Presseinformation vom 15. Mai 2008

Trend Micro Malware Report für April 2008: Kraken fordert Storm heraus!

Neu entdecktes Netzwerk aus Zombie-Systemen ist anscheinend doppelt so groß wie das bekannte Storm-Botnet

Trend Micro (TSE:4704) informiert über die Entwicklung der aktuellen Bedrohungslandschaft. Im April 2008 nutzte die Malware-Szene erneut den Microsoft Patch Tuesday, um sich über Sicherheitsschwachstellen zu informieren und diese in kürzester Zeit anzugreifen. Darüber hinaus wurden im vergangenen Monat wieder seriöse Webseiten manipuliert, um Besucher mit Malware zu infizieren. Nicht zuletzt ist ein Herausforderer für das Storm-Botnet aufgetaucht: Das entdeckte Kraken-Botnet scheint doppelt so groß zu sein wie Storm.

Exploit/Backdoor übernimmt Systemkontrolle

An jedem zweiten Dienstag eines Monats - dem sogenannten "Patch Tuesday" - veröffentlicht Microsoft Updates für sicherheitsrelevante Schwachstellen in seinen Produkten. Am darauf folgenden "Exploit Wednesday" nimmt die Malware-Szene dann oftmals genau diese Sicherheitslücken ins Fadenkreuz. Die Angreifer spekulieren mit dem zeitlich verzögerten Einspielen der neuen Patches durch viele Anwender - leider oft mit Erfolg.

Kurz nach dem Patch Tuesday im April entdeckte Trend Micro eine Kombination aus Exploit und Backdoor, mit der die eigentlich schon geschlossene Sicherheitslücke im Graphical Device Interface (GDI) von Windows Systemen angegriffen wurde. Nach dem erfolgreichen Ausnutzen der Schwachstelle durch EXPL_NEVAR.B startet der Download von BKDR_POISONIV.QI. Unbemerkt vom Anwender gibt diese Backdoor dem Angreifer die volle Kontrolle über das infizierte System.

Erneut seriöse Webseiten manipuliert

Die Kette der Angriffe auf seriöse Webseiten riss auch im April nicht ab: Anfang des Monats wurden mehrere Webseiten entdeckt, die erfolgreich mit IFrame Search Engine Optimization (SEO) Poisoning manipuliert wurden. Durch Einfügen einer IFrame-Komponente in den HTML-Code konnten Browser auf eine andere URL umgeleitet werden, die den Download verschiedener Malware startete.

Es ist sehr wahrscheinlich, dass die Angreifer testen, bei welcher Kategorie von Webseiten sie den größten Traffic erzielen können. Aktuell wird besonders der Bildungsbereich angegriffen, aber auch Angebote aus den Bereichen Social Networking, Unterhaltung und Nachrichten sind gefährdet.

Angriff von Kraken: Neues Botnet entdeckt

Das bekannte Storm-Botnet hat im April einen Konkurrenten mit dem unrühmlichen Titel "Größtes Zombie-Netzwerk" bekommen: Das Kraken-Botnet besteht wahrscheinlich aus mehr als 400.000 infizierten Systemen und ist damit doppelt so groß wie Storm.

Kraken gelangt auf Systeme in Form eines als Bilddatei getarnten EXE-Files. Beim Öffnen legt die Malware auf dem betroffenen Rechner eine Kopie von sich an. Dabei wird ein Dateiformat für die Kopie verwendet, das sich von dem ursprünglichen Format unterscheidet. Wird die Originaldatei von einer Anti-Malware-Lösung erkannt und entfernt, kann das System über die Kopie erneut infiziert werden. Trend Micro identifiziert die Malware hinter Kraken als TROJ.SPAMBOT.AF.

Innerhalb der Sicherheitsindustrie wird diskutiert, ob Kraken wirklich neu ist, oder eine Variante der Bobax-Malware-Familie. Möglicherweise arbeiten bestimmte Personen bereits seit Ende 2006 an der Entwicklung von Kraken.

Weitere Informationen zu aktuellen Sicherheitstrends finden Sie im TrendLabs Malware-Blog unter: http://blog.trendmicro.com/april-malware-roundup-2/

Über Trend Micro
Trend Micro, einer der international führenden Anbieter für Internet-Content-Security, richtet seinen Fokus auf den sicheren Austausch digitaler Daten für Unternehmen und Endanwender. Als Vorreiter seiner Branche baut Trend Micro seine Kompetenz auf dem Gebiet der integrierten Threat Management Technologien kontinuierlich aus. Mit diesen kann die Betriebskontinuität aufrecht erhalten und können persönliche Informationen und Daten vor Malware, Spam, Datenlecks und den neuesten Web Threats geschützt werden. Die flexiblen Lösungen von Trend Micro sind in verschiedenen Formfaktoren verfügbar und werden durch ein globales Netzwerk von Sicherheits-Experten rund um die Uhr unterstützt. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. Weitere Informationen zu Trend Micro finden Sie im Internet unter www.trendmicro-europe.com.

Herausgegeben im Auftrag von:
Trend Micro Deutschland GmbH
Hana Göllnitz
Lise-Meitner-Straße 4
D-85716 Unterschleißheim
Tel.: +49(0)89/37479-700
Fax : +49(0)89/37479-799
E-Mail: hana_goellnitz@trendmicro.de

Pressekontakt:
shortways communications
Vera M. Sander
Tengstraße 33
D-80796 München
Tel.: +49(0)89/89 06 67-0
Fax: +49(0)89/89 06 67-29
E-Mail: vsander@shortways.de