Malware nutzt eigenes Botnetz als Malware-Host

Gumblar schon für ein Drittel aller Malwarefälle verantwortlich

24.11.2009 | Redakteur: Peter Schmitz

Die Web-basierte Malware Gumblar ist bereits für 29 Prozent der von ScanSafe blockierten Schadsoftware verantwortlich.
Die Web-basierte Malware Gumblar ist bereits für 29 Prozent der von ScanSafe blockierten Schadsoftware verantwortlich.

Die Malware Gumblar ist inzwischen schon für 29 Prozent der blockierten Schadsoftware verantwortlich, meldet der Dienstleister für Web Security as a Service, ScanSafe. Gumblar verbreitet sich rasch, er schleust sich in seriöse Webseiten ein, leitet die Nutzer auf gefälschte Internetseiten um und installiert dort über Exploits dynamisch angepasste Malware. Auf einem infizierten Computer stiehlt Gumblar dann FTP-Zugangsdaten.

„Gumblar ist heute eine der heimtückischsten Bedrohungen, sowohl für Web-Surfer als auch Website-Betreiber“, meint Mary Landesman, Senior Security Researcher bei ScanSafe. „Wir entdeckten darüber hinaus Anfang November, dass andere Angreifer-Gruppen den Backdoor-Trojaner verwendeten, der auf den infizierten Websites geparkt war, um die Sites unter ihre Kontrolle zu bringen. Das verschärft die Lage noch weiter.“

Die Gumblar-Autoren verwenden dynamisch generierte JavaScripts, die nur schwer von Sicherheitssoftware zu entdecken sind. Die Skripte nutzten Sicherheitslücken in Adobe Reader und Adobe Flash aus, um „Traffic Sniffer“ und Hintertür-Trojaner auf einem Rechner einzuschleusen. Der wiederum manipuliert Suchergebnisse bei einer Google-Suche mit dem Internet Explorer.

Laut ScanSafe nutzte Gumblar ab Oktober 2009 sein Netz infizierter Webseiten entgegen aller früheren Gewohnheiten selbst als Malware-Host. Die Schadsoftware wird dynamisch zum Zeitpunkt des Eintritts erzeugt. Dadurch erhalten die Nutzer unterschiedliche Exploits, abhängig von ihrem Browser-Typ und anderen Details und dadurch potenziell unterschiedliche Malware. Besorgniserregend ist, dass die Malware auch dynamisch verborgen wird, was den Nachweis über traditionelle Signatur-Strings verhindert.

Gumblar ist einzigartig, da sich die Angreifer mehr über gestohlene FTP-Anmeldedaten Zugang verschaffen als via übliche Code-Injektion Methoden. Gumblar installiert PHP Hintertür-Trojaner auf infizierten Webseiten und nutzt die Hintertür-Webseiten als Malware-Host - eine evolutionäre Abweichung von der Norm!

„Bei einem typischen Ausbruch sind meist nur einige wenige aktuelle Malware-Domänen beteiligt. Im Falle von Gumblar gibt es konservativ geschätzt mindestens 2000 Websites mit Backdoor-Trojanern, die als Malware-Hosts dienen. Das bedeutet, dass es keine oder nur wenige Möglichkeiten gibt, den Ausgangspunkt der Malware auszuschalten,“ meint Landesman.

Clevere Malware installiert automatisch und sprach-spezifisch neue Malware

Um die Malware von der infizierten Website zu laden, werden in zehntausende anderer kompromittierten Websites i-Frames eingebettet. Erschreckender Weise sind so Web-Surfer, der eine dieser Sites besuchen, gleich einer Sammlung von verschiedenen Exploits ausgeliefert, die heimlich und leise die Gumblar Malware installieren.

Die Malware wird auf Windows-Systemen geladen, sobald auf Ton-fähige Websites oder Geräte zugegriffen wird. Der Trojaner befällt auch den Internet Explorer-Prozess und fängt jeden Web-Datenverkehr zum und vom Computer ab. Jede FTP-Anmeldeinformation wird registriert und dem Angreifer zugespielt, wodurch das Gumblar Website Botnet weiter wächst.

Interessanterweise zeigt eine Untersuchung des Source-Codes der Malware, der über die Gumblar-Backdoor Websites eingeschleust wurde, dass die Schadsoftware sprach-spezifisch arbeitet: sie zielt auf englische, niederländische, deutsche, italienische und spanische Internet-Besucher ab.

Ob ein PC mit Gumblar verseucht ist, lässt sich am besten an der Prüfsumme der Datei sqlodbc.chm erkennen, die die Malware modifiziert. Opfern des Schädlings empfiehlt ScanSafe ihre Festplatte zu formatieren und ihr Betriebssystem neu zu installieren. Zudem sollten sie alle Passwörter und Log-in-Daten erneuern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2042322 / Malware)