Computervirus Sality.AO

Seit Jahren hat kein Malware-Exemplar die Verschleierungstechniken EPO (Entry Point Obscuring) und Cavity benutzt. Doch nun entdeckten die Sicherheitslabore von Panda Security den neuen Virus Sality.AO.

In seinem Fall werden die speziellen Tarn-Mechanismen nicht mehr wie damals bei relativ harmlosen Angriffen eingesetzt. Jetzt dienen sie planmäßig als Hauptantriebsfeder der organisierten Internetkriminalität und rücken finanzielle Gewinne gezielt in den Vordergrund. Seit dem Fund am 5. Februar verzeichneten die Panda-Sicherheitsexperten einen auffälligen Anstieg der Infektionsraten von Sality.AO. Ein Ausbruch sei daher in naher Zukunft nicht auszuschließen und die Experten raten allen Anwendern dringend, ihre Sicherheitslösungen auf den aktuellen Stand zu bringen.

Neuer Virus mit alten Methoden
Frühere Internetangriffe hatten vornehmlich die gezielte Störung des Betriebsablaufes zur Folge. Dies wurde meist durch die Lahmlegung einzelner Computer-Anwendungen bewirkt. Hinter den Angriffen standen aber eher amateurhafte Viren-Programmierer, die sich für den wirtschaftlichen Faktor gar nicht vorrangig interessierten. Aus dieser Zeit stammen Verschleierungstechniken wie EPO und Cavity. EPO verdeckt seinen Schädling, indem ein Zeitfenster zwischen dem Ausnutzen der Sicherheitslücke und der Ausführung der eigentlichen Aktion entsteht. Die Methode Cavity kaschiert die schädliche Datei durch „blinde“ Codes, die unsichtbar in das original integriert werden. Die Manipulation ist daher nicht wie üblich anhand einer Datei-Vergrößerung zu identifizieren.

Solche Techniken sind weitaus komplexer als diese, die in der Regel als „Stangenware“ über automatische Malware-Tools angeboten werden. Viren, die auf diese Techniken zurückgreifen, werden „maßgeschneidert“ und setzen eine hervorragende Kenntnis der Schadcode-Programmierung voraus.

Sality.AO – Hybrid-Malware
Neben dem Wiedereinsatz früherer Methoden zeugt Sality.AO von Features, die den modernsten „Malware-Trends“ angepasst sind. Der Virus macht sich zum Beispiel nicht durch einen Komplett-Scan der Festplatte und einer anschließenden Massen-Infektion auf sich aufmerksam. Stattdessen infiziert er nur einige der vorhandenen und jede neu angelegte Datei mit seinem schädlichen Code. Weiter ist er in der Lage, sich mit dem IRC Server zu verbinden um Remote-Befehle ausüben zu können oder den infizierten PC in einem Zombie-Computer für weitere schädliche Aktionen (Spam-Versand, Malware-Verbreitung, Serviceverweigerung etc.) zu verwandeln. Zusätzlich wird der Virus nicht nur versuchen, weitere Dateien aus dem Internet zu laden um sich mit weiteren Schadcodes zu infizieren. Er wird auch versuchen, Webseiten mit iFrames zu manipulieren. Schon der einmalige Besuch einer solch geänderten Adresse lädt den Virus auf den jeweiligen Computer.

Sality.AO ordnen die Panda-Labore der Kategorie der so genannten Hybrid-Malware zu. Sie vereint die Funktionen von Trojanern und Viren in einer einzigen Schädlingsvariante. Die URLs, die diese Downloads verwenden, waren zum Zeitpunkt ihrer Entdeckung noch nicht aktiv. Weil die Zahl der Infektionen laut Panda Security bereits auf 15.000 befallene Computer (in insgesamt 31 Ländern) anstieg, fürchten die Experten, dass sie bald in Kraft treten können. „Durch modernste und ausgefeilte Technologien wie Panda Security’s Collective Intelligence können unsere Produkte sogar Low-Level-Attacken und die neuesten Malware-Techniken erkennen. Offenbar suchen Cyber-Kriminelle daher gezielt nach neuen Methoden und passen die alten Codes den neuen Anforderungen an“, stellt Luis Corrons, Direktor der Panda-Sicherheitslabore, besorgt fest.

Weitere Informationen unter: pandalabs.pandasecurity.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert