Sofortiger Schutz gegen neue Malware
Herunterladen | ThreatFire | Produkte | Kundendienst | Unternehmen

Experten von PC Tools entlarven neuen „Kraken“

München, 30. April 2008. Spezialisten des australischen Anbieters von Sicherheitssoftware PC Tools haben eine neue Variante des Kraken-Bots „Bobax“ entdeckt und den Quellcode seiner Schlüsselkomponenten öffentlich zugänglich gemacht. Unter einem Bot versteht man eine weitgehend autonom arbeitende Computersoftware. Die Kraken-Variante nutzt neueste Methoden, um eine Erkennung zu umgehen. Daher schätzt PC Tools den Kraken als sehr gefährlich ein.

„Wir haben nicht nur sämtliche Details der Kraken-Variante entschlüsselt, sondern auch die neue Liste der Domain-Namen und den mathematischen Algorithmus“, sagt Sergei Shevchenko, leitender Malware-Experte bei PC Tools. „Wir haben den Quellcode des Algorithmus, der Domain-Namen generiert, veröffentlicht, damit auch andere Sicherheitsspezialisten von diesem Wissen über den Bot profitieren. Je mehr Kenntnisse die Anbieter von Sicherheitssoftware über diesen Schädling haben, desto größer sind die Chancen, ihn zu bezwingen.“

Den Malware-Forschern von PC Tools zufolge wird der Bot von traditioneller, signaturbasierter Sicherheitssoftware kaum erkannt. Der Schädling macht sich flexibel neue Techniken zunutze, die zum Beispiel „Zufallsfaktoren“ nutzen, um sich unvorhersehbar ins Rechnersystem einzuschleichen – was seine Verbreitungsrate stark erhöht.

Erstmals abgefangen und blockiert wurde die aktuelle Kraken-Variante von ThreatFire, der verhaltensbasierten Sicherheitssoftware von PC Tools. ThreatFire leitete das Muster des Schädlings (Sample) zur genauen Untersuchung an das automatische Analysesystem ThreatExpert weiter. ThreatExpert erkannte das bösartige Verhalten und die neuartigen Funktionen des Schädlings und alarmierte die Malware-Forscher bei PC Tools.

Weitere Analysen ergaben, dass sich die Schädlingsvariante über „http“ (die „Sprache“, mit deren Hilfe Web Browser mit Webseiten kommunizieren) mit den Kontrollzentren „verständigt“, um Sicherheitssysteme wie Firewalls umgehen zu können. Der Bot nutzt pseudo-zufällige dynamische DNS-Namen mit einer variablen Länge von sieben bis zwölf Zeichen, die mit einer Domain-Endung wie zum Beispiel dyndns.org, yi.org, mooo.com, dynserv.com, com, cc oder net versehen sind. Die Befehle und die Daten, die der Bot mit dem Kontrollzentrum austauscht, sind verschlüsselt. Der Schädling nutzt zudem wahllos ausgewählte Scheinnamen („Bogus-Header“), um sich dem Firewall-Radar zu entziehen.

Die Besonderheit des Bots besteht in einem Zufalls-Wortgenerator, mit dem der Schädling Scheinnamen und zufällige URLs erstellt. Der Krake ist dadurch in der Lage, Worte mit exakt passenden Vokalen und Konsonanten zu bilden. Das interne Regelsystem diktiert dem Schädling, wann er zufällige Vokale und Konsonanten aussuchen soll.

Das generierte Wort wird durch eine Endung vervollständigt, die der Bot aus einer Liste mit 33 bekannten englischen Substantiven, Verben, Adjektiven oder Adverben auswählt, wie beispielsweise -able, -dom, -hood, -ment, -ship, -ly oder -ency.

„Womit wir es hier zu tun haben, ist ein künstlicher englischsprachiger Wortgenerator, der grammatikalischen Regeln folgt und Wörter produziert, die der englischen Sprache ähneln“, erklärt Sergei Shevchenko. „Der Zufalls-Generator wurde so programmiert, dass er selbst diejenigen Spam-Filter und Algorithmen umgehen kann, die zufällige Wortbildungen normalerweise anhand von ungewöhnlichen Zeichenkombinationen erkennen.“ Wenn ein Algorithmus zufällige Wörter nicht von „echten“ unterscheiden kann, wird der Schädling weder erkannt noch blockiert.

Das automatische Analysesystem ThreatExpert lieferte auch Anhaltspunkte darüber, wie der Krake Computer infizieren kann: Die Untersuchungen durch ThreatExpert deuten darauf hin, dass der Schädling in manchen Fällen über den MSN-Messenger verbreitet wurde. Die Nachrichten beinhalteten einen angehängten ZIP- oder RARFile mit einem Namen, der Zeichenfolgen beinhaltet wie „pic_[zufällige Nummer].jpeg“, „picture_[zufällige Nummer]_.jpeg“ oder „album[zufällige Nummer].jpeg“.

Die Malware-Experten von PC Tools verzeichneten allein in den letzten 24 Stunden Computerinfektionen durch den Kraken in folgenden Ländern: Italien, Türkei, Norwegen, Mazedonien, Puerto Rico, Thailand, Dominikanische Republik, Neuseeland, Rumänien, USA, Jamaika, Griechenland, Mexiko, Marokko, Panama, Großbritannien, Ecuador, Argentinien, Schweden, Serbien, Kasachstan, Algerien, Uruguay, Libanon, Jordanien, Antigua und Barbuda, Bosnien und Herzegowina.

„Ihre neuen Techniken machen die Kraken-Variante zu einem sehr gefährlichen Schädling“, sagt Shevchenko. „Einen solchen Bot kann man nur durch ein ausgefeiltes Analyse- und Sicherheitssystem ausschalten.“

ThreatFire wurde von Sicherheitsexperten bei PC Tools entwickelt, es arbeitet eng mit ThreatExpert zusammen. Das Programm bietet umfassenden verhaltensbasierten Schutz gegen die jüngste Kraken-Variante.

Weitere technische Details und den Algorithmus des Bots finden Sie unter: http://blog.threatexpert.com/2008/04/kraken-changes-tactics.html

Über ThreatFire
ThreatFire nutzt eine zum Patent angemeldete Technologie, mit der gefährliche Aktivitäten, die auf Malware schließen lassen, erkannt werden. ThreatFire arbeitet nicht wie herkömmliche Antiviren- Produkte, die auf Signaturen basieren und jedes Mal ein Update benötigen, wenn ein neuer Computerschädling auftaucht. Die ActiveDefense-Technologie von ThreatFire identifiziert Malware, die für traditionelle Sicherheitssoftware zu neu oder zu hoch entwickelt ist, und macht sie unschädlich. ThreatFire alarmiert den Anwender nur dann, wenn wirklich gefährliche Aktivitäten verzeichnet werden.

Über PC Tools
PC Tools ist ein weltweit führender Hersteller innovativer Softwareprodukte für PC-Sicherheit und Systemoptimierung einschließlich des mehrfach prämierten Spyware Doctor. PC Tools ist führend bei Antispyware-Programmen, die in Echtzeit arbeiten, mit zahlreichen zum Patent angemeldeten Technologien. Das PC Tools Malware Research Centre überwacht Trends und aufkommende Spyware-Themen und entwickelt Sicherheitslösungen für Privatanwender und Unternehmenskunden. Das Unternehmen hat seinen Sitz in Sydney/Australien und unterhält Niederlassungen in San Francisco, London, Shannon (Irland), Melbourne, Kiew und Boulder. PC Tools verfügt über ein weltweites Netz an Distributoren, Resellern und Retailern. Exklusiv-Distributor in Deutschland ist Koch Media, mit Sitz in Planegg bei München.

Weitere Informationen unter: www.pctools.com/de/

PR-Kontakt Deutschland:
Arno Laxy und Veit Mathauer
Sympra GmbH (GPRA)
Nördliche Auffahrtsallee 19
80638 München
Mobile: +61 411 156 152
Telefon: 089 / 159 29 676
Telefax: 089 / 159 29 677
Mail: pctools@sympra.de

Europäische Vertretung PC Tools:
Aline Kouninioti
Business Development Manager Europe
1 Hammersmith Grove
London, W6 0NB
Mobile: +61 411 156 152
Telefon: +44 (0) 78 34 217 472
Telefax: +44 (0) 870 0493 424
Mail: akouninioti@pctools.com
Copyright © 1998-2009 PC Tools. Alle Rechte vorbehalten. C12044-85567 21.11.2009 01:31 Datenschutzrichtlinie | Haftungsausschluss | Kontakt