Mebroot-Variante agiert wie TDSS
Der Name “TDSS” stammt von dieser Zeichenkette, die immer wieder in Komponentendateien und Registry-Einträgen früherer Varianten vorkam. Die Malware wird stetig weiter entwickelt, um immer bessere Mittel zu finden, ihr Vorhandensein auf den betroffenen Systemen zu verbergen.
Dafür nutzt TDSS ein mehrstufiges Verfahren und umfasst unter anderen folgende Funktionen: Werbe-Popups, Anti-AV Funktionen oder das Nachladen und Ausführen anderer Komponenten. In vielen Fällen wird TDSS nur als eine Komponente genutzt, um die eigentliche Malware nachzuladen und zu verstecken. Daher lässt sich in diesen Fällen die Funktionalität beliebig anpassen und ist nicht auf Werbe Popups begrenzt! Bekannte Verbreitungswege sind Cracks und Key-Generatoren, aber auch Drive-By-Downloads wurden schon beobachtet.
Die Mebroot Malware-Familie wiederum ist für Master Boot Record (MBR)-Infektionen bekannt. Dadurch ist der Schädling u.a. im Dateisystem von AV-Scannern nicht mehr aufzufinden. Dabei biegt es nach dem Systemstart Low Level Funktionen der Festplatten und NDIS (Netzwerk) Treiber um und ist im MBR für das Betriebssystem (und Applikationen!) unsichtbar und außerdem in der Lage, an den meisten installierten Firewall/Network Security Lösungen vorbei Inhalt nachzuladen.
Die Sicherheitsforscher von TrendLabs identifizierten kürzlich ein Mebroot-Sample als TROJ_MEBROOT.SMC, das sich in einer neuen, doch bekannten Art und Weise installiert:
1. Die ausführbare Hauptdatei setzt eine Datei in das %User Temp% Directory.
2. Sie führt mittels der I timeSetEvent-Funktion regsvr32 /s aus.
3. Sie kopiert besagte Datei in das Print Processor Directory als %System%\spool\PRTPROCS\W32X86\{random number}.tmp.
4. Dann lädt sie die Datei über das API AddPrintProcessorA mit Hilfe des SPOOLSV.EXE Service.
5. Sie entfernt die Datei über das API DeletePrintProcessorA und löscht sie dann.
Diese Routine ist tatsächlich bekannt, denn es ist die Art und Weise wie eine TDSS-Malware weitere Komponenten auf die Anwendersysteme installiert, wobei die endgültige Payload den MBR verändert, indem Tausende von Bytes hinein geschrieben und die Image-Datei der Malware hinein gesetzt werden. Danach wird das betroffene System neu gestartet. Durch die Änderungen des MBR wird die Malware dabei automatisch ausgeführt. Ihre Image-Datei aktiviert die weiteren Routinen, wie etwa das Verbinden mit einer zufällig generierten URL und das Verschicken von Informationen dorthin, auch wenn der User an Windows nicht angemeldet ist.
Beim Neustart verbindet sich die Malware zuerst mit microsoft.com, time.windows.com nd yahoo.com. Danach verbindet sie sich als hart codierte Domänennamen mit Servern und zufällig aussehenden URLs, die mit Hilfe auf der Zeit und dem Datum des Systems beruhenden Algorithmus generiert werden. Sie führt noch einige Aktionen gegen das Aufspüren auf der betroffenen Maschine durch.
Die Anwender von Trend Micro Produkten sind über das Smart Protection Network gegen diese Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt die Schädlinge mit Hilfe des File Reputation Service.
Weitere Themen in dieser Ausgabe:
TrendMicro Expertise
Tipps für mehr Sicherheit von Unternehmen
Die Ergebnisse der Umfrage, die Trend Micro 2010 unter professionellen Endanwendern durchgeführt hat, sind alarmierend, zeigen sie doch die Sorglosigkeit, die die User im Umgang mit den Daten ihrer Arbeitgeber an den Tag legen. Trend Micro rät in diesem Zusammenhang zur Beachtung einiger Sicherheitsregeln.
Produkt News
OfficeScan 10.5: Ressourcen sparen und hohe Sicherheit für virtuelle Desktops
Trend Micro erweitert den Schutz virtualisierter Umgebungen mit der Version 10.5 von Office Scan auf die virtuellen Desktops. Damit können Unternehmen die Anzahl ihrer virtuellen Desktops pro Server mehr als verdoppeln.
Unternehmens News
Trend Micro übernimmt humyo für innovative Online-Archivierung
Trend Micro hat ein definitives Abkommen zur Übernahme von humyo, einem Spezialisten für Online-Archivierung und -Datensynchronisation, bekannt gegeben. Die Übernahme passt perfekt zur eigenen Cloud Security-Strategie.
TrendMicro Expertise
Das Geschäft mit FakeAV blüht
Trend Micro-Forscher haben ein Jahr lang eine bestimmte Bande von Online-Gangstern beobachtet, die sich auf Betrug mit gefälschten Antivirenlösungen im Internet spezialisiert haben. Geschätzter Jahresumsatz: 180 Millionen US-Dollar.
IT & Recht
E-Mails: verschlüsseln oder nicht?
Jeder, der es will und ein gewisses Maß an krimineller Energie aufbringt, kann E-Mails auf ihrem Weg durchs Internet lesen und ihren Inhalt verändern, warnt Günter Untucht, Director of EMEA Legal bei Trend Micro. Denn die Nachrichten müssen auf ihrem Weg auf mehreren Servern zwischengelagert werden, die im Internet sichtbar sind.
Nachgefragt
Peter Siegmann, Major Account Manager bei Trend Micro
Die im ProtectLetter vorgestellten Mitarbeiter zeigen alle eine individuelle Facette des Unternehmens, doch vereint sie das Gefühl „in eine großen Familie“ integriert zu sein.
Top News
Trend Micro Umfrage: Schutz privater Daten wichtiger als Unternehmenssicherheit
Sei es die Nutzung von Social Networking-Portalen oder das Umgehen von Sicherheitsschranken zur freien Nutzung des Internets: ein Großteil der Angestellten geht leichtsinnig mit der Unternehmenssicherheit um, so das Ergebnis der aktuellen Trend Micro-Umfrage 2010.
Warnung
Cyberkriminelle nehmen Skype-Nutzer ins Visier
Cyberkriminelle greifen – wieder einmal – Nutzer des kostenlosen Internet-Telefondienstes Skype an. Diese erhalten Spam-Nachrichten als Mitteilung von einer Kontaktliste eines Skype-Anwenders, die eine Link-Liste enthält.
Produkt News
Trend Micro stellt kostenlose Threat Watch App vor
Um auch unterwegs über die neuesten Online-Bedrohungen stets auf dem Laufenden zu sein, können die Nutzer des iPhones, iPods und iPads auf eine neue App von Trend Micro zurückgreifen.
Produkt News
Kostenloser Verschlüsselungsdienst für Mails
Die Frage, ob verschlüsseln oder nicht, stellt sich mit den bequemen Lösungsmöglichkeiten von Trend Micro technisch nicht mehr. Privatanwender können mit einem kostenlosen Client und der Registrierung der eigenen Identität ihren Nachrichtenaustausch verschlüsseln.
Schon gewusst?
Sony zeigt aufrollbares Farbdisplay
Sony ein OLED-Display im 4,1-Zoll-Format gezeigt, das hochgradig flexibel ist. Als dem Unternehmen zufolge erstes OLED-Panel der Welt kann es bewegte Bilder in Farbe darstellen, selbst, wenn das Display kompakt aufgerollt wird.
Im Web entdeckt
Es stimmt: Dick und dumm durch fernsehen
Die Auswirkungen des Bildschirm-Konsums sind dramatisch, besonders stark sind Kinder betroffen. Manfred Spitzer, leitender Direktor der psychiatrischen Universitätsklinik in Ulm kommt bei der Auswertung des aktuellen wissenschaftlichen Kenntnisstandes zu einem alarmierenden Ergebnis.
Editorial
Liebe Leserinnen und Leser,
das Sicherheitsbewusstsein von professionellen Anwendern lässt immer noch zu wünschen übrig. Sie gehen viel zu sorglos mit den Informationen um und machen sich häufig nur um ihre persönlichen Daten Gedanken. Dies zeigt eine aktuelle Umfrage von Trend Micro (weitere Ergebnisse in der Top Story).
Events
IDC Desktop Virtualisation Forum
Zusammen mit IDC, VMware und weiteren Partnern möchten wir Sie zum Desktop Virtualisation Forum 2010 einladen. Verpassen Sie nicht die Gelegenheit, sich top-aktuell über neueste Trends und Entwicklungen im Bereich Desktop-Virtualisierung zu informieren.
