Gezielte Viren-Attacken auf Firmen
Der für dieses Jahr prognostizierte Trend weg von Massenwürmern wie Sasser hin zu gezielten, spezialisierten Angriffen in kleinerem Maßstab setzt sich fort.
Der für dieses Jahr prognostizierte Trend weg von Massenwürmern wie Sasser hin zu gezielten, spezialisierten Angriffen in kleinerem Maßstab setzt sich fort. So meldet MessageLabs, man habe in den letzten Tagen einen Schädling isoliert, der in geringer Zahl nur ganz gezielt an einzelne Personen in vier ausgewählten Domains versendet wurde. Die Mehrzahl dieser Mails richtete sich dabei an Angestellte einer internationalen, im Sicherheitsbereich tätigen Firma.
Die Mail enthielt einen unverfänglichen Text mit dem Verweis, dass sich in der angehängten Datei weitere Informationen fänden. Bei diesem Anhang handelte es sich um eine Windows-DOC-Datei, die einen Pufferüberlauf bei der Behandlung von Makronamen ausnutzt (siehe MS03-050). Öffnet der Empfänger das Dokument mit einem ungepatchten Microsoft Word, wird darüber ein eingebetteter Trojaner in Form einer UPX-komprimierten EXE-Datei ausgeführt und auf dem System installiert. Laut MessageLabs ist es bereits das zweite Mal in diesem Monat, dass sie einen solchen Angriffsversuch auf diese Firma entdeckt haben. Mark Sunner, Chief Technology Officer bei MessageLabs, sieht eine klare Ausrichtung der Attacken: "Die Hintermänner dieses Trojaner-Angriffs haben es auf vertrauliche Informationen und geistiges Eigentum der Firmen abgesehen."
Gegen solche spezialisierten Schädlinge haben Antiviren-Programme einen schweren Stand. Sie sind oft "handoptimiert", damit sie auch von aktuellen Viren-Scannern und Wächtern nicht erkannt werden. Durch die geringe Verbreitung bleiben sie dann unterhalb des Radars der Antiviren-Firmen, die ihre Erkennungsroutinen ohne passende Samples nicht nachbessern können.
Als Schutzmaßnahme sollte man unaufgefordert zugesandte Dateianhänge nicht öffnen, auch wenn es sich dabei tatsächlich um scheinbar ungefährliche Datenformate handelt. Auch Bilder, Musikstücke, Dokumente und Ähnliches können zur Infektion eines Systems führen, wenn sie mit einem verwundbaren Anzeige- beziehunsgweise Abspielprogramm geöffnet werden. Die nahezu täglichen Meldungen über Schwachstellen in Viewern aller Art zeigen, dass dieses Risiko keineswegs theoretischer Natur ist. Des Weiteren empfiehlt es sich naürlich, Sicherheits-Updates für alle eingesetzten Programme und nicht nur für das Betriebssystem einzuspielen. (ju)
