Dipl.-Inform. Carsten Eilers

(+) Es wurde mal wieder ein Ad-Network kompromittiert, um über die Werbung ein Exploit-Kit zu verbreiten. Diesmal das Nuclear Exploit Kit, aber das ist im Grunde egal, denn alle Exploit Kits wollen sowieso das Gleiche: Ihren Rechner mit Schadsoftware infizieren. Die Unterschiede liegen in den verwendeten Exploits und der installierten Schadsoftware, aber beides will man ja in keiner Form auf seinem Rechner sehen. Die verwendeten bekannten Exploits sollte jeder Virenscanner abfangen, aber die sollten sowieso ins Leere laufen, da die ausgenutzten Schwachstellen natürlich durch die Installation der entsprechenden Patches und Updates behoben wurden. Oder ist ihr System samt Anwendungen nicht auf dem aktuellen Stand?

(-) In MacKeeper, der mir bisher eigentlich nur durch seine aufdringliche Werbung aufgefallen ist, wurde eine 0-Day-Schwachstelle behoben, über die entsprechend präparierte Websites Code auf die Rechner einschleusen konnten. Angriffe wurden keine gemeldet. Was mich wundert, ist, dass diese Software angeblich 20 Millionen Benutzer weltweit hat. Wer installiert sich denn Software, die sich über Werbung verbreitet, die stark an Scareware erinnert? Wenn ich irgendwo über diese Werbung stolpere, sehe ich zu, dass ich das Fenster oder Tab sofort schließe. Und die Website, die mir den Mist unter geschoben hat, sieht mich so schnell auch nicht wieder.

(-) Forscher der SySS GmbH haben herausgefunden, dass sich die Virenscanner von Panda und BullGuard von Angreifern lahm legen und dadurch unter Umständen von Schadsoftware umgehen lassen:

• Panda Internet Security 2015
• Panda Antivirus Pro 2015
• Panda Global Protection 2015
• Panda Gold Protection 2015
• BullGuard Internet Security
• BullGuard Premium Protection
• BullGuard Antivirus

Man sollte sich halt nicht sicher fühlen, nur weil man einen Virenscanner installiert hat. Den hat der Schädling vielleicht längst ausgeschaltet.

(-) Virenscanner und -analysten nutzen Sandboxen, um verdächtige Dateien zu analysieren. Die Banking-Trojaner Tinba und Dyre haben nun neue Methoden implementiert, um eine Sandbox zu erkennen und daraufhin den Betrieb einzustellen. Es wird für die AV-Hersteller also immer schwerer, die Schadsoftware zu erkennen.

(+/-) Es gibt Neues zu bösartigen Word-Dokumenten:

• Erst mal tarnen die sich immer ausgefeilter, im Beispiel war die Word-Datei eine MIME-Datei, die eine MSO-Datei mit einer OLE-Datei darin enthielt. Das erleichtert die Analyse natürlich nicht gerade.
• Aber auch alte Tricks funktionieren nach wie vor, zum Beispiel Macro - Malware.
• Und dann gibt es nun (bzw. schon seit Mai 2013) ein "Malware Construction Set", also einen Baukasten für Schadsoftware, der auf Word-Dateien spezialisiert ist: Der Microsoft Word Intruder. Erzeugt werden damit RTF-Dateien, die verschiedene Exploits für Word enthalten. Die dürften ein Fall für die Virenscanner sein, recycelte Exploits sollten die alle erkennen. Wenn sie nicht gerade die betroffene Datei aus Performancegründen ignorieren.

"Rombertik" - Ein "Computer zerstörender" Schädling!

Und dann gibt es da noch "Rombertik". Wenn man den Medien glauben will, ein Schädling, der zur Bombe wird und den Rechner zerstört, wenn er entdeckt wird. Tatsächlich aber nur ein ganz normaler Schädling, der sich in den Browser einklinkt und Zugangsdaten ausspäht. Das Besondere an Rombertik: Wenn er erkennt, dass er analysiert werden soll, wehrt er sich dagegen. Nicht, indem er wie viele seiner Kollegen den Betrieb einstellt, sondern indem er den Master Boot Record (MBR) der Festplatte löscht und damit die Festplatte unlesbar macht. Danach versucht er, einen Neustart auszulösen. Gelingt das nicht, wird versucht, alle Dateien im Home-Verzeichnis zu verschlüsseln. Mit RC4! Notfalls könnte also die NSA die Daten entschlüsseln, falls man dort nicht sowieso schon eine Kopie auf Vorrat hat.

Dass die Medien das so aufgebauscht haben liegt auch an Ciscos Beschreibung des Schädlings, die teilweise selbst etwas reißerisch daher kommt.

Erst mal wird Rombertik auf normalen Systemen kaum die Notbremse ziehen, denn darauf wird er ja nicht analysiert. Und selbst wenn, ist danach höchstens eine Neuinstallation des Systems und/oder das Einspielen der Daten aus dem Backup nötig. Wenn Sie natürlich kein Backup haben, ist das ein Problem. Aber daran sind Sie dann selbst schuld! Also: Kein Grund zur Panik. Auch dann nicht, wenn Sie kein Backup haben. Statt in Panik auszubrechen sollten Sie dann besser eins anlegen. Das schützt dann auch vor Ransomware, denn die verschlüsselt Ihre Festplatte sofort und nicht nur, wenn sie analysiert wird.

Carsten Eilers