Trojaner aus dem Baukasten

Die neuen Tricks der Internet-Gauner

Praxis & Tipps | Tipps & Tricks

Erpressung mit gesperrten PCs, kommerzielle Exploit-Kits im Leasing-Modell und ein Phishing-Revival mit geklauten Adressdaten – die Maschen der Cyber-Gauner werden feiner.

Der Schädling, den ich bei Hilferufen von Lesern oder Bekannten seit einiger Zeit am häufigsten vorfinde, ist der sogenannte BKA-Trojaner, der in vielen verschiedenen Varianten kursiert. Das heißt natürlich nicht, dass Online-Banking-Betrug mit Zeus oder SpyEye verschwunden wäre. Aber der BKA-Trojaner hat der einst weitverbreiteten Dummy-Antiviren-Software beim Geschäft mit der Angst den Rang abgelaufen.

Das Prinzip der neuen Scareware-Generation ist immer das gleiche: Es erscheint eine bildschirmfüllende Meldung, dass der Rechner gesperrt wurde. Als Absender der Nachricht firmieren BKA, Bundespolizei, BSI oder gerne auch die GVU oder Microsoft – Hauptsache, es strahlt irgendwie Autorität aus. Das unterstützen Insignien der Macht wie Bundesadler, Landesflagge oder Polizeiabzeichen. Eine Variante blendete sogar ein Echtzeitbild einer angeschlossenen Webcam ein. Sie sendete dabei jedoch gar keine Daten ins Netz – es geht allein um den Eindruck allgegenwärtiger Überwachung, der das Opfer einschüchtern soll. Offenbar mit Erfolg: „Ganz schön scary“ meinte das hilfesuchende Opfer, als sie den Rechner präsentierte.

Die angezeigte Meldung beschuldigt den Anwender verschiedener Formen des Betrugs oder Missbrauchs. Offenbar experimentieren die Gauner dabei ein wenig. Manchmal kommt der Trojaner mit knallharten Anschuldigungen wie dem Besitz und der Verbreitung von Kinderpornografie. Andere Versionen spekulieren auf das schlechte Gewissen und fabulieren von Raubkopien, nichtlizenzierter Software und ähnlichen Dingen, bei denen der Betroffene nicht ganz ausschließen mag, dass so was auf seinem Rechner mal gefunden worden sein könnte.

Der Rechner wurde jedenfalls vorgeblich gesperrt, um „weiteren Missbrauch zu verhindern“, „Beweise zu sichern“ oder Ähnliches. Tatsächlich lässt sich Windows nicht mehr benutzen; je nach Trojaner-Variante funktionieren sogar Tricks wie der Aufruf des Task-Managers via Strg + Alt + Entf oder das Booten in den abgesicherten Modus nicht mehr.

Erpressung

Eines haben all diese Trojaner-Varianten gemein: Man kann sich angeblich loskaufen. Auch hier variiert der Wortlaut, das Prinzip bleibt jedoch immer gleich. Gegen eine Mahngebühr, ein Bußgeld oder eine Geldstrafe in Höhe von irgendetwas zwischen 50 und 250 Euro würden die Anschuldigungen fallen gelassen und der Rechner wieder freigeschaltet. Das Geld ist über eines der Internet-Bezahlverfahren Paysafecard, Ukash oder neuerdings auch MoneyPak zu transferieren.

Die funktionieren so, dass man gegen Bezahlung Codes erwirbt, die einen bestimmten Geldwert repräsentieren – gängige Stückelungen sind 10, 20 und 50 Euro. Gibt man diese Codes weiter, kann der Empfänger damit anonym einkaufen gehen oder sich den Gegenwert vom Herausgeber wieder in echtem Geld auszahlen lassen. Was diese Internet-Währungen für Betrügereien besonders geeignet macht, ist die Tatsache, dass es einen sehr aktiven Untergrundmarkt gibt. So verscherbeln die Betrüger die ergaunerten Codes in größeren Stückzahlen zu einem Teil ihres Werts weiter. Strafverfolger, die das Geld zurückverfolgen, verzweifeln an unzähligen Zwischenstationen, die natürlich keine Ahnung haben, von wem sie ihre Codes erworben haben.

Die Hoffnung, dass nach einer Bezahlung der Rechner freigeschaltet wird, ist naiv. In der Realität ist das Geld futsch und der Rechner weiterhin verseucht. Trotzdem floriert das Geschäft. Andreas Buick von der Staatsanwaltschaft Göttingen, die für die Ermittlungen in dieser Erpressungsserie zuständig ist, erklärte gegenüber c’t, dass bundesweit mittlerweile circa 20 000 Strafanzeigen eingegangen sind. „In etwa 2000 Fällen haben die Anzeigeerstatter den geforderten Geldbetrag gezahlt“ resümiert der Staatsanwalt. Darüber hinaus sei von einer „hohen Dunkelziffer“ auszugehen. Somit ist es wohl realistisch, von mehreren hunderttausend Opfern auszugehen – das Ganze ist also ein Millionengeschäft.

Ein interessanter Randaspekt ist die Tatsache, dass diese Fälle als Auslandsstraftaten gewertet werden, weil die Täter vermutlich im Ausland sitzen, und somit nicht in die polizeiliche Kriminalstatistik eingehen. Kein Wunder, dass Bundesinnenminister Friedrich erfreut eine rückläufige Zahl der Internet-Straftaten und eine „positive Gesamttendenz“ bilanziert.

Dabei ist längst nicht mehr von einem Einzeltäter oder auch nur einer einzelnen Tätergruppe auszugehen. Ermittler erklärten gegenüber c’t, dass der Trojaner bereits als Bausatz im Untergrund gehandelt wird, der sich einfach anpassen lässt. So kommt das „Erfolgskonzept“ auch international zum Einsatz, unter anderem in Spanien, Portugal und Frankreich. In den USA sah sich das FBI erst kürzlich genötigt, eine Warnung zu „Reveton“ – so werden die BKA-Trojaner international bezeichnet – herauszugeben.

Innenleben

Anders als die verbreiteten Online-Banking-Trojaner wie SpyEye, Zeus und Sinowal, die mittlerweile auf einem sehr hohen technischen Niveau operieren, sind die meisten BKA-Trojaner recht simpel gestrickt. Die Installationsroutine trägt sie in einem der gängigen Autostart-Einträge von Windows ein; nicht selten kopiert sie dazu den Trojaner sogar nur in den Autostart-Ordner des gerade angemeldeten Anwenders. Eventuell deaktiviert sie dabei noch via Registry diverse Rettungsanker wie den Task Manager (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr) oder den Registry Editor (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools). Anschließend erscheint nach der Anmeldung oder manchmal auch erst beim Herstellen einer Internet-Verbindung der Sperrbildschirm.

Dieser einfache Aufbau macht es besonders schwer, neue Varianten zu erkennen. Da ist nicht viel, woran sich ein Virenwächter orientieren könnte: Ein Programm, das ein paar Registry-Einträge setzt und ein Meldungsfenster anzeigt – das trifft auf sehr viele Programme zu. Und so verwundert es kaum, dass sich die jeweils aktuellen Versionen immer wieder am Virenschutz vorbeimogeln können.

Dafür lässt sich der Trojaner vergleichsweise einfach aufspüren und deaktivieren. In der Regel genügt dazu etwa ein Desinfec’t, das von USB-Stick oder DVD ein Linux-System startet. Vor dort aus kann man das Schädlingsprogramm entfernen und anschließend Windows wieder starten. Beim Aufspüren der fraglichen Datei helfen hoffentlich die vier Virenscanner – wenn wenigstens einer der Hersteller bereits Signaturen für diese spezielle Variante bereitstellt. Wird bei einer neuen Variante keiner der vier fündig, muss man sich selbst auf die Suche machen und etwa die bekannten Autostart-Mechanismen checken.

Den Trojaner zu deaktivieren ist jedoch nur der erste Schritt. Das System danach wieder richtig sauber zu bekommen ist die eigentliche Herausforderung – und die sollte man nicht auf die leichte Schulter nehmen. Denn es gibt tausend Dinge, die der Trojaner heimlich am System verbogen haben könnte. So gibt es Versionen, die ganz gezielt Sicherheitseinstellungen herabsetzen – vermutlich um nach einer nachlässigen Reinigung eine spätere Neuinfektion zu erleichtern. Eine besonders heimtückische Variante ersetzt in der Registry den Eintrag für die Windows-Shell, die normalerweise auf den Windows Explorer zeigt. Entfernt man den Trojaner, findet Windows beim Start keine Shell und erzeugt einen Bluescreen. Das kleine Skript „Ukash/BKA-Trojaner aufspüren“ in den Experten-Tools von Desinfec’t entdeckt diese Manipulation und macht sie wieder rückgängig.

Es gibt natürlich keine Garantie, dass über das gleiche Sicherheitsloch nicht auch schon andere Schädlinge ihren Weg auf den Rechner gefunden haben. Wer also auf Nummer sicher gehen will, bootet von einem sauberen System wie Desinfec’t, bringt seine wichtigen Daten in Sicherheit und installiert danach Windows von Grund auf neu. Kommt das nicht in Frage, ist die beste Anlaufstelle für Hilfesuchende die Website www.bka-trojaner.de. Dort findet man über Screenshots konkrete Informationen zu vielen bekannten Versionen des Trojaners. In den angeschlossenen Foren des Anti-Botnet-Beratungszentrums geben kompetente Mitarbeiter auch konkrete Hilfestellung bei der Beseitigung.

Verbreitungswege

Der BKA-Trojaner verbreitet sich nach unseren Beobachtungen vor allem über Webseiten, die Sicherheitslücken in Systemen der Besucher ausnutzen. Das sind dann entweder kompromittierte Webserver, in deren Seiten etwa ein IFrame eingebettet wurde, das den Exploit lädt und damit das System infiziert. Oder die Schadsoftware wird über dubiose Werbenetze verteilt. Besonders gefährlich sind da Webseiten, die illegale oder zumindest anrüchige Inhalte kostenlos anbieten oder vermitteln. Die müssen ihre Einnahmen natürlich anderweitig erzielen und können es sich nicht leisten, dabei viele Fragen zu stellen.

In drei von vier Fällen fand ich in letzter Zeit auf infizierten Systemen Java-Versionen mit bekannten Sicherheitslücken vor – zum Teil fanden sich sogar noch Rückstände von Java-Exploits im Cache. Aber auch Flash und Adobe Reader sind beliebte Angriffsziele. Oft testen spezielle Frameworks verschiedene Infektionswege so lange durch, bis einer Erfolg hat. Auch dabei sind ambitionierte Kriminelle keineswegs auf eigene Programmierkenntnisse angewiesen.

Professionelle Exploits-Kits werden im Untergrund rege gehandelt. Top-Modelle wie Blackhole kosten über 1000 Euro – pro Jahr. Die Blackhole-Gang vertreibt ihre Software ähnlich wie die Gegenspieler aus dem Antiviren-Lager bevorzugt über ein Abo-Modell – inklusive aller Updates. Dafür bekommt der angehende Erpresser, Online-Banking-Betrüger oder Botnetz-Hirte aber auch einiges geboten. Das Toolkit lässt sich über eine Web-Oberfläche komfortabel administrieren; im Hintergrund werkelt ein LAMP-System mit PHP und MySQL. Dort konfiguriert man, welche Schadprogramme ein Exploit installieren soll und etwa, welche IP-Adressen von einer Infektion auszuschließen sind.

Darüber hinaus liefert Blackhole übersichtliche Statistiken dazu, welcher Exploit wie effektiv war – aufgeschlüsselt nach Betriebssystem, Browser und Herkunftsland. Typischerweise hat Blackhole eine Erfolgsquote von etwa 10 Prozent. Das heißt, bei jedem zehnten Besucher kann einer der Exploits die gewünschte Schad-Software aus dem Internet nachladen und ausführen. Derzeit beobachten Sicherheitsexperten jedoch einen steilen Anstieg – Blackhole-Server verbuchen Erfolgsquoten von bis zu 25 Prozent, landen also bei jedem vierten Rechner einen Treffer.

Das ist kein Wunder, denn die Profis hinter Blackhole haben einen richtigen Coup gelandet, der ihre Position im Untergrundmarkt weiter festigen wird. Sie haben es geschafft, nach Bekanntwerden der letzten Sicherheitslücke in Java innerhalb eines Tages ein passendes Modul für ihr Toolkit auf den Markt zu bringen – noch bevor Oracle ein Update bereitgestellt hat, das die Lücke schließt. Und das hatte durchschlagenden Erfolg: Laut den Sicherheitsexperten von Seculert zeichnete es auf aktiven Blackhole-Servern für 75 bis 99 Prozent der Infektionen verantwortlich.

Danke für den Phish

Doch auch die gute alte E-Mail hat als Einfallstor für Schädlinge längst nicht ausgedient. Hier steigern neue Tricks das Infektionsrisiko. So tauchen immer häufiger E-Mails auf, die den Empfänger mit seinem vollem Namen ansprechen. Wer gerade auf ein Paket wartet und eine Nachricht mit korrekter Anrede erhält, die scheinbar von DHL stammt, ist durchaus geneigt, die angehängte Benachrichtigung zum Lieferstatus zu öffnen. Das ist keine Hexerei: Die richtige Kombination von E-Mail-Adresse und Name stammt aus einem der Einbrüche in Datenbanken, über die heise Security regelmäßig berichtet. So werden geklaute Informationen, die auf den ersten Blick nicht sonderlich kritisch erscheinen, gezielt genutzt, um Malware-Spam aufzuwerten.

Charakteristisch bei derartigen Mails ist, dass angebliche PDFs, Bilder oder sogar Dokumente unnötigerweise in ein ZIP-Archiv verpackt sind. Das machen die Angreifer, weil sich hinter dem angeblichen Bild in der Regel eine ausführbare EXE-Datei verbirgt. Und die würde via Mail ihren Empfänger oft gar nicht mehr erreichen, weil diese Anhänge oft schon auf Mail-Gateways gefiltert werden. Und selbst wenn sie ankommt, ist es mittlerweile gar nicht mehr so einfach, eine solche EXE-Datei dann tatsächlich zu starten. Da ist es deutlich einfacher, ein ZIP-Archiv auszupacken und dessen Inhalt dann zu öffnen. Generell sollten die Alarmglocken angehen, wenn man unaufgefordert eine ZIP-Datei via E-Mail erhält. In der Mehrzahl der Fälle enthält sie mittlerweile Schad-Software.

Auch das fast schon ausgestorbene Phishing erlebt derzeit eine Renaissance. Und zwar geht es dabei nicht mehr um PINs und TANs, wo auf „Bitte geben Sie hier 50 TANs ein“ wohl kaum noch jemand reinfällt. Das neue Ziel sind die Kennwörter für „Verified by Visa“ und Mastercard Securecode, die neuerdings immer mehr Shops bei Kreditkartenzahlung verlangen.

Da bittet dann etwa Amazon via „Sehr geehrter Jürgen Schmidt“ darum, die hinterlegten Informationen zu aktualisieren. Vorsichtige Naturen kontrollieren die URL und merken, dass sie keineswegs auf dem Amazon-Seiten gelandet sind. Mit einem Smartphone- oder Tablet-Browser sieht man die URL jedoch oft nicht mehr. Wer die verlangten Informationen eingibt, sendet sie direkt an die Betrüger. Aber man sollte die als Sicherheitsverfahren angepriesenen Konzepte wie „Verified by Visa“ und Mastercard Securecode ohnehin meiden, da sie für den Anwender keine Vorteile bieten, ihn aber im Missbrauchsfall schlechterstellen könnten als eine herkömmliche Kreditkartentransaktion. Schließlich hat er ja das geheime Passwort verraten.

Übrigens haben Sicherheitsforscher von Microsoft eine interessante Theorie aufgestellt, warum die Anschreiben für Betrugsversuche wie die bekannte Nigeria-Masche nicht wirklich besser werden. („Ich arbeite bei einer Bank, bei der ein reicher Kontoinhaber verstorben ist …“). Die Betrüger wollen demnach gar nicht jede(n) ansprechen, sondern möglichst nur die vertrauensseligen, die am Schluss auch wirklich Geld überweisen. Mit richtig gut gemachten Mails könnte man zwar die Rückläuferquote deutlich erhöhen. Aber ein viel größerer Teil der Interessenten würde spätestens dann abspringen, wenn das Geld für den angeblichen Notar fällig wird. Und dann wäre die ganze Vorarbeit für die Katz gewesen. Gute Mails wären eine Art DDoS auf das eigene Geschäftsmodell [1].

Schließlich muss man natürlich auch beim Download aus dem Internet Vorsicht walten lassen. Besonders hinter angesagten Filmen oder Musikstücken, die man kostenlos aus dem Internet herunterladen kann, findet sich immer wieder Unrat aller Art. Egal ob File-Hoster, BitTorrent oder Usenet: All diese Download-Quellen werden ganz gezielt mit Trojanern verseucht. So mancher, der nach stundenlangem Download die 4 GByte für das Spektakel im heimischen HD-Kino auf der Platte vorfindet, will einfach nicht glauben, dass er geleimt wurde, und startet das kleine Progrämmchen, das angeblich das Passwort für das Entpacken der RAR-Datei ausspucken soll.

Die größte Gefahr geht derzeit von Java aus. Angesichts der neuen kritischen Lücke steht eine neue Welle von Reveton/BKA-Trojanern unmittelbar bevor –, sofern sie nicht schon angerollt ist, wenn dieses Heft am Kiosk liegt. Sie wird eine neue Variante des fiesen Erpressers an der Antiviren-Software vorbei auf die PCs Tausender Anwender spülen. „Die Lage ist hoffnungslos, aber nicht ernst“ – zumindest nicht, wenn Sie unsere Tipps auf den nächsten Seiten beherzigen. (ju)

Literatur
  1. [1] Cormac Herley, Why do Nigerian Scammers Say They are from Nigeria?, http://research.microsoft.com/pubs/167713/WhyFromNigeria.pdf
Risikofaktor Java

Über vier Monate wusste Oracle bereits von den kritischen Lücken in Java, die es ermöglichen, Rechner schon beim Besuch einer Webseite mit Schad-Software zu infizieren. Egal welches System – Internet Explorer, Firefox, Chrome, Opera, Windows, Mac OS X, Linux: Mit einem Plug-in der aktuellen Java-Version 7 waren sie alle auf die gleiche Art anfällig. Ein paar wenige, harmlos aussehende Java-Befehle genügten, um den SecurityManager abzuschalten und somit aus der Sandbox auszubrechen, die den Rechner eigentlich vor Schaden bewahren soll. Damit kann dann ein Java-Applet auf dem System frei schalten und walten.

Doch anscheinend wollte sich Oracle für das Schließen der Lücke noch zwei weitere Monate bis zum nächsten der vierteljährlichen Updates im Oktober Zeit nehmen. Dummerweise vermasselte ein öffentlich gewordener Exploit Oracles geruhsame Pläne und man musste sich sputen. Immerhin erschien dann innerhalb von vier Tagen eine aktualisierte Version, in der Sicherheitsforscher allerdings gleich wieder kritische Lücken entdeckten. Außerdem funktioniert der Update-Mechanismus von Java nicht ausreichend zuverlässig. So fördert etwa ein Test auf Rechnern von Bekannten immer wieder veraltete Versionen zu Tage.

Konsequenterweise hat Java in den Exploit-Statistiken Flash und PDF als Spitzenreiter abgelöst – und zwar mit Lücken, die seit Monaten, teilweise sogar seit über einem Jahr eigentlich geschlossen sind. Der neue Exploit wird die Internet-Gauner jetzt über Monate hinweg mit einem stetigen Strom von anfälligen Opfern versorgen.

Dabei benötigen die meisten Anwender Java heutzutage nicht mehr. Wer es deinstalliert, wird den Verlust in der Regel nicht bemerken. Alternativ kann man das Java-Plug-in zunächst mal im Browser deaktivieren. Wie das geht, zeigt die Java-Testseite des heise Security Browserchecks. Vorsicht ist beim Internet Explorer geboten. Dort funktioniert das Abschalten über „Add-ons verwalten“ nicht zuverlässig.

Artikel kostenlos herunterladen

Kommentare

Anzeige