Der Sicherheitsintelligenz-Bericht v.16 von Microsoft hebt Rotbrow-Schadprogramme hervor


 

Microsoft Corporation hat vor kurzem Band 16 ihres halbjährlichen Sicherheitsintelligenz-Berichts (SIR = Security Intelligence Report) herausgegeben. Wie immer beinhaltet der Bericht „Perspektiven bezüglich Software-Schadenanfälligkeiten in Software von Microsoft und Dritten, Exploits und bösartige Code-Gefahren.“ Band 16 des SIR bietet einen Einblick in weltweite Schadprogramm-Aktivitäten während der zweiten Hälfte des Jahres 2013 (Juli-Dezember).

Insbesondere hebt der Bericht einen erheblichen Anstieg in der Verbreitung von Schadprogrammen der Rotbrow-Familie hervor.

Die Rotbrow-Familie

Laut Microsoft sind ungefähr 6% von Computern im SIR v.16 in der zweiten Hälfte des Jahres 2013 auf Rotbrow getroffen. Natürlich fragt man sich, wie Rotbrow so erfolgreich war. Interessanterweise liegt die Antwort in einer einmaligen Herangehensweise, die das typische Verhalten eines Trojaners mit etwas Autorengeduld verbindet.

In der zweiten Hälfte des Jahres 2013 verteilten sich Schadprogramme von Rotbrow als bösartiges Sicherheitsprodukt namens “Browser Protector.” Wie alle betrügerischen Programme pries sich Browser Protector als etwas an, das Sie und Ihren Computer gegen all die schlimmsten Schadprogramme schützen würde, die das Internet zu bieten hat. Tatsächlich sind betrügerische Programme, die solche Versprechen machen, Schadprogramme. Diese „warnen“ ihre Benutzer vor „kritischen Infektionen“ oder „Bedrohungen“ mit nervigen Pop-up-Fenstern, die niemals aufgeben.

Rotbrow war da aber etwas anders. Anstatt den Benutzer zu infizieren, entschieden sich die Autoren von Rotbrow, den Trojaner als Ausläufer zu gestalten. Bei einem Ausläufer (dropper) handelt es sich um eine Art Schadprogramm, die lediglich eine andere Art Schadprogramm herunterlädt oder „ablegt“. Auf diese Weise verhalten sich Ausläufer als Schadprogramm-Vermittler: sie sind durch ihre Beihilfe bösartig.

Rotbrow war ein besonders effektiver Ausläufer, weil er nicht nur ein täuschender Betrüger war, sondern auch so entwickelt wurde, dass er seine zugehörigen Schadprogramme nach einer erheblichen Zeitverzögerung ablegte. So wurden die meisten Benutzer – und sogar einige Sicherheitsanbieter – nicht sofort misstrauisch, was den neu installierten “Browser Protector” betraf.

Das Schadprogramm, das Rotbrow letztendlich ablegte, war und ist immer noch als Sefnit bekannt, eine besonders hässliche Erfindung, die in der Vergangenheit infizierte Computer verband, um über Server auf Tor zu verfügen und sie zu steuern. Sefnit kann Benutzer in riesige kriminelle Botnets verwickeln, die eingesetzt werden, um Klickbetrug zu begehen oder nach Crypto-Währung zu suchen. Sefnit kann Angreifern auch von weitem die Kontrolle über den infizierten Computer geben und als Ausläufer für weitere Schadprogramme dienen. Vorige Woche wurde gerade festgestellt, dass sich Sefnit auch über Secure Shell-Protokoll mit seinen Opfern verband.

So schützen Sie sich gegen Rotbrow

Obwohl die Geduld von Rotbrows Autor es dem Ausläufer ermöglichte, sich auf vielen Computern lange unbemerkt aufzuhalten, verriet er sich doch durch den folgenden Anstieg von Sefnit-Infektionen. Am 10. Dezember 2013 veröffentlichte Microsoft ein Blog-Post über Rotbrow mit der Überschrift Rotbrow: der Sefnit-Verteiler. Kurz darauf begannen die Rotbrow-Infektionen abzunehmen.

Trotzdem gibt es Rotbrow immer noch. Das bedeutet, dass Benutzer, die über kein umfassendes Anti-Malware-Programm verfügen, Gefahr laufen, infiziert zu werden. Darüber hinaus kann jeder Benutzer, der sich nur auf signaturbasierte Erkennung verlässt, von einer neuen Rotbrow-Variante infiziert werden, und folglich von jeglicher Schadprogramm-Variante, die Rotbrow ablegt.

Benutzer, die Emsisoft Anti-Malware haben, sind automatisch gegen die Rotbrow-Variante geschützt, die in Microsofts neuestem Sicherheitsintelligenz-Bericht hervorgehoben wurde.

Unsere Software erkennt das Schadprogramm als:

Gen:Variant.Adware.BHO.Bprotector.1 (B)

SHA-1: 67d9b78889bb81286e94f0c5c8ed2a61157c58c9

Außerdem kann Emsisofts Verhalten blockierende Technologie neue Varianten von Rotbrow mit abgeleiteten Mustern in der ursprünglichen Variante verbinden, was Vorbeugung mit Eigeninitiative ermöglicht. Wenn Sie diese Technologie mit Vorsicht verbinden, wenn Sie auf etwas treffen, dass sich als “Browser Protector” Sicherheitsprodukt anpreist, können Sie sich (und Ihren Computer) davor schützen, ein Teil der Rotbrow-SIR-Statistik zu werden.

Wir wünschen Ihnen einen angenehmen Tag (ohne Rotbrow und Sefnit)!

Laden Sie den Microsoft Sicherheitsintelligenz-Bericht v.16 herunter

Microsofts Sicherheitsintelligenz-Bericht v.16 verbindet Computer-Sicherheitsstatistiken von mehr als 600 Millionen Computern in über 100 Ländern. Sowohl der ganze Bericht als auch eine Zusammenfassung der wichtigsten Erkenntnisse können als PDF hier heruntergeladen werden: http://www.microsoft.com/security/sir/default.aspx.

Senan Conrad

Weitere Artikel