Sicherheitscheck von Doctor Web - die Malware-Bedrohungen im Januar

[Christoph]

Zitat:

eden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

"surprise.exe": Vergiftetes Facebook "Geschenk"

Seit Januar erleben viele Benutzer des Sozialen Netzwerks "Facebook" eine böse Überraschung. Über ihren Account erhielten sie eine private Nachricht mit dem Inhalt "I got u surprise" von einem Bekannten, samt Link zu einem auf Blogspot.com gehosteten Blog.

Bei Blogspot.com handelt es sich um eine seriöse und vielfach genutzte Plattform, auf der nach Anmeldung jeder einen persönlichen Blog starten kann. Die URL, der schadhaften Seite, sieht folgendermaßen aus: http://facebook-surprise-****.tk/ - wobei die Zeichen "*" Platzhalter für eine zufällige Kombination von Buchstaben sind. Von dort aus wird jedoch per Javascript auf eine Seite mit einem Schadcode weitergeleitet.

Die Verwendung des Wortes "Facebook" im Link trägt jedoch stark zu dem Eindruck bei, dass es sich hier um eine seriöse Seite handelt. Abgebildet ist dort ein buntes Paket neben dem Schriftzug "Get a surprise now!". Die Versuchung, auf die Grafik zu klicken, ist dementsprechend groß.

Hinter der einladenden Oberfläche verbirgt sich eine Verlinkung zu einer Datei namens "surprise.exe", nach deren Ausführung das Bild eines Päckchens auf dem Bildschirm erscheint. In diesem Moment wird der Rechner bereits mit dem Trojaner infiziert! Dieser stiehlt die persönlichen Facebook-Zugangsdaten, loggt sich bei Facebook ein und verschickt die verhängnisvolle Nachricht mitsamt dazugehörigem Link an die gesamte Kontaktliste des Users.
"surprise.exe" wird von Doctor Web als Trojan.MulDrop1.62295 erkannt und vollständig entfernt.

Java-Schädlinge auf dem Vormarsch

Im Januar traten vermehrt in der Programmiersprache Java erstellte Schädlinge auf, die Sicherheitslücken im Java Runtime Environment (JRE) ausnutzen. Beim JRE handelt es sich um die Laufzeitumgebung, deren Installation notwendig ist, um Java-Programme ausführen zu können.

Zum Java.Downloader.128, der schon im Dezember sein Unwesen trieb, gesellten sich unter anderem noch Java.Downloader.147 und Java.Downloader.150 hinzu. Sie liegen entweder als im Browser ausführbare Java-Anwendungen ("Applets") oder eigenständige Programme im JAR-Datei-Format (Java Archive) vor.

Durch geschicktes Ausnutzen von Lücken in älteren JRE-Versionen können die für gewöhnlich sehr eingeschränkten Rechte eines Java-Applets umgangen werden, um lesende und schreibende Zugriffsrechte auf Dateien des Benutzers zu erlangen.

Um sich dauerhaft vor Plagegeistern dieser Art zu schützen, sollte stets auf die Aktualität des JRE geachtet und zudem keine Java-Applets aus unbekannten oder möglicherweise unseriösen Quellen ausgeführt werden. Dasselbe gilt natürlich auch für Dateien mit ".jar"- Endung.

Spione und falsche Schutzsoftware weiter gefährlich

Im Bereich der gefälschten Antiviren-Software tauchte das so genannte "System Tool 2011" besonders häufig auf PCs auf. Doctor Web erkennt und entfernt mehrere Varianten dieses schädlichen Tools, unter anderem Trojan.Fakealert.19937 und Trojan.Fakealert.19877. Eine Anleitung zur manuellen Entfernung des System-Tools gibt es beispielsweise bei Trojaner-Board.

In der letzten Januarwoche wurden wieder vermehrt Infektionen mit dem Spionage-Trojaner SpyEye beobachtet, über den wir bereits im November berichteten. Auch die Anzahl der Infektionen mit dem bekannten Rootkit TDL nahm wieder leicht zu.

Quelle mit allen Links: http://www.magnus.de/news/sicherheit...r-1077547.html