Thema: Neues Rootkit spioniert sehr gut getarnt Daten aus

[SiLæncer]

Das Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

Verbreitet wird die Malware über manipulierte Webseiten. Mehrere tausend Online-Angebote will Prevx schon entdeckt haben, über die der Schadcode ausgeliefert wird. Werden die Seiten auf einem anfälligen Computer geladen, infiziert das Rootkit den Master Boot Record (MBR).

Wenn Virenscanner den MBR anschließend Scannen, finden sie in der Regel keinerlei Hinweise auf eine Infektion. Beim Starten von Windows kopiert das Rootkit dann aber einen Prozess namens svc.host in den Arbeitsspeicher. Dieser hat die Aufgabe, Daten zu sammeln und an einen Server im Internet zu übermitteln.

Angreifer können so beispielsweise die Eingabe von Logins für das Online-Banking und andere sensible Informationen ausspionieren. Nach Angaben der Sicherheitsexperten ist dabei auch der Versand der Daten gut getarnt und kann nur schwer mit entsprechenden Netzwerk-Tools festgestellt werden. Da die Kommunikation über den herkömmlichen WWW-Port erfolg, helfen auch Firewalls kaum.

Die verschiedenen Sicherheitsunternehmen arbeiten derzeit an Updates für ihre Antiviren-Produkte, um die neue Mebroot-Variante aufspüren zu können. Die erste Fassung des Rootkits erschien im Dezember 2007 und war noch deutlich weniger ausgeklügelt.

Quelle : http://winfuture.de

[SiLæncer]

Über eine Sicherheitslücke in älteren Java-Versionen wird eine neue Variante des MBR-Rootkits Mebroot verbreitet. Der Schädling wird über mit Exploit-Kits präparierte Websites eingeschleust.

Eine neue Variante eines altbekannten Schädlings macht wieder die Runde. Das Trojanische Pferd Mebroot (Alias: Sinowal, Torpig) nistet sich im Boot-Sektor (MBR, Master Boot Record) der Festplatte ein. Der Schädling wird daher auch als MBR-Rootkit kategorisiert. Mebroot/Sinowal ist seit etwa zwei Jahren bekannt. Die neue Variante wird unter anderem über eine Sicherheitslücke in Java verbreitet.
Andrea Lelli berichtet im Symantec Security Response Blog ausführlich über die neu entdeckte Version von Mebroot. Lelli geht dabei vor allem auf die Verbreitung des Schädlings mit Hilfe einer Schwachstelle in älteren Versionen des Java-Plug-ins JRE ein. Der Exploit-Code für diese Sicherheitslücke sei in einem populären Exploit-Toolkit enthalten, schreibt Lelli. Dieses nutze auch weitere Schwachstellen, etwa im Flash Player oder im Adobe Reader, zum Einschleusen von Mebroot.
Die Vorgehensweise der Täter folgt dem üblichen Schema. Eine präparierte Web-Seite enthält für die erste Stufe verschleierten Javascript-Code, der den vom Besucher benutzten Browser analysiert. Der Code ruft dann eine passende Unterseite auf, die geeigneten Exploit-Code bereit hält. Für eine installierte anfällige Java-Version wird ein präpariertes Java-Applet geladen, das als JAR-Archiv vorliegt.

Quelle : www.tecchannel.de