Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Neues weltweites Botnet entdeckt

Schwachstelle bei Macs

Neues weltweites Botnet entdeckt

5. April 2012, 14:02 Uhr | Ulrike Garlet
Fortsetzung des Artikels von Teil 1

Zwei Versionen des Trojabners

Auch per Google-Suche wurden einigen Quellen zufolge über vier Millionen infizierte Webseiten angezeigt. In Apple-Foren wurden auch Infektionen durch BackDoor.Flashback.39 beim Aufrufen von dlink.com bekannt. Seit Februar 2012 nutzen die Kriminellen zur Verbreitung von Malware die Sicherheitslücken CVE-2011-3544 und CVE-2008-5353 aus. Nach dem 16. März wurde eine weitere Lücke (CVE-2012-0507) bekannt. Ein entsprechendes Sicherheits-Update wurde erst am 3. April veröffentlicht.

Der Exploit speichert auf der Festplatte eine ausführbare Datei, die Daten von Remote Servern herunterladen soll. Die Sicherheitsspezialisten von Doctor Web entdeckten zwei Versionen des Trojaners. Seit dem 1. April verwenden Internet-Kriminelle eine modifizierte Variante von BackDoor.Flashback.39. Wie in den vorherigen Versionen prüft das böswillige Programm nach folgenden Komponenten auf der Festplatte:

/Library/Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/Applications/VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/Applications/Packet Peeper.app

Sollten diese nicht gefunden werden, erstellt der Trojaner eine Liste von Control Servern, sendet eine Nachricht über eine erfolgreiche Installation an den Statistikserver der Kriminellen und schickt laufend Anfragen an Control Server Adressen.

Die Malware nutzt dabei eine bestimmte Routine, um Adressen zu generieren. Sie kann dabei zwischen verschiedenen Servern zum besseren Load Balancing wechseln. BackDoor.Flashback.39 prüft nach Erhalt einer Antwort vom Control Server die RSA Signatur und lädt bei positivem Ergebnis Daten vom und auf den infizierten Rechner. Jedes Bot übermittelt dem Control Serrver die ID eines infizierten Computers. Durch die Sinkhole-Methode konnten die Sicherheitsspezialisten von Doctor Web die Botnet-Daten auf eigene Server umleiten. So konnte man die Gesamtzahl infizierter Computer kalkulieren.

  1. Neues weltweites Botnet entdeckt
  2. Zwei Versionen des Trojabners

Lesen Sie mehr zum Thema

Dr. Web
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Dr. Web

Neue Vertriebsstrategie

Santer wird Vertriebsleiter bei Doctor Web in Deutschland

Vertriebspartner gesucht

Doctor Web eröffnet Büro in Frankfurt am Main

Doctor Web warnt vor böswilligen Anwendungen

Werbe-Trojaner greifen Mac OS X-Rechner an

Identifizierung neuer Bedrohungen

Doctor Web stellt Malware-Analystin ein

Spion auf dem Smartphone

Wenn Trojaner Kurznachrichten abfangen

Matchmaker+
Securepoint GmbH

Securepoint GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
AixpertSoft GmbH

AixpertSoft GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Redgate Software

Redgate Software
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH