Werbung - Gast

Kriminelle kombinieren Schadcode für Windows und Mac


Keywords for this topic
windows, und, kriminelle, mac, kombinieren, schadcode, für, laeuft, offenbar, sowohl, gefahr, apple, software, nutzen, weiterhin

Kriminelle kombinieren Schadcode für Windows und Mac

Unread postby Thomas » Tue 24. Apr 2012, 20:49

Der Erfolg des Flashback-Trojaners ist offenbar für andere Kriminelle ein Grund, ihr Feld zu erweitern. Eine lange von Apple vernachlässigte Java-Sicherheitslücke nutzt Maljava nicht nur auf Windows-Rechnern, sondern auch auf Macs aus. Angriffe auf Linux verlaufen aber ins Leere.

Maljava ist ein Trojaner, der plattformübergreifend arbeitet. Er macht sich den Vor- und Nachteil der plattformübergreifenden Java-Laufzeitumgebung zu eigen und nutzt das mangelnde Risikobewusstsein vieler Java-Nutzer aus, die ihre Software nicht aktualisieren.

Dank der Plattformunabhängigkeit kann sich Maljava, wie schon Flashback und viele andere Schadsoftware, die bekannte Java-Sicherheitslücke CVE-2012-0507 zunutze machen, die Oracle im Februar und Apple Anfang April gepatcht haben. Dabei wird ein Java-Applet sowohl auf Macs als auch auf Windows-Maschinen ausgeführt. Dieses erkennt den Maschinentyp und lädt einen Dropper herunter. Auf Macs ist das eine Python-Datei, auf Windows-Rechnern eine Exe-Datei. Diese installiert dann eine Backdoor, um den Rechner nach außen zu öffnen. Auch hier gibt es unterschiedlichen Code. Während sich die Windows-Schadsoftware als vermeintlich systemkritische ntshrui.dll tarnt, ist die Mac-Variante mit update.py benannt.


351

Prinzipiell werden so übrigens auch Linux-Rechner angegriffen. Laut Symantec wird dann der Mac-Code-Teil ausgeführt, der auf Linux-Rechnern allerdings mangels geschriebenen Codes ins Leere läuft. Es gibt eine zweite Überprüfung: Nach dem Testen auf Windows als Grundlage wird noch überprüft, ob Mac OS X benutzt wird, bevor der Python-Code ausgeführt wird.

Derweil gibt es auch Neuigkeiten zum Flashback-Trojaner und sogar eine neue Version. Symantec und Dr. Web sind sich derzeit uneinig über die Infektionsrate. Dr. Web geht von rund 570.000 infizierten Macs aus. Demnach sinkt die Anzahl der Infektionen also, aber nicht so stark, wie Symantec annimmt. Die Firma geht nur noch von rund 200.000 Infektionen aus. Beide nutzen Sinkhole-Server, um direkt das Botnet abzuhören.

Die Nutzung von Hardware-IDs durch die Schadsoftware erleichtert es Sicherheitsfirmen, die Schädlinge zu zählen, sofern sie denn gesehen werden. Von Apple gibt es kaum Informationen, die Firma sah sich aber gezwungen, ihren ersten Trojaner-Entferner zu programmieren und zu verteilen (Information zum Apple Trojaner-Entferner).

Die weiterhin hohen Zahlen lassen darauf schließen, dass die Gefahr der seit Februar bekannten Java-Sicherheitslücke den Betroffenen noch nicht bewusst ist. Angegriffen wird weiterhin hauptsächlich der englischsprachige Raum. Zwischenzeitlich wurden nur 4.000 Infektionen in Deutschland gemeldet.

Die Flashback-Entwickler sind allerdings weiterhin aktiv. So meldet Intego eine neue Variante der Software. Der Code wird weiterhin verbessert. Social Engineering und die Maskierung als Flash-Update sind nicht mehr notwendig. Der Nutzer braucht kein Passwort mehr einzugeben, um sich zu infizieren.

Obendrein räumt Flashback hinter sich auf. Nach der Installation werden die Spuren verwischt. Zudem ist Flashback sehr wählerisch. Findet die Installationsroutine besondere Software, die auf einen versierten Anwender hinweist, installiert sich der Trojaner erst gar nicht. Es reicht, Xcode zu installieren, um nicht mehr als attraktives Ziel zu gelten.

Weiterhin gilt: Theoretisch gibt es kein Risiko. Wer alle Sicherheitsupdates installiert hat, ist weder für Flashback noch für Maljava oder den für gezielte Angriffe entwickelten Sabpab anfällig.
Mfg Thomas
User avatar
Thomas
Administrator
Administrator
 
Users InformationUsers Information Users Information
 

Show post links

Offline

Werbung - Mitte

 

Share on ...

Share on FacebookShare on TwitterShare on TuentiShare on SonicoShare on FriendFeedShare on OrkutShare on DiggShare on MySpaceShare on DeliciousShare on Technorati

Werbung - Allgemein


Who is online

Users browsing this forum: No registered users and 32 guests

Return to Sicherheit

Who is online

Users browsing this forum: No registered users and 32 guests

cron

User Control Panel

Login

Who is online

In total there are 32 users online :: 0 registered, 0 hidden, 0 bots and 32 guests (based on users active over the past 60 minutes)
Most users ever online was 2918 on Sun 19. Jan 2020, 07:36

Users browsing this forum: No registered users and 32 guests
TWCportal DE | TWCmail DE & TWCmail EU | Help-Book DE & Help-Book EU | PHP-Wolf | Online-ABC & OnlineABC | Web-Hacks


Usemax-Advertisement | Zanox - Das Werbenetzwerk | TWCgames DE