IT-Security-Report März 2011
NSIS-Installer, Java-Exploits und Tarn-Trojaner
Der Security-Dienstleister Doctor Web durchkämmt ständig die wichtigsten Internetforen rund um das Thema IT-Security und erstellt daraus jeden Monat einen aktuellen Sicherheits-Lagebericht. Im März stellte er dabei eine unter anderem eine gefährliche Häufung von NSIS-Installern fest.
Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Laut seiner aktuellen Analyse für magnus.de zeichnete sich seit Mitte März ein höchst beunruhigender Trend ab: Hacker verwenden zunehmend vorgefertigte Installationsprogramme, um sich die Arbeit zu erleichtern. Oft handelt es sich dabei um so genannte Nullsoft Scriptable Install-Systems, kurz NSIS-Installer. Die Autoren nutzen die kostenlosen Tools zum Programmieren von Installationspaketen, die wiederum ihre Malware herunterladen und auf den PC einrichten. Meist laden Nutzer die NSIS-Installer an Stelle harmloser Software, wie Add-Ons für Computerspiele, aus unseriösen Quellen auf ihren Rechner.
Zusätzlich erschweren die Programmierer ihre Enttarnung mit einem weiteren Trick: Durch Manipulation der so genannten hosts-Datei, auf Windows-Rechnern zu finden unter WINDOWS\system32\drivers\etc\hosts, werden einigen IP-Adressen neue Domain-Namen zugewiesen. Der Eintrag des Trojan.DownLoader2.22185 in der Hosts-Datei sieht wie folgt aus:
Codebeispiel:
74.208.7*.*** qvc.com
Wird nun die Domain qvc.com aufgerufen, verbindet sich der PC mit dem Server des Malware-Autors statt der Shopping-Seite.
- NSIS-Installer, Java-Exploits und Tarn-Trojaner
- "Tarnkappe" für Malware
- Falsches Performance-Tool "löscht" die Festplatte
