Bei näherer Betrachtung der Bedrohungen im August ergibt sich ein interessantes Bild: Rund 53 Prozent der neu entdeckten Malicious Codes wiesen Merkmale von Trojanern und Backdoors auf, weitere 21 Prozent zeigten Charakteristika eines Wurms. Diese Zahlen belegen, dass sich die Motive von Virenprogrammieren in letzter Zeit grundlegend geändert haben. Die Zerstörung möglichst vieler Computer und die damit verbundene mediale Aufmerksamkeit sind nicht mehr die Hauptziele. Heute geht es in erster Linie darum, unautorisierten und unbemerkten Zugriff auf infizierte Systeme und ihre Datenbestände zu erlangen. Über Malware-basierte Backdoors stehlen Hacker Kreditkartendaten und Passwörter, um diese auf dem Schwarzen Markt weiterzuverkaufen. Ein weiteres Motiv für die Verbreitung von Hintertüren ist der Aufbau so genannter Attack-Networks, die zu einem späteren Zeitpunkt für großangelegte Angriffe verwendet werden.
Zu den wichtigsten Ereignissen des Augusts gehört die Verbreitung von Viren, die speziell für den Angriff auf 64-bit-Betriebssysteme konzipiert wurden. Als erster Malicious Code dieser Art wurde W64_RUGRAT.A entdeckt, der 64-bit-Dateien auf IA64-Prozessoren (Intel Itanium) sowie PE-Dateien (Portable Executable) auf 64-bit-Systemen von AMD infiziert. Darüber hinaus greift auch W64_SHRUGGLE.A gezielt Windows 64-bit-PE-Dateien an. Aller Wahrscheinlichkeit nach stammen beide Viren vom selben Programmierer, der sich „roy g biv“ nennt.
Die Malicious Codes ähneln sich sowohl im Verhalten als auch in der Infektionstechnik: Beide infizieren Dateien direkt und verwenden Thread Local Storage (TLS) als Auslöser. Nach dem Start suchen die Viren nach Zieldateien im aktuellen Ordner und den entsprechenden Unterordnern. Jede gefundene 64-bit-PE -Datei wird infiziert. Danach legt der Virus verschiedene Filter-Kriterien an und hängt sich an den letzten Abschnitt der infizierten Datei. Dieser Abschnitt wird daraufhin zur Executable modifiziert. Um sich vor Entdeckung zu schützen, fügt der Virus unter Umständen das Wort „Garbage“ am Ende des eigenen Codes ein. 32-bit-Dateien und 32-bit-Prozessoren ohne Software für die Unterstützung von 64-bit-Programmen (AMD) sind von den Malicious Codes nicht betroffen.
Bei W64_RUGRAT.A und W64_SHRUGGLE.A handelt es sich um so genannte Proof-of-Concept-Viren, mit denen die grundsätzliche Verwundbarkeit neuer Plattformen demonstriert werden soll. Es ist also nur eine Frage der Zeit, bis die Virenproblematik auch auf diese Systeme durchschlägt.
Neueste Kommentare
Noch keine Kommentare zu Spam und Viren auf dem Rückzug
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.