Angriff auf Ungeduldige
Von Uli Ries
Die IT-Sicherheitsexperten von Damballa entdeckten einen BitTorrent-Download einer vollkommen lauffähigen Version des Release Candidates (RC) von Windows 7, der mit einem Trojaner infiziert ist. Wer also diese zu Testzwecken frei gegebene, verseuchte Vorabvariante des Vista-Nachfolgers installierte, aktivierte unwissentlich und vollautomatisch die Malware, die offenbar zum Aufbau eines Botnetzes gedacht war. Kaspersky Antivirus kennt den Trojaner als Win32.Banload.cdk, Trend Micro als DROPPER-SPX. Die Malware kann – wie viele andere Vertreter dieser Gattung – nach und nach neue Schädlinge herunterladen und somit das Arsenal der Schadroutinen erweitern.
CnC abgeschaltet
Laut Damballa tauchte die verseuchte RC-Version auf, kurz nachdem sie Softwareentwicklern zur Verfügung gestellt wurde. Offenbar wollten die Anwender, die sich des Downloads aus der zweifelhaften Quelle bedienten, nicht auf die offizielle Freigabe des Release Candidates durch Microsoft einige Tage später warten und zogen sich die Raubkopie. Vielleicht hatten die Interessenten auch Angst, dass es wieder zu einem ähnlichen Chaos kommt wie wenige Monate zuvor, als Microsoft die Betaversion von Windows 7 nur für einige Tage zum Download stellen wollte und somit eine heillose Überlastung der Downloadserver provozierte.
Zusammen mit nicht näher genannten Partnern gelang es Damballa am 10. Mai 2009, den bis dahin unter codecs.sytes.net erreichbaren Command&Control-Server des Botnetzes abzuschalten und danach die Kontaktversuche der neu infizierten PCs zu zählen. Die Malware-Experten ermittelten über 550 neue Infektionen pro Stunde in der Spitze und schätzen, dass binnen weniger Tage insgesamt mehr als 27.000 Rechner infiziert wurden.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Im Vergleich zu Mega-Botnetzen wie Conficker ist das zwar eine verschwindend kleine Zahl, angesichts des Verteilungsweges ist eine Steigerung aber sehr leicht denkbar. Seit Damballa den CnC-Server unter Kontrolle hat, geraten alle neu infizierten Rechner nicht mehr in die Fänge der Cyberkriminellen. Die bereits zuvor befallenen Maschinen bleiben jedoch Teil des Botnetzes und können nach wie vor mit neuen Schädlingen beschickt werden.
Vom Start weg befallen
Genau wie beim vor einigen Monaten aufgetauchten, ebenfalls verseuchten Download der Mac-OS-X-Software iWork 09 gab es auch beim RC keinen Grund, auf den Download der Raubkopie zu setzen: Beide Softwarepakete standen bei den jeweiligen Herstellern zum Herunterladen bereit.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Absurderweise hat Microsoft bei Windows 7 einiges getan, um die Systemsicherheit zu erhöhen. So wurde unter anderem ist die Autoplay-Funktion deaktiviert, um Conficker & Co. die Stirn zu bieten. Im aktuellen Fall bringt das aber leider nichts. Denn das Perfide an dieser Art der Malware-Verteilung ist, dass der Trojaner bereits aktiv ist, bevor der Anwender irgendeine Antivirussoftware installieren kann oder die betriebssystemeigenen Schutzmechanismen greifen.
