Windows 7 RC
[Bearbeiten] Angriff auf Ungeduldige
Von Uli Ries
Die IT-Sicherheitsexperten von Damballa entdeckten einen BitTorrent-Download einer vollkommen lauffähigen Version des Release Candidates (RC) von Windows 7, der mit einem Trojaner infiziert ist. Wer also diese zu Testzwecken frei gegebene, verseuchte Vorabvariante des Vista-Nachfolgers installierte, aktivierte unwissentlich und vollautomatisch die Malware, die offenbar zum Aufbau eines Botnetzes gedacht war. Kaspersky Antivirus kennt den Trojaner als Win32.Banload.cdk, Trend Micro als DROPPER-SPX. Die Malware kann – wie viele andere Vertreter dieser Gattung – nach und nach neue Schädlinge herunterladen und somit das Arsenal der Schadroutinen erweitern.
| E-Book am Online-Kiosk | |
|---|---|
| Dieser Beitrag erschien zuerst in unserer Magazinreihe. Das regelmäßige PDF-Magazin können Sie kostenlos abonnieren. Einzelhefte bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki. |
|
[Bearbeiten] CnC abgeschaltet
Laut Damballa tauchte die verseuchte RC-Version auf, kurz nachdem sie Softwareentwicklern zur Verfügung gestellt wurde. Offenbar wollten die Anwender, die sich des Downloads aus der zweifelhaften Quelle bedienten, nicht auf die offizielle Freigabe des Release Candidates durch Microsoft einige Tage später warten und zogen sich die Raubkopie. Vielleicht hatten die Interessenten auch Angst, dass es wieder zu einem ähnlichen Chaos kommt wie wenige Monate zuvor, als Microsoft die Betaversion von Windows 7 nur für einige Tage zum Download stellen wollte und somit eine heillose Überlastung der Downloadserver provozierte.
Zusammen mit nicht näher genannten Partnern gelang es Damballa am 10. Mai 2009, den bis dahin unter codecs.sytes.net erreichbaren Command&Control-Server des Botnetzes abzuschalten und danach die Kontaktversuche der neu infizierten PCs zu zählen. Die Malware-Experten ermittelten über 550 neue Infektionen pro Stunde in der Spitze und schätzen, dass binnen weniger Tage insgesamt mehr als 27.000 Rechner infiziert wurden.
| Serie: IT-Sicherheit |
|---|
Im Vergleich zu Mega-Botnetzen wie Conficker ist das zwar eine verschwindend kleine Zahl, angesichts des Verteilungsweges ist eine Steigerung aber sehr leicht denkbar. Seit Damballa den CnC-Server unter Kontrolle hat, geraten alle neu infizierten Rechner nicht mehr in die Fänge der Cyberkriminellen. Die bereits zuvor befallenen Maschinen bleiben jedoch Teil des Botnetzes und können nach wie vor mit neuen Schädlingen beschickt werden.
[Bearbeiten] Vom Start weg befallen
Genau wie beim vor einigen Monaten aufgetauchten, ebenfalls verseuchten Download der Mac-OS-X-Software iWork 09 gab es auch beim RC keinen Grund, auf den Download der Raubkopie zu setzen: Beide Softwarepakete standen bei den jeweiligen Herstellern zum Herunterladen bereit.
Absurderweise hat Microsoft bei Windows 7 einiges getan, um die Systemsicherheit zu erhöhen. So wurde unter anderem ist die Autoplay-Funktion deaktiviert, um Conficker & Co. die Stirn zu bieten. Im aktuellen Fall bringt das aber leider nichts. Denn das Perfide an dieser Art der Malware-Verteilung ist, dass der Trojaner bereits aktiv ist, bevor der Anwender irgendeine Antivirussoftware installieren kann oder die betriebssystemeigenen Schutzmechanismen greifen.
[Bearbeiten] Nützliche Links
Über aktuelle Produkte und Lösungen berichtet laufend das ITK Journal im MittelstandsWiki. Alle Präsentationen der CeBIT Security World 2008 und der CeBIT Security World 2009 gibt es online als Diaschau und PDF.
| In der Datenbank |
In den Journalen
- Lesezeichen:
Aktuelle Pressemitteilungen
- Provantis: ZEP 4.2 erfasst Projektzeiten effektiver
- HD-Videokonferenzen: Deutsche Version von WorkSpace3D als SaaS verfügbar
- Pack 2000: ADS-Systeme versorgen automatisch mit Verpackungsmaterial
- Collmex: Buchhaltung verwaltet und archiviert Dokumente
- Quest Software: Freeware vereinfacht Verwaltung von Benutzergruppen
