Contact
QR code for the current URL

Story Box-ID: 418553

G DATA CyberDefense AG Königsallee 178 44799 Bochum, Germany http://www.gdata.de
Contact Ms Kathrin Beckert +49 234 9762376

Löchrige Browser-Plugins werden zur Gefahr

50 Prozent der Top 10 Schädlinge haben es auf Java-Sicherheitslücken abgesehen

(PresseBox) (Bochum, )
Die aktuellen Analysen der G Data SecurityLabs zeigen, dass OnlineKriminelle bei der Verbreitung von Computerschädlingen immer stärker auf nicht geschlossene Java-Sicherheitslücken setzen. Im gesamten ersten Quartal dominierten entsprechende Schädlinge die Malware-Charts. Allein im vergangenen Monat waren gleich fünf Trojanische Pferde in der Malware Top 10 vertreten, die es auf Schwachstellen in Java oder Java-Skript abgesehen haben. Eine Zunahme verzeichnet der deutsche Hersteller zudem bei manipulierten Webseiten-Rankings durch sog. Clickjacking. Ziel dieser Masche ist es, Nutzer von Suchmaschinen oder sozialen Netzwerken auf infizierte Internetseiten zu locken. In den kommenden Monaten rechnet G Data mit einem weite-ren Ausbau beider Strategien.

Nicht geschlossene Sicherheitslücken bei Browser-Plugins spielen bei der Infektion von Windows-Systemen eine immer größere Rolle. Seit Ende vergangenen Jahres schießt die Malware-Industrie sich auf Schwachstellen in Java ein. „Anwender sollten daher die automatische Java-Update Funktion nicht deaktivieren und alle Patches umgehend einspielen. Eine Prüfung der installierten Java-Programmversion ist einfach und schnell auf der Webseite http://www.java.com/... gemacht“, so Ralf Benzmüller, Leiter der G Data SecurityLabs. „Seit Monaten beobachten wir zudem einen Anstieg von Computerschädlingen, die Klicks auf Webseiten so manipulieren, dass dadurch z.B. Webseiten-Rankings verbessert werden. Durch solche Clickjacking-Attacken machen sich Schadcode-Seiten in Suchmaschinen und sozialen Netzwerken vertrauenswürdiger als sie es sind.“

Clickjacking: Webseiten-Rankings locken auf gefährliche Inhalte
Die Manipulation von Webseiten-Rankings bei Suchmaschinen (SEO) und sozialen Netzwerken liegt bei Online-Kriminellen voll im Trend. Durch sogenanntes Clickjacking in sozialen Netzwerken versuchen die Täter mit Schadcode infizierte Webseiten oder Abzockseiten in den Ranglisten auf die oberen Plätze zu bringen. Mit Trojan.JS.Clickjack schaffte es im März 2011 ein derartiger Schädling in die unrühmliche Malware Top 10. Vom Anwender unbemerkt generiert dieser beim Besuch präparierter Internetseiten Klicks auf Facebook „Gefällt mir“ Buttons. So gelangen beispielsweise vermeintliche Promi-Seiten bei entsprechenden Suchanfragen in das Top-Ranking des Anbieters.

(Top 10 der der Computerschädling im März 2011: siehe Infografik/Tabelle)

-----------------------------------------------------------------------

Methodik
Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G Data Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet.


Informationen zu den Schädlingen der Malware-Top 10
Trojan.Wimad.Gen.1
Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infi-zierten Audiodateien verbreiten sich hauptsächlich über P2P- Netzwerke.

Java.Trojan.Downloader.OpenConnection.AI
Dieser Trojan Downloader ist in manipulierten Java-Applets auf Webseiten zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware enthalten. Der Downloader nutzt die Schwachstelle CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Win32.Ramnit.N
Win32.Ramnit.N ist ein klassischer Datei-Infektor, der ausführbare Dataien (.exe), dynamische Biblio-theken (.dll) und auf der Festplatte gespeicherte HTML-Dateien infiziert. Nach der Ausführung einer in-fizierten .exe-Datei / Laden einer infizierten .dll-Datei wird eine weitere .exe Datei auf den Rechner ko-piert. Zusätzlich wird ein Autostart-Eintrag angelegt, um die infizierte Datei bei jedem Neustart wieder zu aktivieren. Der Infektor verbindet sich per http oder https zu einigen Servern. Das Kommunikationsprotoll weicht aber vom Standard ab.

Der Infektor durchsucht regelmäßig jeden lokalen Ordner auf der Festplatte und infiziert einige, wenn auch nicht alle, .exe-Dateien, .dll-Dateien und HTML-Dateien mit einem Dropper. Dieser kopiert den gleichen Datei-Infektor, wie die ursprünglich infizierte Datei. Infizierte HTML-Dateien enthalten ein VB-Skript , das den Infektor kopiert, wenn ein Nutzer die Webseite im IE Browser öffnet, jedoch fragt der IE schon ab Version 6.0, ob das Skript wirklich ausgeführt werden soll.

Worm.Autorun.VHG
Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Trojan.AutorunINF.Gen
Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Java.Trojan.Downloader.OpenConnection.AN
Dieser Trojan Downloader ist in manipulierten Java-Applets auf Webseiten zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche, ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um aus der Java-Sandbox auszubrechen und Daten auf dem System zu schreiben.

JS:Redirector-EP [Trj]
Ein Redirector leitet Besucher von Webseiten auf andere Ziele um. Das Ziel der Umleitung wird z.B. durch Obfuscation-Techniken im JavaScript verschleiert, damit die eigentliche Ziel URL erst im Browser des Benutzers konstruiert wird. Der Rediretor selbst kompromittiert das System des Benutzers nicht, leitet aber ohne Beteiligung des Benutzers auf potentielle schädliche Webseiten um und ist daher ein beliebtes Mittel, um die Quelle des eigentlichen Angriffs zu verschleiern.

Java:Agent-DM [Trj]
Diese Java-basierte Malware ist ein Download-Applet, das durch eine Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es zum Beispiel nachgeladene .EXE Dateien direkt ausführen, was ein einfaches Applet nicht könnte, da die Java-Sandbox dies eigentlich unterbinden würde.

Trojan.JS.Clickjack.A
Trojan.JS.Clickjack.A ist ein verschleiertes JavaScript, das in Webseiten eingebunden wurde. Wie der Name suggeriert, verwendet es Clickjacking-Techniken, um den Webseitenbesucher zu einem Klick auf zweifelhafte Links oder Objekte zu bewegen, ohne dass diese es bemerken. Im Fall von Tro-jan.JS.Clickjack.A wird auf der bösartigen Webseite ein unsichtbarer IFRAME erstellt, der den typischen Facebook "Like it!"-Button enthält. Das JavaScript bewegt diesen IFRAME immer mit der Mausposition mit und mit einem Klick auf die Seite,z.B. einen angezeigten "Play" Button auf einer Videoseite, klickt der Nutzer automatisch und unwissend den "Like it!"-Button und aktiviert ihn.

Java.Trojan.Exploit.Bytverify.N
Diese Bedrohung nutzt eine Sicherheitslücke im Java Bytecode Verifier aus und ist in manipulierten Java-Applets, auf Webseiten, zu finden. Durch die Ausnutzung der Sicherheitslücke kann bösartiger Code ausgeführt werden, der dann z.B. den Download von Trojanischen Pferden auslöst. Der Angreifer kann so das System des Opfers übernehmen.

G DATA CyberDefense AG

IT Security wurde in Deutschland erfunden: Die G Data Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G Data in zu den weltweit führenden Anbietern von IT-Security-Lösungen.

Testergebnisse beweisen: IT-Security „Made in Germany“ schützt Internet-nutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sechs Tests, die von 2005 bis 2013 durchgeführt wurden, erreichte G Data die beste Virenerkennung. In Vergleichstests von AV-Test demonstriert G Data regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G Data InternetSecurity von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frankreich, Italien, den Niederlanden, Österreich, Spanien und den USA.

Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G Data Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.

Weitere Informationen zum Unternehmen und zu G Data Security-Lösungen finden Sie unter www.gdata.de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.