Eset analysiert gefährliche Malware Trustezeb

Der Security-Software-Hersteller Eset hat jetzt die Malware "Trustezeb" analysiert, die derzeit hauptsächlich in der DACH-Region auftaucht. Bereits mehrere Monate befindet sich die Schadsoftware in den Top Ten des Eset Virus Radars. Bei Betrachten der globalen Infektionsraten fällt die DACH-Region besonders aus dem Raster, was ein Hinweis darauf gibt, dass es die Malware auf deutschsprachige Nutzer abgesehen hat.

Zur Verbreitung nutzt Win32/Trustezeb Spam-E-Mails, die vermeintlich von einem Unternehmen verschickt wurden. Dabei verwenden die Angreifer den formellen Namen eines real existierenden Unternehmens in Verbindung mit einer privaten E-Mail-Adresse. Die Abbildung zeigt beispielhaft eine solche E-Mail: Wie sich erkennen lässt, stammt die Nachricht angeblich von einem Sachbearbeiter einer real existierenden GmbH. Ein Blick auf die E-Mail-Adresse verrät jedoch, dass die Nachricht von einer privaten Adresse aus versendet wurde.
 
"Die Angreifer machen sich nicht einmal die Mühe den Absender zu fälschen, was ohne Weiteres möglich wäre", so Thomas Uhlemann, Security Specialist bei Eset und fügt hinzu: "Ein kurzer prüfender Blick auf Name und E-Mail-Adresse des Absenders reicht schon aus, um skeptisch zu werden. Betrachtet man die aktuellen Infektionsraten in Deutschland, klicken offenbar dennoch genug Internetnutzer auf die schadhaften Anhänge".

Ein möglicher Grund: Um die Nachricht glaubwürdiger erscheinen zu lassen, wird fast immer der Name des Opfers als persönliche Anrede verwendet. Wie im obigen Beispiel ersichtlich, wird dem Opfer eine scheinbar nicht beglichene Rechnung zur Last gelegt, welche sich im Anhang befindet. Darin ist allerdings keine Rechnung enthalten, sondern die Schadsoftware als ausführbare Datei.

Schädling als ZIP-Datei getarnt

Öffnet das Opfer die ZIP-Datei im Anhang der E-Mail, erscheint als Inhalt eine weitere ZIP-Datei mit ähnlichem Namen. Diese ZIP-Datei enthält wiederum den eigentlichen Schädling als ausführbare Datei, getarnt mit einer COM-Dateiendung. Win32/Trustezeb ist ein Schädling, der auf dem System seines Opfers weitere Schadsoftware nachladen kann. Er öffnet dazu eine Hintertür, so dass der Angreifer dauerhaft Zugriff auf den infizierten Computer hat. Dabei bedient sich Win32/Trustezeb einer Vielzahl moderner Methoden, die sich auch bei anderen Schädlingen finden lassen. Zum Beispiel besitzt er einen sogenannten Domain-Generation-Algorithmus. Diese Funktion generiert eine Reihe an Domainnamen, die dann als C&C-Server dienen und kontaktiert werden.

Der Angreifer kann nun eine oder mehrere dieser Domains registrieren und so seine Schadsoftware kontrollieren. Durch die vielen möglichen Domain-Namen hat der Angreifer die Möglichkeit, in bestimmten zeitlichen Abständen immer wieder eine andere Domain zu registrieren. Dies erschwert das Auffinden und Abschalten der gerade aktiven C&C-Server erheblich. Die Kommunikation mit dem C&C-Server erfolgt dabei durchgehend verschlüsselt, was ein Aufspüren des Schädlings zusätzlich erschwert.

Vorsicht bei Öffnen von Dateianhängen

Eset gibt einmal mehr den Rat, beim Öffnen von Dateianhängen stets vorsichtig zu sein. Zwar gehen die Angreifer im Falle von Trustezeb in Sachen Tarnung äußerst nachlässig vor, jedoch können auch Anhänge von vermeintlich bekannten Absendern Schadsoftware enthalten. Um ein höchstes Maß an Sicherheit zu gewährleisten, empfiehlt sich stets der Einsatz einer aktuellen Security-Software wie der ESET Smart Security – so ist man stets vor allen Gefahren geschützt, die im weltweiten Datennetz lauern. (sg)

  • Ein Blick auf die E-Mail-Adresse dieser beispielhaften Mail verrät, dass die Nachricht von einer privaten Adresse aus versendet wurde.
RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags