Bei Stuxnet gespickt
Eine nahezu perfekte Nachahmung einer Youtube-Seite nötigt zur Installation eines unsignierten Java-Applets. Dieses entpuppt sich jedoch als Malware-Downloader. Es lädt ein Trojanisches Pferd auf den Rechner, das sich mit dem gleichen Trick wie Stuxnet Administratorrechte verschafft.
Die Masche mit Links zu vorgeblichen Video-Seiten gehört wohl zu den beliebtesten Tricks zur Verbreitung von Malware. Meist wird ein vorgebliches Update für den Flash Player angeboten, das angeblich nötig ist, um das Video anzuzeigen. Eine andere, selten genutzte Variante ist der Umweg über ein Java-Applet.
Loredana Botezatu berichtet im Malware City Blog des Antivirusherstellers Bitdefender über einen solchen, kürzlich entdeckten Fall. Eine recht genaue Imitation einer Youtube-Seite fordert zur Installation eines Java-Applets auf – vorgeblich um das Video abspielen zu können.
Doch kaum ist das unsignierte Java-Applet geladen, verbindet es sich mit einem Web-Server und lädt einen weiteren Schädling herunter. Bitdefender bezeichnet ihn als "Trojan.Generic.KDV.128306". Dieser nimmt via IRC Kontakt zu seinem Herrn und Meister auf. Er erhält Anweisungen, um weitere schädliche Dateien herunter zu laden.
Eines dieser Module kann Nachrichten über den Facebook-Chat verbreiten, wenn der Benutzer dort angemeldet ist. Es kann außerdem Unterhaltungen über verschiedene Instant Messenger protokollieren. Ein zweites Modul sorgt für die Verbreitung des Schädlings über USB-Sticks, ein drittes leitet den Web-Browser bei an Google und Bing geschickten Suchanfragen um.
Die Programmierer des Schädlings haben offenbar beim Sabotage-Wurm Stuxnet abgekupfert. Dieser nutzt eine inzwischen gestopfte Sicherheitslücke im Windows Taskplaner (MS10-092) aus, um sich Administratorrechte zu verschaffen, wenn der Benutzer nur über eingeschränkte Berechtigungen verfügt. Wer das automatische Windows Update benutzt, dessen PC ist seit dem Microsoft Patch Day im Dezember 2010 davor geschützt.
Donnerstag, 24. Februar 2011
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen