Anfang April wurden mehrere Web-Seiten entdeckt, die erfolgreich mit Iframe Search Engine Optimization (SEO) manipuliert wurden. Dabei konnten Browser durch die Einfügung einer Iframe-Komponente in den HTML-Code auf eine andere URL umgeleitet werden. Sie starteten dann einen Download verschiedener Malware.
Doch nicht nur Websites stehen im Visier. An jedem zweiten Dienstag im Monat (Patch Tuesday) veröffentlicht Microsoft Updates für sicherheitsrelevante Schwachstellen in seinen Produkten. Am darauf folgenden Mittwoch nimmt die Malware-Szene oft genau diese Sicherheitslücken ins Fadenkreuz. Die Angreifer spekulieren leider erfolgreich mit dem zeitlich verzögerten Einspielen der neuen Patches durch viele Anwender.
Der Untersuchung zufolge zeigte sich nach dem Patch Tuesday im April eine Kombination aus Exploit und Backdoor. Mit ihr griffen Eindringlinge die eigentlich schon geschlossene Sicherheitslücke im Graphical Device Interface (GDI) von Windows Systemen an. Nach dem erfolgreichen Ausnutzen der Schwachstelle durch EXPL_Nevar.B startet der Download von BKDR_PoisonIV.QI. Unbemerkt vom User gibt das Backdoor dem Angreifer die volle Kontrolle über das infizierte System.
Gefahr durch Kraken
Das Storm-Botnet hat einen Konkurrenten bekommen. Das Kraken-Botnet besteht wahrscheinlich aus mehr als 400.000 infizierten Systemen und ist damit doppelt so groß wie Storm. Es trägt den unrühmlichen Titel "Größtes Zombie-Netzwerk".
Laut der Analyse gelangt Kraken in Form eines als Bilddatei getarnten EXE-Files auf Systeme. Beim Öffnen legt die Malware auf dem betroffenen Rechner eine Kopie von sich an. Dabei wird ein Dateiformat für die Kopie verwendet, das sich von dem ursprünglichen Format unterscheidet. Wird die Originaldatei von einer Anti-Malware-Lösung erkannt und entfernt, kann das System über die Kopie erneut infiziert werden. Die Malware hinter Kraken wird von Trend Micro als TROJ.SPAMBOT.AF identifiziert.
Die Untersuchung "Kraken fordert Storm heraus" wurde von Trend Micro veröffentlicht.