Thema: Neuer Gumblar-Wurm wohl gefährlicher als Conficker

[SiLæncer]

Sicherheitsexperten warnen derzeit vor einem Wurm, der nach derzeitigen Erkenntnissen noch gefährlicher sein soll als Conficker. Er trägt den Namen Gumblar.

Der Schädling verbreitet sich über manipulierte Webseiten. Kann er sich auf diesem Weg auf einem PC einnisten, sucht er dort nach FTP-Zugangdaten zu weiteren Online-Inhalten. Automatisiert bemüht er sich dann, auf weitere Webserver zu gelangen und mehr Besucher zu infizieren.

Der Wurm nutzt zum Eindringen in einen PC Sicherheitslücken im Flash Player sowie im Adobe Reader. Das Erkennen des Schädlings durch Antiviren-Scanner falle nach Angaben des Sicherheitsunternehmens ScanSafe relativ schwer, weil die Entwickler die Malware mit einem sich ständig ändernden, dynamischen Script-Code versehen haben.

Die infizierten Rechner weisen Eigenschaften von typischen Botnetz-Zombies auf. Allerdings ist bisher noch nicht geklärt, zu welchen Zwecken die so entstehende Infrastruktur genutzt werden soll.

Verlässliche Tests auf eine Infektion gibt es derzeit noch nicht. Anhaltspunkte auf einen Befall bietet allerdings die im Windows-Systemverzeichnis zu findende Datei "sqlsodbc.chm". Deren SHA1-Hash kann mit einer Liste bei ScanSafe abgeglichen werden. Ist der Wert dort nicht zu finden, ist die Datei vermutlich durch Gumblar manipuliert worden. Den Hash kann man beispielsweise mit dem Tool FileAlyzer ermitteln. Einzige aktuell bekannte Maßnahme gegen den Wurm ist eine komplette Neuinstallation.

Quelle : http://winfuture.de

[SiLæncer]

Gumblar geht wieder um. Bereits mehrere zehntausend Websites sind gehackt und mit schädlichem Script-Code präpariert worden. Dieser infiziert die Rechner von Besuchern legitimer Seiten mit Malware.

Bereits im Frühjahr gab es eine Welle von Server-Hacks, bei denen viele tausend Websites mit schädlichem Code verseucht wurden. Bei den auch als "Gumblar-Angriffe" bezeichneten Aktionen haben Online-Kriminelle legitime, ehemals harmlose Web-Seiten so präpariert, dass die Rechner von Besuchern mit Malware verseucht wurden. Diese Angriffe sind nun in einer zweiten Welle zurück und haben bereits zu mehreren zehntausend verseuchten Websites geführt.

Michael Molsner von Antivirushersteller Kaspersky Lab berichtet im Blog des Unternehmens über die jüngsten Entwicklungen. Allein in Deutschland hat sich demnach die Zahl der infizierten Websites über das Wochenende von 500 auf über 1000 verdoppelt. In Russland und der Türkei sind ähnliche Zuwächse zu verzeichnen. Die meisten der kompromittierten Server, knapp 8000, stehen in den USA, es sind jedoch Websites in mehr als 200 Ländern betroffen. Auffallend viele dieser Websites gehören zu Regierungsbehörden und Bildungseinrichtungen wie Universitäten.

Der über SQL-Injection eingefügte Code leitet Besucher verdeckt auf Malware-Sites um, die mit Exploit-Code versuchen Schwachstellen im Adobe Reader und im Flash-Plugin auszunutzen. Im Erfolgsfall schleusen sie Malware ein, die den infizierten PC zu einem Teil des Gumblar-Botnet macht.

Befallene Rechner können durch scheinbar unmotivierte Neustarts auffallen, in einigen Fällen bleibt der Bildschirm danach schwarz - nur der Mauszeiger ist sichtbar. Meist fällt die Infektion jedoch gar nicht auf. Wird der PC mit Antivirus-Software bereinigt, kann jederzeit eine Neuinfektion mit einer neuen Malware-Variante erfolgen, wenn der Anwender eine legitime und vermeintlich harmlose Website besucht.
Um sich zu schützen, sollten Sie Ihren Browser und die darin installierten Plugins auf dem neuesten Stand halten, ebenso die Antivirus-Software. Firefox-Nutzer können zudem die Erweiterung Noscript einsetzen, um das Laden von Script-Code zu unterbinden.

Quelle : www.pcwelt.de