215178

Neue Welle von Mebroot-Infektionen

11.12.2009 | 14:21 Uhr |

Über eine Sicherheitslücke in älteren Java-Versionen wird eine neue Variante des MBR-Rootkits Mebroot verbreitet. Der Schädling wird über mit Exploit-Kits präparierte Websites eingeschleust.

Eine neue Variante eines altbekannten Schädlings macht wieder die Runde. Das Trojanische Pferd Mebroot (Alias: Sinowal , Torpig) nistet sich im Boot-Sektor (MBR, Master Boot Record) der Festplatte ein. Der Schädling wird daher auch als MBR-Rootkit kategorisiert. Mebroot/Sinowal ist seit etwa zwei Jahren bekannt. Die neue Variante wird unter anderem über eine Sicherheitslücke in Java verbreitet.

Andrea Lelli berichtet im Symantec Security Response Blog ausführlich über die neu entdeckte Version von Mebroot. Lelli geht dabei vor allem auf die Verbreitung des Schädlings mit Hilfe einer Schwachstelle in älteren Versionen des Java-Plug-ins JRE ein. Der Exploit-Code für diese Sicherheitslücke sei in einem populären Exploit-Toolkit enthalten, schreibt Lelli. Dieses nutze auch weitere Schwachstellen, etwa im Flash Player oder im Adobe Reader, zum Einschleusen von Mebroot.

Die Vorgehensweise der Täter folgt dem üblichen Schema. Eine präparierte Web-Seite enthält für die erste Stufe verschleierten Javascript-Code, der den vom Besucher benutzten Browser analysiert. Der Code ruft dann eine passende Unterseite auf, die geeigneten Exploit-Code bereit hält. Für eine installierte anfällige Java-Version wird ein präpariertes Java-Applet geladen, das als JAR-Archiv vorliegt.

0 Kommentare zu diesem Artikel
215178