Trend Micro Malware-Report für Januar 2009 - Downad, Whaling und Obama

(openPR) Malware kombiniert verschiedene Angriffsmethoden; einfache Maßnahmen können schützen

Trend Micro (TSE:4704) informiert über die Entwicklung der aktuellen Bedrohungslandschaft im Januar 2009: Weltweites Aufsehen verursachte der Wurm Downad/Conficker, der sich durch Kombination verschiedener Angriffsmethoden global verbreiten konnte. Dabei attackierte die Malware gezielt Schwachstellen im Patch- und Passwort-Management von Unternehmen. Zudem ist für 2009 mit einem weiteren Anstieg beim Whaling zu rechnen, dem gezielten Angriff auf hochrangige Personen in Unternehmen und anderen Organisationen. Darüber hinaus setzt die Malware-Szene weiterhin auf Barack Obama als Aufhänger für Social-Engineering-Tricks.

Im Januar bewies der Wurm Downad, der von Trend Micro als WORM_DOWNAD.AD identifiziert wurde, dass die Ära der spektakulären, weltweiten Angriffswellen noch nicht vorbei ist. Die Malware, nach Meinung einiger Sicherheitsexperten auffallend effizient programmiert, kombiniert gleich drei Verbreitungsmethoden: gezielte Angriffe auf die bekannte Microsoft Schwachstelle MS08-67 sowie Infektionen durch USB-Speichermedien und Datenaustausch im Netzwerk. Auf befallenen Systemen blockiert der Wurm den Aufruf von Webseiten bekannter Sicherheitsanbieter und deaktiviert Windows Update sowie Windows Security Centre. Nach der Infektion wird in regelmäßigen Abständen versucht, mit einer Kommandoinfrastruktur im Internet Kontakt aufzunehmen. Trend Micro geht daher davon aus, dass mit Downad ein riesiges Bot-Netzwerk aufgebaut werden soll - wahrscheinlich um Ersatz für die fünf großen Bot-Netze zu schaffen, die gegen Ende 2008 zerschlagen wurden.


Downad: Ein Problem, das keines sein sollte

Die schnelle Verbreitung von Downad weist auf ein ernstes Problem in Unternehmen hin: schwache oder nicht konsistent umgesetzt Security Policies. Der Patch für die Microsoft Schwachstelle ist seit Monaten verfügbar und wurde als "kritisch" klassifiziert. Dass der Exploit trotzdem noch häufig funktioniert, lässt auf ein unzureichendes Patch Management schließen. Außerdem macht sich der Wurm schwache Passwörter und die Autorun-Funktion für USB-Medien zu Nutzen. Zusätzlich bieten die aktuellsten Versionen der Content-Security-Lösungen effektiven Schutz.

"Administratoren sollten einige einfache Regeln befolgen: Alle Systeme müssen regelmäßig und zeitnah mit den neuesten Patches aktualisiert werden. Darüber hinaus muss die Autorun-Funktion über Group Policies für alle PCs deaktiviert werden. Eine eindeutige Passwort-Policy für alle Anwender schützt vor Brute-Force-Angriffen", erläutert Rik Ferguson, Senior Security Advisor bei Trend Micro. "Diese grundlegenden Maßnahmen reichen aus, um das Bedrohungspotenzial deutlich zu reduzieren. Durch Technologien wie das Trend Micro Smart Protection Network lassen sich zudem die Verbindungsversuche von Würmern wie Downad identifizieren und blockieren, wodurch das Schadenspotenzial begrenzt und neue Varianten schneller aufgespürt werden."


Jagd auf große Fische: Whaling nimmt 2009 weiter zu

Seit 2006 beobachtet Trend Micro einen deutlichen Anstieg bei "Whaling" bzw. "Whale Phishing", also gezielten Angriffen auf hochrangige Personen in Unternehmen oder anderen Organisationen. Die Angriffsmethode gleicht dabei dem bekannten Phishing: Opfer erhalten eine E-Mail mit Anhang oder eingebetteter URL, die zu einer Malware-Infektion führen. Der Trick dabei: Der Nachrichtentext ist genau auf das Opfer zugeschnitten, sodass die Täuschung perfekt ist. Für die Personalisierung werden oftmals frei verfügbare Informationen aus dem Internet bzw. sozialen oder professionellen Online-Netzwerken genutzt.

Für den Angreifer hat Whaling entscheidende Vorteile: Ziele haben oft besonders lukrative Informationen auf ihren Systemen, die geringe Zahl der versandten E-Mails erschwert die Entdeckung der Kriminellen. Außerdem machen Opfer den Vorfall nur selten publik. Für 2009 erwartet Trend Micro daher einen weiteren Anstieg der Whaling-Angriffe, wobei bereits heute von einer hohen Dunkelziffer auszugehen ist.


Obama tritt nicht zurück: Falsche News-Seiten verbreiten Malware

Das weltweit große Interesse für alle Themen rund um den neuen amerikanischen Präsidenten ist ungebrochen - leider bedeutet das auch, dass die Malware-Szene weiterhin über einen zugkräftigen Aufhänger für ihr Social Engineering verfügt. Wie von Trend Micro prognostiziert, tauchte im Umfeld der Amtseinführung eine Vielzahl angeblicher News-Seiten auf, die mit teilweise absurden Behauptungen - "Obama tritt zurück" - um Aufmerksamkeit wetteiferten. Die auf den Webseiten angegebenen Links führen zu einer Infektion mit unterschiedlichster Malware. Nach Erkenntnissen von Trend Micro handelt es sich meist um Varianten des Wurms Waledac, von Trend Micro als WORM_WALEDAC.AR identifiziert, der E-Mail-Adressen ausspioniert und eine Hintertür für Angreifer öffnet.

Weitere Informationen zu aktuellen Web-Bedrohungen sind unter http://blog.trendmicro.com/ verfügbar.