Verseuchter UPS-Spam

Vorsicht vor einer gefälschten UPS-Mail, die im Anhang einen Trojaner enthält. Betreff und Text der der Mail lauten:

Ihr UPS Paket N1576767075
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
und holen Sie ihr Paket bei uns ab.
Mit freundlichen Grussen,
Ihre UPS

Angehängt ist das ZIP-Archiv „UPS_Lieferschein_8102.zip“, das die Datei „UPS_Lieferschein.exe“ enthält, die mit „Trojan-Downloader.Win32.Tiny.brm“ verseucht ist. Bei Virustotal erkennen momentan 17 von 33 Scannern den Schädling.

Der Text der Mail ist so lala, und ich kann mir schon vorstellen, dass der eine oder andere darauf hereinfällt. Allerdings sollte stutzig machen, dass die Mail nicht mit HTML formatiert ist und mehrere kleinere sprachliche Fehler enthält. Außerdem ist die angehängte Datei kein PDF, sondern eine EXE.

Interessant finde ich noch zwei Punkte:

Die Mail, die ich erhalten habe, enthält folgende Zeile im Header:

Received: from [80.177.xx.xxx] by xxx.pla.dc.xo.com; Mon, 14 Jul 2008 09:29:30 +0000

Ein Arbeitskollege hat die Mail etwa zeitgleich erhalten, mit allerdings leicht anderer Absenderzeile im Header:

Received: from [217.6.xxx.xxx] by xxx.valueweb.com; Mon, 14 Jul 2008 10:07:33 +0100

Der Versand erfolgt also von einem Botnet aus. Die „xxx“ habe ich eingefügt.

Außerdem wurde die an mich gesandte Mail an die hier im Impressum genannte Adresse geschickt. Diese enthält als einfache Sicherheitsmaßnahme mehrere Leerzeichen, die vom Spammer aber erkannt und entfernt wurden.

Gehackten Router erkennen

Vergangene Woche habe ich bereits über den Trojaner DNSChanger aus der Zlob-Familie berichtet, der die DNS-Einstellungen ungenügend gesicherter Router manipuliert.

Im Blog Trusted Source von Secure Computing stehen nun zwei Möglichkeiten, wie man eine Infektion erkennen kann: Zum einen verändert der Trojaner auch die lokale Registrierungsdatenbank des befallenen Computers und trägt im Windows-Schlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters einen neuen DHCP- und NameServer aus der IP-Range 85.255.*.* ein.

Eine Eigenart dieses DNS-Servers macht eine Infektion ebenfalls relativ leicht erkennbar: Er leitet Anfragen zu nicht existierenden Domains auf eine eigene Fehlerseite um. Diese sehen dann in etwa so aus:


(Bild: Secure Computing)

Lauschangriff per Trojaner

Die Staatliche Lotterieverwaltung in Bayern sieht sich mit Spionagevorwürfen konfrontiert. Die dem Landesfinanzministerium unterstellte Behörde hatte ein Detektivbüro mit der Beschaffung von Informationen für einen Zivilprozess beauftragt. Dabei drang einer der Ermittler in einen privaten Computer ein und spähte den E-Mail-Verkehr per Trojaner aus. (Spiegel Online)

Neue Zlob-Variante manipuliert Router

Dass man die Verschlüsselungseinstellungen seines WLAN-Routers bearbeiten sollte, wenn man verhindern will, dass jemand in das drahtlose Netz eindringt, hat sich mittlerweile relativ weit herumgesprochen. Dass man aber auch die Zugangsdaten zum Router verändern sollte, ist schon weit weniger Anwendern bewusst. Der Router befinde sich ja im eigenen Netz und sei daher kaum angreifbar. Falsch.

Eine neue Variante des Zlob-Trojaners greift genau diese Schwachstelle an:

Sloss said he captured traffic showing the Zlob variant trying to reconfigure different routers by requesting the local Web page for the various „setup wizards“ that ship with the devices. Some of the requests he noticed are listed below, with my own research noted next to them:

„/index.asp“ (still checking, but I believe this is used on DD-WRT and some Linksys routers);
„/dlink/hwiz.html“ (D-Link routers);
„wizard.htm“ (appears to be used by several different router manufacturers, including Linksys).
„/home.asp“ (no idea)

Bei den Tests wurden die DNS-Einstellungen (Domain Name Service) eines Linksys- und eines Buffalo-Routers durch den Trojaner erfolgreich geändert. Es gibt bereits eine Liste der zahlreichen Passwörter, die Zlob verwendet.

Manipulierte DNS-Einstellungen können dazu führen, dass man statt der gewünschten Seite seiner Online-Bank eine gefälschte Seite zu sehen bekommt, obwohl der Domain-Name stimmt. Das liegt daran, dass der böswillige DNS-Server dem Browser eine falsche IP-Adresse nennt.

Es gibt noch einen Aspekt, den man beachten sollte: Selbst wenn der Trojaner entdeckt und erfolgreich entfernt wird, bleiben die Router-Einstellungen weiter manipuliert. Die wenigsten Anwender, die einen Schädling entfernen, überprüfen nämlich anschließend auch die Einstellungen ihres Routers. Das sollte man in Zukunft aber tunlichst tun.

Trojaner statt Gratismusik

Früher war es relativ leicht, eine böswillige Webseite an der schlampigen Machart und meist blanken Unprofessionalität zu erkennen. Diese Zeiten sind leider vorbei. Alex Eckelberry hat im Sunbelt-Blog auf ein gut gemachtes Musik-Portal verwiesen, das statt kostenloser MP3s einen Trojaner verteilt.

Der von mir zum Test herunter geladene angebliche Musiktitel hat den Namen „Various_Artists-Track_05mp3.mp3.exe“ (man beachte den alten, aber immer noch beliebten Trick mit der doppelten Dateiendung) und wird von 14 von 32 Scannern bei Virustotal als Zlob-Vartiante identifiziert.

Update-Schmarrn bei Avast

Normalerweise empfehle ich ja Avast, wenn jemand einen kostenlosen Virenscanner installieren will. Nun ist mir zum ersten Mal auf zwei Rechnern fast gleichzeitig die Lizenz abgelaufen, was sich zuerst durch ein rotes Warnfenster unten rechts bemerkbar macht. Klickt man darauf, öffnet sich ein weiteres Fenster in der Mitte des Bildschirms, in dem für das Upgrade auf die kostenpflichtige Version geworben wird. Klickt man auf einen kleinen Pfeil am unteren Rand des Fensters, eröffnen sich weitere Optionen.

Soweit so gut. Klickt man jedoch nun auf eine der Optionen, öffnet sich der Browser mit dem Registrierungsformular – allerdings hinter dem Hinweisfenster von Avast. Dieses Fenster liegt nicht nur dauerhaft im Vordergrund, es lässt sich auch nicht verschieben oder schließen. Wie man da das Formular ausfüllen soll, würde ich gerne wissen? Die einzige Möglichkeit, das Fenster zu schließen, ist, es über den Task-Manager abzuschießen. Allerdings schließt man damit auch das kleine Status-Icon unten rechts im System-Tray, das man benötigt, um den Virenscanner dann doch noch neu zu registrieren …

Das erste Quartal 2008 aus Sicht von F-Secure

F-Secure hat heute einen kurzen Quartalsbericht („Quarterly Security Wrap-up“) über aktuelle Risiken und Gefahren veröffentlicht. Ein paar Details daraus:

Pro Tag landen etwa 25.000 neue elektronische Schädlinge in den Labors der Finnen. Bis Ende 2008 rechnet F-Secure mit mehr als einer Million entdeckter Viren und Trojaner. Über die Zählweise kann man jedoch diskutieren. AV-Test.org hat, wie vor kurzem berichtet, allein im Januar und Februar dieses Jahres 1.100.000 neue Schädlinge („unique malware samples“) entdeckt. Im vergangenen Jahr sollen es über 5 Millionen gewesen sein. Wer wohl richtig zählt? Vermutlich keiner.

Der Bericht beschäftigt sich außerdem mit der zunehmenden Gefahr durch Drive-by-Downloads: „So instead of getting infected over SMTP, you get infected over HTTP.“

F-Secure listet vier Methoden auf, mit denen nichtsahnende Surfer hereingelegt werden: herkömmliche Spam-Mails mit Links auf verseuchte Seiten (Motto: „You have received a greeting card“), Tausende von „Schlummer-Seiten“, die den Index der Suchmaschinen füllen und auf einen Besuch warten, gehackte Webserver und manipulierte Banner. Ein Beispiel für eine seriöse Webseite, die einen Schädling verbreitet, bringt F-Secure mit nebenstehendem Screenshot (Quelle). Noch ein Beispiel.

Neu ist auch das MBR-Rootkit Mebroot, das in den vergangenen Monaten für Aufregung gesorgt hat. Mebroot setzt sich im Master Boot Record (MBR) eines PCs fest und ist dort nur noch schwer zu entdecken beziehungsweise zu entfernen. „We are likely to see this technique being used by quite a variety of malware. These first MBR rootkits are banking Trojans targeting several online banks, where the criminals are clearly seeing an opportunity to make a return on their investment.“ Ebenfalls heute hat F-Secure eine neue Version des kostenlosen Rootkit-Scanners Blacklight veröffentlicht, die Mebroot nun auch erkennen und entfernen soll. Download hier (EXE).

Der Rest des Berichts beschäftigt sich mit mobilen Gefahren, einem Steckenpferd von F-Secure. Unter anderem geht es um den Trojaner Kiazha aus China, der Handys verseucht und eine Zahlung von sieben Dollar für die Bereinigung verlangt haben soll.

Wie man sieht, gibt es für Sicherheitsanbieter weiterhin viel zu tun. Wär‘ ja auch ärgerlich sonst.

Sicherer surfen mit Spyproxy

Eines der vor kurzem von der Usenix freigegebenen Whitepaper beschäftigt sich mit einem interessanten Konzept, wie man sicherer surfen könnte. „SpyProxy: Execution-based Detection of Malicious Web Content“ von Alexander Moshchuk, Tanya Bragin, Damien Deville, Steven Gribble, and Henry Levy von der University of Washington beschreibt eine virtuelle Maschine, die zwischen den Browser des Anwenders und die anzufordernden Webseiten geschaltet wird (PDF-Version hier).

Das klingt zuerst nicht sehr revolutionär. Die JanusVM ist beispielsweise ein virtueller Proxy, in dem unter anderem Privoxy den Datenstrom bereinigt. Spyproxy geht jedoch erheblich weiter:

Zuerst unterziehen die Forscher eine gewünschte Webseite einer statischen Analyse. Dabei prüfen sie unter anderem, ob die Seite ausführbare Elemente enthält. Besteht die Seite nur aus HTML, stuft sie Spyproxy als ungefährlich ein und leitet sie an den Browser weiter. Enthält sie aber aktive Elemente oder auch Grafiken, leitet das System sie an eine virtuelle Maschine weiter, die sie automatisch in einem Browser ausführt.

Nun wird es spannend. Die Forscher gehen davon aus, dass Schadcode versuchen wird, aus dem Browser „auszubrechen“ und die virtuelle Maschine zu infizieren. Sie überwachen die VM deswegen auf ungewöhnliche Veränderungen, wie neue Dateien und Prozesse. Springt einer der installierten Trigger an, stufen sie die Seite als unsicher ein und leiten sie nicht an den Browser des Endanwenders weiter.

Spyproxy kann so problemlos neue Exploits und Zeroday-Angriffe erkennen, ohne auf Signaturen zurückgreifen zu müssen. Ein passives System wie Siteadvisor hängt dagegen immer hinterher, da eine gefährliche Seite zuerst gemeldet und untersucht werden muss, bevor sie ausgefiltert wird.

Ein Problem mit dem Spyproxy-Konzept ist jedoch der zusätzliche „Overhead“, den die VM produziert. Nach Angaben der Forscher soll sich die Zeit zwischen Anforderung der Webseite und ihrer Darstellung im Browser jedoch nur um 600 Millisekunden verlängern. Das hängt aber natürlich vom Computer des Anwenders ab. Zudem ist es lästig, nach dem Einschalten noch eine virtuelle Maschine starten zu müssen, bevor man surfen kann.

Ein weiteres Problem ist, dass viele Drive-by-Downloads heutzutage über Werbebanner verbreitet werden. Bei jeder Anforderung der Webseite wird jedoch meist ein anderer Banner geladen. Es ist also möglich, dass in der VM ein harmloser Banner erscheint, während der Anwender in seinem Browser einen manipulierten Banner zu sehen bekommt, der sein System dann doch infiziert.

Und noch ein Problem ist, dass man eine fertige Spyproxy-VM nicht einfach zum Download anbieten kann. In ihr muss ja Windows laufen und Microsoft hat bekanntlich etwas gegen eine kostenlose Verbreitung ihrer Betriebssysteme – außer man kriegt das irgendwie mit Nepenthes oder einer ähnlich Software hin. Ein Softwarepaket für eine selbst zu installierende Windows-VM gibt es jedenfalls noch nicht und es ist nicht bekannt, ob es dies jemals geben wird.

Weitere Beiträge zum Thema:
Freier Zugang zum (Sicherheits-)Archiv der Usenix-Gruppe
Wie Google nach verseuchten Webadressen sucht
Drive-by-Downloads

Schlechte Zeroday-Erkennungsraten aktueller Virenscanner

Die folgende Grafik zeigt die Erkennungsrate von neuen Schädlingen (Zeroday) durch 20 Virenscanner:

Die Ergebnisse sind nicht sehr aufbauend. Nur neun Scanner schaffen eine Quote über 40 Prozent. Der Rest erkennt etwa nur jeden Dritten neuen Schädling. Das ist viel zu wenig.

Die Grafik stammt von OITC, einem australischen Unternehmen, von dem ich allerdings noch nie gehört habe. Die Webseite wirkt auch etwas altbacken. Wie auch immer, die Methodik hinter der Grafik ist interessant. Nach eigenen Angaben lädt OITC brandneue Schädlinge bei Virustotal hoch und wertet die Ergebnisse aus.

The statistics available here are radically different than those that assess an antivirus system’s performance against a reference database of malware nor do they reflect what many antivirus vendor representatives wish to portray.

Sich nur auf Virustotal zu verlassen, ist jedoch etwas problematisch. Der spanische Online-Scanner erkennt Schädlinge nur per Signatur oder Heuristik. Eine verhaltensbasierte Erkennung, wie sie immer mehr Antiviren-Hersteller in ihre Produkte einbauen, ist nicht möglich, da die hochgeladenen Dateien ja nicht ausgeführt werden.

Genauere Zahlen zu den Erkennungsraten finden sich hier.

Die Schädlinge stammen laut OITC übrigens aus mehreren Windows-Honeypots des MIRT-Teams (Malware Incident Reporting & Termination) von Castlecops und einem OITC-Honeypot auf Linux-Basis.

MIRT collects malware by using honeypots installed with XP SP1, with no updates, no anti-malware, no firewall and Java 1.4.2. OITC uses email traps to collect malware as well as a Linux honeypot configured with an old, insecure out of the box distro with webserver and other services enabled.

Weitere Beiträge zum Thema:
Neuer Virenscanner-Test von AV-Test.org
Virustotal entfernt “Do not distribute”-Option
32facher Virencheck mit Virustotal

Neuer Virenscanner-Test von AV-Test.org

AV-Test.org hat erneut aktuelle Virenscanner getestet. Das Excel-Sheet mit den Ergebnissen ist bei Alex Eckelberry von Sunbelt Software zu finden. Die wichtigsten Spalten sind für mich „Proactive detection of new, unknown malware“ und natürlich „Detection of malware samples (on-demand)“. Hier haben nur drei Scanner jeweils zwei Pluszeichen (very good) erhalten: Sophos, Trustport und das Webwasher-Gateway.

Wobei man auch mit „schlechteren“ Ergebnissen gut leben kann. Wichtiger ist, dass man nicht jeden neuen Mist aus dem Internet herunterlädt und installiert.

In den Kommentaren hat Andreas Marx die Versionsnummern der getesteten Virenscanner veröffentlicht:

Avira Premium Security Suite 2008
avast! Professional Edition 4.7
AVG Internet Security 8.0
G Data Internet Security 2008
BitDefender Internet Security 2008
ClamWin 0.92
Dr Web for Windows 4.44
eScan Internet Security Suite 2008
CA Internet Security Suite Plus 2008
Fortinet Gateway 2.81
F-Prot for Windows 6.0.8.0
F-Secure Internet Security 2008
Ikarus AntiVirus Solution 1.0.69
K7 Total Security 9.0
Kaspersky Internet Security 2008
McAfee Internet Security 2008
Windows Live OneCare 2.0.2500
Eset Smart Security 3.0
Norman Internet Control Plus 5.91
Symantec Norton Internet Security 2008
Panda Internet Security 2008
QuickHeal Total Security 2008
Rising Internet Security 2008
Sophos Security Suite 2.5
Trend Micro Internet Security 2008
TrustPort Workstation 2.8.0
VBA32 Professional 3.12.6
VirusBuster Professional 9.121.27
Webwasher Gateway 6.6.2.2924
ZoneAlarm Internet Security Suite 7.1

Interessant sind noch die Zahlen der gefundenen Malware (via Sunbelt-Blog):

2005: 330.000
2006: 972.000
2007: 5.490.000
Jan/Feb 2008: 1.100.000

Der Druck durch elektronische Schädlinge nimmt also weiter zu.