Suche   Â
Tarnkappen-Malware: Botnetzsteuerung per Webmail
ID: 1096894
Bislang unentdeckter Schädling nutzt Yahoo-Mail, um Befehle für seine Schadfunktionen zu empfangen
(PresseBox) - Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem Mail-Account zu verbinden. Dieser Account wurde von Hackern eingerichtet, um den infizierten Rechnern Befehle zu erteilen. Der Zugriff auf Webmailer wird in Unternehmensnetzwerken selten blockiert. So kann der Trojaner unbemerkt Befehle empfangen und ausführen. Die Sicherheitsexperten von G DATA haben den Schädling Win32.Trojan.IcoScript.A genannt. Die ausführliche Analyse wurde im Virus Bulletin Magazin veröffentlicht.
Trojaner befällt Windows-PCs
Der hinterlistige Schädling namens Win32.Trojan.IcoScript.A treibt seit 2012 unentdeckt sein Unwesen. Der Trojaner, ein modular aufgebautes Fernsteuerungstool (engl. RAT; Remote Administration Tool), befällt Windows-PCs. Normalerweise injiziert sich Malware in die Prozesse von Anwendungen. Das wird von Antiviren-Software aber mittlerweile entdeckt. IcoScript hingegen missbraucht die Entwickler-Schnittstelle COM (Component Object Model), um sich in den Internet Explorer einzuklinken. Die COM-Schnittstelle ermöglicht es Entwicklern, u.a. Plugins für den Browser zu schreiben. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt den Browser zu kompromittieren. Danach sehen die Daten auf dem Rechner und im Netzwerk aus wie ganz normale Surfdaten. Die Malware-Autoren müssen sich auch nicht um die Netzwerkeinstellungen kümmern. Sie können so übernommen werden, wie sie im Browser eingestellt sind. ?Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten?, meint Ralf Benzmüller, Leiter der G DATA SecurityLabs. ?Der Schädling zeigt wieder einmal, wie gut Schadcode-Entwickler auf Abwehrmaßnahmen reagieren.?
IcoScript missbraucht Webmailer für Kommandofunktion
Dazu bedient sich IcoScript des Internet Explorers und missbraucht unter anderem Webmailer wie Yahoo für seine Kommando- und Kontrollfunktionen. Um die E-Mails aus dem präparierten Postfach abzuholen, wurde IcoScript mit einer eigenen Skriptsprache versehen, die es ermöglicht, automatisierte Aktionen auf den Webseiten der Webportale auszuführen. IcoScript.A öffnet dazu das Mailportal von Yahoo, loggt sich ein und ruft die Mails ab. Die Mails werden auf Steuercodes untersucht und als Befehle an das Schadprogramm weiter gegeben. Über die E-Mails können auch Daten aus dem Netzwerk versendet werden. ?Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden" erläutert Ralf Benzmüller.
Virus Bulletin ist feste Größe in der AV-Industrie
Die Analyse wurde mit dem Titel ?IcoScript: Using Webmail to control malware? im britischen IT-Magazin Virus Bulletin veröffentlicht. ?IcoScript ist ein sehr spezieller Schädling. Wir freuen uns über die Veröffentlichung des Artikels in diesem renommierten Fachmagazin und sehen das als Anerkennung unserer Forschungsarbeit. Virus Bulletin ist eine feste Größe in der Antiviren-Industrie und hat seit Jahren einen herausragend guten Ruf für seine unabhängigen und professionellen Informationen über Malware?, betont Ralf Benzmüller.
Den gesamten Artikel gibt es auf Englisch auf der Internetseite von Virus Bulletin in der HTML-Version: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript oder als PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf
IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.
Testergebnisse beweisen: IT-Security ?Made in Germany? schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sieben Tests, die von 2005 bis 2014 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA INTERNET SECURITY von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet ? u.a. in Australien, Belgien, Frank-reich, Italien, den Niederlanden, Österreich, Spanien und den USA.
Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.
Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de
IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.
Testergebnisse beweisen: IT-Security ?Made in Germany? schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sieben Tests, die von 2005 bis 2014 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA INTERNET SECURITY von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet ? u.a. in Australien, Belgien, Frank-reich, Italien, den Niederlanden, Österreich, Spanien und den USA.
Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.
Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de
  
  
  
Datum: 18.08.2014 - 14:00 Uhr
Sprache: Deutsch
News-ID 1096894
Anzahl Zeichen: 5411
Kontakt-Informationen:
Stadt:
Bochum
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 0 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Tarnkappen-Malware: Botnetzsteuerung per Webmail"
steht unter der journalistisch-redaktionellen Verantwortung von
G DATA Software AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).