Neuer Schädling manipuliert Google-Ergebnisse
Archivmeldung vom 19.05.2009
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 19.05.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittFür Cyber-Kriminelle erweisen sich so genannte Drive-by-Infektionen zunehmend als Angriffsmethode der ersten Wahl. Die aktuell stark zunehmende Verbreitung eines neuen Schädlings belegt dies eindrucksvoll. Das auf den Namen "Gumblar" getaufte Trojanische Pferd macht sich zur Verbreitung Sicherheitslücken in Browser-Erweiterungen wie PDF oder Flash zunutze. Auf diese Weise kann es bereits durch den bloßen Besuch infizierter Webseiten das System des Opfers mit Schadcode infizieren.
Auf infizierten Rechnern klinkt sich der Schädling in den Internet-Browser ein und manipuliert Suchergebnisse der Suchmaschine Google. Die von Gumblar veränderten Suchergebnisse verweisen auf Webseiten, die unter der Kontrolle des Angreifers stehen. Klickt das Opfer auf einen der manipulierten Treffer, landet es auf präparierten Webseiten, auf denen weitere Bedrohungen lauern können.
Neben der beschriebenen Manipulation von Suchergebnissen ist außerdem eine Komponente enthalten, die Zugangsdaten zu FTP-Servern ausspähen soll. Die Angreifer spekulieren darauf, über diese FTP-Zugänge Zugriff auf weitere Webserver zu erhalten und diese zu infizieren, um die Verbreitung des Schädlings weiter voranzutreiben. Greift das Opfer per FTP auf die Dateien seiner eigenen Web-Präsenz zu, um Inhalte zu überarbeiten oder diese auf eine mögliche Infektion zu überprüfen, hängt der Schädling bösartigen Script-Code an. Besucher der auf diese Weise infizierten Webseiten können so ebenfalls infiziert werden. Exemplare des Schädlings tauchten unter dem Aliasnamen „Geno“ unter anderem in Japan auf und infizierten dort reihenweise populäre Domains.
Darüberhinaus installiert Gumblar auf befallenen Systemen eine Backdoor, die dem Angreifer die Fernsteuerung des befallenen Systems ermöglicht und damit möglicherweise die Grundlage für ein künftiges Botnetz schafft. Das beschriebene Wechselspiel zwischen verseuchten Seiten, bei deren Besuchern FTP-Zugänge zu weiteren Webseiten gestohlen werden, erklärt die massiv zunehmende Verbreitung von Gumblar. Nach Messungen von Sicherheits-Experten sind bereits rund 3000 Domains infiziert. Diese Ziffer steigt ständig; die Dunkelziffer dürfte zudem um ein Vielfaches höher liegen.
Besonders tückisch: Die Bedrohung hat viele Gesichter. Anhand bestimmter Parameter des betroffenen Systems erhält jedes Opfer eine individuelle Version des Schädlings.
Die chinesischen Domains gumblar.cn und martuz.cn, von der Gumblar bisher weiteren Schadcode nachgeladen hatte, sind mittlerweile nicht mehr erreichbar. Aufgrund der im Zuge der Infektion eingerichteten Backdoor sollte dennoch nicht vorschnell von einem Ende der Bedrohung ausgegangen werden.
Die Experten der G Data-Security Labs empfehlen allen Anwendern, das Betriebssystem und die darauf installierte Anwendungssoftware regelmäßig auf Aktualität zu prüfen und alle verfügbaren Updates einzuspielen. Angreifer setzen verstärkt auf Sicherheitslücken in den Systemen Ihrer Opfer, die auf ein vernachlässigtes Update-Management zurückzuführen sind.
Tipps, wie Anwender ihre Systeme schützen können, gibt G Data-Sicherheitsexperte Ralf Benzmüller:
- Anwendersoftware, wie E-Mail-Clients, Chatprogramme und Download-Manager, aber auch Grafik- und Videoprogramme und Archiv-Software können Sicherheitslücken aufweisen. Hintertüren, die von Angreifern leicht ausgenutzt werden können. Beim Aufspüren helfen kostenlose Tools und Services, wie z. B. Secunia Personal Inspector (www.secunia.com).
- Programme, für die es keinen Hersteller-Service mehr gibt, sollten von der Festplatte gelöscht werden. Dies gilt auch für veraltete Windows-Betriebssysteme, für die keine Patches mehr ausgeliefert werden.
- Aufräumen heißt aber auch Windows-Rechte sinnvoll einstellen. Nach Möglichkeit sollte beim Surfen im Internet ein Benutzer mit eingeschränkten Rechten am PC angemeldet sein. Dies bietet einen deutlichen Sicherheitsgewinn gegenüber dem Surfen mit Administrator-Nutzerkonten. Sofern auf dem Rechner bisher nur ein Administrator existiert, lässt sich ein Nutzerkonto mit eingeschränkten Rechten leicht über den Bereich „Benutzer“ in der Systemsteuerung anlegen. Wer seinen Rechner komplett neu aufsetzt, kann bei der Installation von Windows einen Benutzer mit eingeschränkten Rechten anlegen.
- Aktuellste Virenschutzsoftware oder Internetsicherheitspakete einsetzen. Achten Sie besonders auf eine ordnungsgemäße Registrierung, damit der Updatemechanismus funktioniert und laden Sie die aktuellsten Signatur- und Programmupdates herunter. Virenschutz ohne Update-Service bietet keinen Schutz vor aktuellen Schädlingen.
- Niemals ohne Firewall surfen oder diese deaktivieren. Dies gilt sowohl für Rechner, die hinter einem Router betrieben werden, als auch für Systeme, die per DFÜ-Netzwerk eine direkte ISDN- oder Modemverbindung zum Internet herstellen.
- Die Verwendung von Security-Lösungen mit integriertem System-Tuning und Registry-Cleaning entfernt unnötigen Ballast. Hierdurch wird Windows stabiler und wieder flotter.
Quelle: G Data-Security Labs