Immer raffiniertere Bedrohungen: Clicker.AC umgeht Pop-Up-Blocker problemlos

Bei den Top Ten im November fällt Folgendes auf:
• Neu in den Top Ten sind diesen Monat zwei Adware-Programme, TCent und Bdsearch, die pünktlich zur Weihnachtszeit auftauchen. Den dritten Platz belegt unterdessen weiterhin der Trojaner Clicker.AC, der Codes umgeht, die Browser Pop-Ups eigentlich verhindern sollen.
• Mass Mailer dominierten die Top Ten im November und bleiben somit weiter eine ernst zu nehmende Gefahr. Das größte Aktivitätsvolumen weist Netsky!similar mit 10,87% aller beobachteten Aktivitäten auf, während der Mass Mailer MyTob.CJ, der seit Oktober in den Top Ten ist, und Bagle.DY ihr Aktitiväts-Level beibehalten haben und somit weiterhin auf den Plätzen sechs und sieben liegen.
• Stration.JQ, ein alter Bekannter der bis Juni in den Top Ten vertreten war, hat es Ende November noch von Platz 57 auf Platz 5 geschafft.

Die Weihnachtszeit beschert laut Fortinet Security Research Team nicht nur eine generelle Steigerung von bösartigen Online-Anzeigen, was wiederum das Auftreten neuer Adware wie TCent und Bdsearch mit sich bringt, sondern auch die Zunahme der Raffinesse bei Internet Bedrohungen im Allgemeinen. Clicker.AC zum Beispiel hat einen Code, der speziell darauf ausgerichtet ist, die Pop-Up-Blocker von Browsern zu umgehen. Somit sollten Nutzer die einen solchen Pop-Up Blocker aktiviert haben misstrauisch werden, wenn ihre Browser weiterhin Pop-Ups zulassen. Die „anti-anti-pop-up“-Technologie von Clicker.AC ist ein gutes Beispiel dafür, wie sich Pop-Up-Erzeuger und Pop-Up-Blocker ein Wettrennen liefern, ähnlich wie Spamfilter und Spam-Erzeuger. Solche Malware kann jedoch durch fortschrittliche Anti-Virenlösungen gestoppt werden, wie sie zum Beispiel in der Fortinet UTM Appliance enthalten sind. Diese erkennen und blockieren Clicker.AC bevor er versuchen kann, den Pop-Up-Blocker zu umgehen.

Ein weiteres Beispiel für die immer raffinierter werdende Malware ist Stration.JQ, die sich auf eine hochentwickelte Social Engineering-Strategie verlässt, die wiederum auf Dual-Attachments basiert. Während die E-Mail, die der Endnutzer erhält, darauf abzielt, ihn in die Irre zu führen, indem ihm Anleitungen für den persönlichen Zugang zur Verfügung gestellt werden, liegt die Neuerung im Anhang, einem ‚authorisierten Modul‘. Dieses Modul ist Stration.JQ, gekoppelt mit einem PDF-Anhang, der eine Finanzinformation beinhaltet, wie zum Beispiel eine Rechnung, eine Gebührenanalyse, etc. Der Inhalt dieser E-Mail und des PDF sollen beide die Neugier des Nutzers wecken und die Forderung legitim klingen lassen. Somit soll die Click-Through-Rate des Mass Mailers deutlich erhöht werden. Leider wird jeder Nutzer, der das autorisierte Modul öffnet, seinen Computer in einen Bot verwandeln.

„Legitimen Seiteninhalt zu hacken um so bösartige Software zu hosten wird immer üblicher. Diesen Monat haben mehrere verlässliche Internetseiten unwissentlich Flash-Anzeigen gehostet, die mit chiffrierten Umleitungen infiziert waren. Dabei wurden die Nutzer dazu gezwungen, andere Seiten aufzurufen, wenn die Anzeige erstmal sichtbar war. Je näher wir an Weihnachten heranrücken, desto häufiger werden gezielte Bemühungen unternommen, Malware zu kaschieren indem verlässliche Quellen verwendet werden,“ erklärt Derek Manky, Security Research Ingenieur bei Fortinet. „Beispiele von Adware wie Clicker.AC verdeutlichen, dass es einen Trend hin zu einer Mischung aus Malware und Grayware gibt. Dies zeigt uns, dass es absolut notwendig ist, das Bewusstsein des Nutzers aber auch der Unternehmen und ihrer Mitarbeitern zu stärken.“

Den vollständigen November-Report gibt es unter:
http://www.fortiguardcenter.com/reports/roundup_nov_2007.html.