android, iOS, Symbian etc, während ein Trojaner namens "Flashback" hauptsächlich Mac-PCs zu infizieren scheint.
Auch das agieren und Ausspionieren der Daten mittels Programme im Browser wird immer beliebter unter Hackern. So gibt es beispielsweise Neloweg, einen Bot der allerdings Windows-spezifisch ist.

Windows-User dennoch nicht sicher

Obwohl der Fokus der Angriffe auf mobile Plattformen, iOS und anderes erweitert wird, sollte man sich als Windows-Nutzer nun nicht unbedingt auf der sicheren Seite fühlen. Denn es gab ja einen Grund, warum Windows unter Hackern noch immer das beliebteste Angriffsziel ist und wohl auch noch eine Zeit bleiben wird.
Dass Apple und andere Systeme nicht ewig von Virenbefällen, Spyware und Würmern verschont bleiben, war auch abzusehen.
In jedem Falle gilt: Ein gutes, aktuelles Antivirenprogramm ist unersetzlich.