Sicherheitscheck von Doctor Web - die Malware-Bedrohungen im März

[Christoph]

Zitat:

Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

Heimliche Malware-Installationen im großen Stil gefährden PCs

Ein höchst beunruhigender Trend zeichnet sich seit Mitte März ab: Hacker verwenden zunehmend vorgefertigte Installationsprogramme, um sich die Arbeit zu erleichtern. Oft handelt es sich dabei um so genannte Nullsoft Scriptable Install-Systems, kurz NSIS-Installer. Die Autoren nutzen die kostenlosen Tools zum Programmieren von Installationspaketen, die wiederum ihre Malware herunterladen und auf den PC einrichten. Meist laden Nutzer die NSIS-Installer an Stelle harmloser Software, wie Add-Ons für Computerspiele, aus unseriösen Quellen auf ihren Rechner.

Zusätzlich erschweren die Programmierer ihre Enttarnung mit einem weiteren Trick: Durch Manipulation der so genannten hosts-Datei, auf Windows-Rechnern zu finden unter WINDOWS\system32\drivers\etc\hosts, werden einigen IP-Adressen neue Domain-Namen zugewiesen. Der Eintrag des Trojan.DownLoader2.22185 in der Hosts-Datei sieht wie folgt aus:

Codebeispiel:

74.208.7*.*** qvc.com

Wird nun die Domain qvc.com aufgerufen, verbindet sich der PC mit dem Server des Malware-Autors statt der Shopping-Seite.

Trojan.DownLoader2.22185 kann unter Verwendung des Domainnamens qvc.com noch weitere Schädlinge herunterladen, die der Hosts-Datei qvc.com zugewiesen wurden. Sollte der Server wechseln, genügt die Änderung des Eintrags in der Hosts-Datei und der Hacker spart sich viel Programmier-Aufwand.

In einer neueren Version des NSIS-Installers, welche von Doctor Web Trojan.Hosts.4297 genannt wird, werden sogar mehrere Einträge gleichzeitig vorgenommen. Dies erschwert das Auffinden und Entfernen des gefälschten Eintrags für Anti-Viren-Software erheblich.

Die durch Trojan.DownLoader2.22185 und Trojan.Hosts.4297 heruntergeladene Software wird auf den Servern häufig ausgetauscht. Dadurch wird das Risiko, trotz der Fähigkeit NSIS-Downloader gut zu erkennen und sicher zu entfernen, deutlich erhöht und zwar mit weiteren, sogar unbekannten Schädlingen. Der besten Schutz ist daher eine gesunde Portion Misstrauen: Internetznutzer sollten niemals Dateien aus fragwürdigen Quellen herunterladen oder gar ausführen.

Falsches Performance-Tool "löscht" die Festplatte

Erschreckend leer scheint zahlreichen Usern seit Ende des Monats ihre Festplatte, nachdem ihr PC mit dem gefälschten Performance-Tool "Windows Diagnostic" infiziert wurde. Hinter dem Namen "Windows Diagnostic" oder dem Doctor Web-Alias Trojan.MulDrop2.8134 verbirgt sich eine so genannte Scareware, also eine Software, die den Benutzer erst verängstigt und anschließend beraubt.

So scannt Windows Diagnostic angeblich die Festplatte und präsentiert dem geschockten Computerbesitzer anschließend eine lange Liste vermeintlich "kritischer Fehler", für deren Beseitigung er die Vollversion des Programms erwerben soll. Windows Diagnostic fügt den bekannten Varianten falscher Performance-Tools und Sicherheitsprogramm eine neue Dimension hinzu. Die Software gibt Dateien und Ordnern die Attribute "versteckt" und "schreibgeschützt" und macht sie somit für den Benutzer unsichtbar.

Entgegen den Befürchtungen vieler Benutzer sind die betroffenen Ordner und Dateien jedoch nicht wirklich verschwunden und können ganz einfach wieder sichtbar gemacht werden: Im Menüpunkt "Extras" des Windows Explorers gibt es unter "Optionen" und "Ansicht" die Möglichkeit, versteckte Dateien und Ordner wieder anzeigen zu lassen. Markiert der Computernutzer anschließend die Ordner und Dateien, werden sie mit einem Rechtsklick unter "Eigenschaften" durch Entfernen der Häkchen bei "schreibgeschützt" und "versteckt" endgültig wieder sichtbar.

Java-Schädlinge in neuer Vielfalt

Wie in den Vormonaten war auch im März die Gefahr sehr groß, sich durch Java-Applets in Kombination mit Sicherheitslücken im Java Runtime Environment Schädlinge auf den PC zu holen. Zu dem bereits bekannten Java.Downloader.150 gesellten sich unter anderem Java.DownLoader.186, Java.DownLoader.191, Java.Siggen.30 und Exploit.Java.179.

Links zu den Varianten weiterer Hersteller:

Java.Downloader.186
Java.Downloader.191
Java.Siggen.30
Exploit.Java.179

Quelle: http://www.magnus.de/news/sicherheit...z-1115559.html