entwickler.de

Die Kaspersky Labs melden die Entdeckung zweier Varianten eines neuen "Wurms", der sich über die Social-Networks MySpace und Facebook verbreitet: Net-Worm.Win32.Koobface.a und Net-Worm.Win32.Koobface.b. Inzwischen wurden aus den zwei Varianten vier.

Der Wurm ist ein Trojaner...

Auch wenn Kasperky die Schädlinge mal wieder als Wurm bezeichnet, ist es keiner, sondern ein Trojaner. Würmer verbreiten sich selbstständig, Trojaner sind auf die Mithilfe des Benutzers angewiesen. Wieso ausgerechnet Kasperky das immer wieder verwechselt, ist mir schleierhaft.

Verbreitungswege

Net-Worm.Win32.Koobface.a verbreitet sich über MySpace, Net-Worm.Win32.Koobface.b über Facebook. Beide senden Nachrichten an die Freunde des Opfers, wenn das sich bei MySpace bzw. Facebook anmeldet. Die Nachrichten enthalten Texte wie Paris Hilton Tosses Dwarf On The Street; Examiners Caught Downloading Grades From The Internet; Hello; You must see it!!! LOL. My friend catched you on hidden cam; Is it really celebrity? Funny Moments usw. und sollen die Leser auf eine russische Website mit einem angeblichen Flash-Video locken.

Um das Video zu sehen, ist angeblich ein Update des Flash-Players notwendig, das in Form der Datei codecsetup.exe heruntergeladen werden kann. Dass diese Datei dann wiederum den Trojanercode enthält, ist nicht weiter verwunderlich. Dieser Trick ist so alt, dass er inzwischen einen mindestens 2 Meter langen Bart hat. Das er trotzdem noch erfolgreich eingesetzt wird, liegt am verwendeten Umfeld: Selbst jemand, der Spam-Mails mit den genannten Subject-Zeilen nicht auf den Leim geht, ist bei einer entsprechenden Nachricht eines Freundes weniger skeptisch und klickt evtl. aus Neugier den in der Nachricht enthaltenen Link an. Wenn dann die Aufforderung zur Installation des Updates kommt, wird dem oft zugestimmt - schließlich hat der Freund das ja auch schon gemacht. Allerdings. Und sich dabei auch den Trojaner eingefangen.

Als Teil der Schadfunktionen fügt der Trojaner befallene Rechner als Zombie zu einem Botnet hinzu. Weiterer Schadcode kann nachgeladen werden, sodass der Trojaner sowohl an weitere Verbreitungswege angepasst als auch für andere Angriffe neu konfiguriert werden kann.

Sogar Adobe warnt

Inzwischen hat sogar Adobe auf diese Angriffe reagiert und eine Warnung vor den angeblichen Updates veröffentlicht. Was Adobe darin aufführt, sollte selbstverständlich sein: Updates werden nur von den offiziellen Seiten heruntergeladen und vorhandene Zertifikate vor der Installation geprüft. Wobei 'von den offiziellen Seiten' in Zeiten der DNS-Schwachstelle mit Vorsicht zu genießen ist, schließlich gibt es seit Ende Juli ein Tool, mit dem sich über Cache-Poisoning Anfragen an bekannte Update-Server auf Server der Angreifer umleiten lassen: Evilgrade. Zur Beruhigung sei gesagt, dass Adobe (bisher?) nicht auf der Liste angebotener Opfer steht.

Auch Du, mein Sohn Twitter?

Was der einen Gangsterbande mit MySpace und Facebook recht ist, ist der anderen mit Twitter billig. Wie Kaspersky gemeldet hat, wurde auch ein Twitter-Profil für die Verbreitung von Links zu angeblichen Videos verwendet, die dann ein Flash-Update benötigen, das dann... aber das kennen wir ja schon. Diesmal scheinen die Angreifer aus Brasilien zu stammen oder zumindest ihre Opfer in Brasilien zu suchen, da die betroffene Profilseite auf Portugiesisch geschrieben war und brasilianische Server für den Trojaner-Download verwendet wurden.

Laut Dancho Danchev wurden bei Twitter nur 69 Benutzer mögliche Opfer des Angriffs, da sich der Schädling nicht in andere Twitter-Profile verbreitete und nur "Follower" des präparierten Profils den Download-Link zu sehen bekamen. Hätten die Angreifer eine vorhandene Cross-Site-Request-Forgery-Schwachstelle (siehe About Security #127/ #128) ausgenutzt, um weitere Benutzer zu "Followern" zu machen, sähe das sehr wahrscheinlich anders aus.

Verseuchte Seiten, wohin am blickt

Angebliche Flash-Updates zur Verbreitung von Trojanern zu nutzen, ist auch abseits von Social Networks eine gängige Taktik. Dancho Danchev hat in seinem Block eine Liste von Websites veröffentlicht, die mit diesen angeblichen Updates verseucht wurden. Die Angreifer nutzen Schwachstellen zum Eindringen in harmlose Webserver und hinterlassen dort ihren Code zum späteren Download durch über angebliche Porno-Links etc. angelockte Benutzer. Die Betreiber der betroffenen Websites sind im Allgemeinen vollkommen unschuldig, leiden aber unter der Brandmarkung als Spammer- oder Malware-Site mit entsprechenden Filtereinträgen und rechtlichen Folgen.

Schutzmaßnahmen

Die möglichen Schutzmaßnahmen sind einfach: Aktuelle Virenscanner erkennen einen mehr oder weniger großen Teil der Schädlinge, aber viel einfacher ist es, den Klickfinger unter Kontrolle zu behalten. In diesem Fall sitzt das Problem und ebenso die Lösung vor dem Bildschirm: Wer nicht blind auf alle angebotenen Links klickt und alle danach zur Installation angebotenen Programme installiert, ist vor diesen Angriffen relativ sicher. Denn diese Trojaner sind auf einen Benutzer angewiesen, der sie installiert.

Carsten Eilers