Vorderste Verteidigungslinie
Neueste Bedrohung: Die Medbot-Bedrohung
TROJ_STRAT.GN, WORM_STRAT.GN und MEDBOT sind Malware-Varianten, die Spam-Mails versenden. Sie infizieren Computer, leiten auf spezielle URLs um, laden dort eine E-Mail-Vorlage herunter und versenden dann Bild-Spam (Spam-Mails mit Bildern, die in den Nachrichtentext der E-Mail eingebunden sind) an andere Computer, die dadurch ebenfalls infiziert werden. So entstehen Zombies oder Bots, die ein Maximum an Spam-Mails versenden.
"Es dreht sich alles nur ums Geld", so Ivan Macalintal, Senior Threat Analyst and Researcher bei Trend Micro.
"MEDBOT hat, genau wie die Mehrzahl der modernen Bedrohungen, nur ein Ziel: Profit. Dies wird erreicht, indem sie so viele "Schläfer" oder Zombies wie möglich erzeugen und für die Versendung von Bild-Spam einsetzen."
MEDBOT kommt in einer Spam-Mail mit Bildern zum Verkauf pharmazeutischer Produkte wie z.B. Viagra und Cialis an und besteht aus einem Trojaner-Downloader, einer Kopie des Trojaners und einem Wurm. Der Wurm legt den Downloader in den freigegebenen Ordnern ab. Die verborgene Kopie dient als Sicherungskopie, falls der ursprüngliche Trojaner aus dem System entfernt wird.
Nach der Infizierung des Systems stellt der Trojaner-Downloader eine Verbindung zu mehreren URLs her und lädt von dort aktuelle Kopien des Malware-Pakets, ebenso wie Varianten und andere bösartige Dateien herunter. Er infiziert den Computer nicht nur mit diesen neuen Varianten, sondern ermöglicht der Malware, sich durch regelmäßige Updates immer weiter zu verbessern. Der Trojaner-Downloader kann also aktualisierte Malware-Routinen, wie z.B. Methoden zur Verbreitung im Netzwerk oder neue Backdoors, erhalten. So hält die einmal installierte Malware Schritt mit neuen Entwicklungen und kann in immer raffinierteren Varianten der Entdeckung entgehen.
"Eigentlich schlägt MEDBOT zwei Fliegen mit einer Klappe: Es wird so viel Bild-Spam wie möglich versendet, damit die Drahtzieher immer mehr infizierte Zombies steuern und im Gegenzug den Bild-Spam selbst verbreiten", so Macalintal.
Mit einer Kombination aus Spam und Marketing verkaufen sie z.B. Viagra oder Cialis. Sie nutzen die Unsicherheit männlicher Internet-Benutzer aus, denn die Methode hat Erfolg, und die Produkte werden gekauft. Es ist außerdem eine recht günstige Form des Produkt-Marketings und -Vertriebs.
Angriffe werden in der Regel über IRC (Internet Relay Chat) ausgeführt. Verbindet sich ein Bot mit dem recht häufig genutzten IRC-Port 6667, so ist dieser möglicherweise durch ein Sicherheitsunternehmen, wie z.B. Trend Micro, bereits gesperrt.
MEDBOT unterscheidet sich ein wenig von anderer, weit verbreiteter Malware: Sie verbindet sich per Web-IRC mit dem IRC-Server und wartet, bis sie über eine persönliche Nachricht einen Befehl erhält. Dadurch werden die Befehle externer Benutzer vor Entdeckung geschützt. Die Tatsache, dass andere Benutzer Befehle senden können, legt die Vermutung nahe, dass man MEDBOT mieten kann.
STRAT und MEDBOT stellen Verbindungen zu URLs her, die auf denselben Namen registriert sind. Wahrscheinlich steckt hinter beiden Bot-Netzen eine einzige Gruppe: "Wang Pang" oder "Bai Ming" aus China scheinen für diese Spam-Mails verantwortlich zu sein. Die Namen sind Teilnehmern von Spam-Foren sowie Netzwerken und Diensten zum Missbrauch von Domänen/URLs hinlänglich bekannt.
Macalintal hat eine ".exe"-E-Mail-Vorlage für die verwendeten Spam-Mails gefunden. Die Gruppe sammelt über denselben URL auch die benötigten E-Mail-Adressen. So können mehr als 20 Millionen Empfänger erreicht werden, darunter große Internet-Service-Provider, Regierungsbehörden und Konzerne.
Laut Daten der Trend Micro Spam-Sammlung bestehen 30 Prozent der Spam-Nachrichten aus Bild-Spam. Trend Micro erwartet, dass der Einsatz von Bild-Spam im Jahr 2007 noch weiter zunehmen wird.
