Der Internetwurm Gumblar, der seriöse Webseiten infiziert und ihre Besucher auf Malwareseiten umleitet, wird immer gefährlicher. Er nutzt Lücken in Adobe Reader und Adobe Flash aus, klaut Passwörter und ist nur äußerst schwer zu erkennen und beseitigen.
Virenschutzexperten warnen vor erhöhter Angriffsaktivität der unter dem Namen Gumblar zusammengefassten Kategorie von Trojanern. Laut dem aktuellen Gefahreneport des Sicherheitsdienstleisters ScanSafe war der Wurm im Oktober an 29 Prozent aller in den eigenen Hosting-Rechenzentren blockierten Angriffe beteiligt. Dabei veränderte er auch sein Verhalten grundlegend und benutzte erstmals seit seiner Entdeckung auch sein eigenes Netz infizierter Webseiten als Malware-Host. »Gumblar ist heute eine der heimtückischsten Bedrohungen, sowohl für Web-Surfer als auch Website-Betreiber«, meint Mary Landesman, Senior Security Researcher bei ScanSafe. »Wir entdeckten darüber hinaus Anfang November, dass andere Angreifer-Gruppen den Backdoor-Trojaner verwendeten, der auf den infizierten Websites geparkt war, um die Sites unter ihre Kontrolle zu bringen. Das verschärft die Lage noch weiter.«
Besonders gefährlich wird Gumblar durch mehrere Wirkungsweisen und Komponenten, die schnell angepasst werden können: Indem die Schadsoftware beispielsweise erst dynamisch zum Zeitpunkt des Eintritts erzeugt wird, erhalten die Nutzer unterschiedliche Exploits - abhängig von ihrem Browser-Typ und anderen Details - und dadurch potenziell unterschiedliche Malware. Diese dynamischen Scripts sind auch für Virenscanner nur schwer zu erkennen und nutzen Sicherheitslücken in Adobe Reader und Adobe Flash aus, um »Traffic Sniffer« und Backdoor-Trojaner auf einem Rechner einzuschleusen. Darüber wird es möglich, Suchergebnisse bei einer Google-Suche mit dem Internet Explorer zu manipulieren und den Verkehr umzuleiten. Interessanterweise zeigt eine Untersuchung des Source-Codes der Malware, der über die Gumblar-Backdoor Websites eingeschleust wurde, dass die Schadsoftware sprach-spezifisch arbeitet. Sie zielt bisher ausschließlich auf englische, niederländische, deutsche, italienische und spanische Internet-Besucher ab.
Bisher kaum Gegenmaßnahmen
Dieser Aufbau macht Gumblar zu einem bisher einzigartigen Stück Malware, da sich die Hintermänner nicht über die übliche direkte Einschleusung von Code Zugang zu einem fremden Rechner verschaffen, sondern ges tohlene FTP-Anmeldedaten dazu nutzen. Anschließend installiert er PHP Hintertür-Trojaner auf den infizierten Webseiten und nutzt diese Hintertüren als Malware-Host - eine bisher einmalige Abweichung von der Norm. Um die Malware von der infizierten Website zu laden, werden in zehntausende anderer kompromittierten Websites i-Frames eingebettet. Dadurch sind Web-Surfer, die eine dieser verseuchten Sites besuchen, gleich einer ganzen Sammlung von verschiedenen Exploits ausgeliefert, die im Hintergrund heimlich, still und leise die Gumblar Malware installieren. Auf Windows-Systemen wird die Malware dann geladen, sobald auf Ton-fähige Websites oder Geräte zugegriffen wird. Darüber hinaus befällt der Schädling den Internet Explorer-Prozess und fängt jeden Web-Datenverkehr zum und vom Computer ab. Dabei wird jede FTP-Anmeldeinformation registriert und dem Angreifer zugesendet, wodurch das Gumblar Website Botnet weiter wächst.
Die Gegenmaßnahmen sind begrenzt: »Bei einem typischen Ausbruch sind meist nur einige wenige aktuelle Malware-Domänen beteiligt. Im Falle von Gumblar gibt es konservativ geschätzt mindestens 2000 Websites mit Backdoor-Trojanern, die als Malware-Hosts dienen. Das bedeutet, dass es keine oder nur wenige Möglichkeiten gibt, den Ausgangspunkt der Malware auszuschalten,« konstatiert Landesman. Ob ein PC mit Gumblar infiziert ist, lässt sich am besten über die Prüfsumme der Datei sqlodbc.chm erkennen, die durch die Malware modifiziert wird. Ist der PC erst einmal verseucht, sollten die Festplatten formatiert und das Betriebssystem neu aufgesetzt werden. Außerdem wird empfohlen, danach sofort alle Login-Daten und Passwörter zu ändern. |
| Quelle: informationweek.de |
Deutsch
Englisch
Französisch
Italienisch
