Contact
QR code for the current URL

Story Box-ID: 696416

G DATA CyberDefense AG Königsallee 178 44799 Bochum, Germany http://www.gdata.de
Contact Ms Vera Schmidt +49 234 9762376

Tarnkappen-Malware: Botnetzsteuerung per Webmail

Bislang unentdeckter Schädling nutzt Yahoo-Mail, um Befehle für seine Schadfunktionen zu empfangen

(PresseBox) (Bochum, )
Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem Mail-Account zu verbinden. Dieser Account wurde von Hackern eingerichtet, um den infizierten Rechnern Befehle zu erteilen. Der Zugriff auf Webmailer wird in Unternehmensnetzwerken selten blockiert. So kann der Trojaner unbemerkt Befehle empfangen und ausführen. Die Sicherheitsexperten von G DATA haben den Schädling Win32.Trojan.IcoScript.A genannt. Die ausführliche Analyse wurde im Virus Bulletin Magazin veröffentlicht.

Trojaner befällt Windows-PCs
Der hinterlistige Schädling namens Win32.Trojan.IcoScript.A treibt seit 2012 unentdeckt sein Unwesen. Der Trojaner, ein modular aufgebautes Fernsteuerungstool (engl. RAT; Remote Administration Tool), befällt Windows-PCs. Normalerweise injiziert sich Malware in die Prozesse von Anwendungen. Das wird von Antiviren-Software aber mittlerweile entdeckt. IcoScript hingegen missbraucht die Entwickler-Schnittstelle COM (Component Object Model), um sich in den Internet Explorer einzuklinken. Die COM-Schnittstelle ermöglicht es Entwicklern, u.a. Plugins für den Browser zu schreiben. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt den Browser zu kompromittieren. Danach sehen die Daten auf dem Rechner und im Netzwerk aus wie ganz normale Surfdaten. Die Malware-Autoren müssen sich auch nicht um die Netzwerkeinstellungen kümmern. Sie können so übernommen werden, wie sie im Browser eingestellt sind. „Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten“, meint Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Der Schädling zeigt wieder einmal, wie gut Schadcode-Entwickler auf Abwehrmaßnahmen reagieren.“

IcoScript missbraucht Webmailer für Kommandofunktion
Dazu bedient sich IcoScript des Internet Explorers und missbraucht unter anderem Webmailer wie Yahoo für seine Kommando- und Kontrollfunktionen. Um die E-Mails aus dem präparierten Postfach abzuholen, wurde IcoScript mit einer eigenen Skriptsprache versehen, die es ermöglicht, automatisierte Aktionen auf den Webseiten der Webportale auszuführen. IcoScript.A öffnet dazu das Mailportal von Yahoo, loggt sich ein und ruft die Mails ab. Die Mails werden auf Steuercodes untersucht und als Befehle an das Schadprogramm weiter gegeben. Über die E-Mails können auch Daten aus dem Netzwerk versendet werden. „Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden" erläutert Ralf Benzmüller.

Virus Bulletin ist feste Größe in der AV-Industrie
Die Analyse wurde mit dem Titel „IcoScript: Using Webmail to control malware“ im britischen IT-Magazin Virus Bulletin veröffentlicht. „IcoScript ist ein sehr spezieller Schädling. Wir freuen uns über die Veröffentlichung des Artikels in diesem renommierten Fachmagazin und sehen das als Anerkennung unserer Forschungsarbeit. Virus Bulletin ist eine feste Größe in der Antiviren-Industrie und hat seit Jahren einen herausragend guten Ruf für seine unabhängigen und professionellen Informationen über Malware“, betont Ralf Benzmüller.

Den gesamten Artikel gibt es auf Englisch auf der Internetseite von Virus Bulletin in der HTML-Version: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript oder als PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf

G DATA CyberDefense AG

IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.

Testergebnisse beweisen: IT-Security „Made in Germany“ schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sieben Tests, die von 2005 bis 2014 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA INTERNET SECURITY von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frank-reich, Italien, den Niederlanden, Österreich, Spanien und den USA.

Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.

Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.