Hacker drehen Dateinamen, um "sichere" Dateierweiterungen zu schaffen

Unicode-Funktion wird zur Malware-Infektion missbraucht

PRAG, Tschechien, 7.September 2011 -- “Was du siehst ist nicht das, was du bekommst” - dank einer neuen Welle von Malware, die eine spezielle Sprachanzeigefunktion missbraucht, um Leute dazu zu bringen, vermeintlich "sichere" Dateien zu öffnen. Das neue Exploit missbraucht Funktionen in Unicode - dem Standart der Computerindustrie um Text darzustellen - um ausführbare Malware als sichere Dateien wie .doc und .jpg zu maskieren. Es wurde daher von AVAST Software Analysten 'Unitrix' getauft.

Die Unicode Funktion wurde so entwickelt, dass Alphabete mit einem rechts-nach-links Schema, wie z.B. Arabisch oder Hebräisch, dargestellt werden können und dreht den Text, nachdem ein spezielles Steuerzeichen wie 0x202E zum Dateinamen hinzugefügt wurde. Zum Beispiel wird aus einer ausführbaren Malwaredatei, die mit "gpj.exe" endet, eine dem Empfänger sicherer erscheinende Datei mit dem Namen "photo_D18727_Collexe.jpg".


Quelle: AVAST Virenlabor

"Der typische Benutzer schaut nur auf die Erweiterung am Ende des Dateinamens; z.B. .jpg für ein Foto. Und darin besteht die Gefahr" sagt Jindrich Kubec, Leiter des AVAST Virenlabors. "Die einzige Möglichkeit für einen Benutzer zu erkennen, dass es sich um eine ausführbare Datei handelt, wäre, wenn sie weitere Informationen irgendwo auf dem Computer angezeigt oder sie eine Warnung erhalten würden, wenn sie versuchen, die Datei auszuführen."

Das AVAST Virenlabor konnte einen kontinuierlichen Anstieg der Anzahl an Erkennungen verzeichnen, mit einem Höchtwert von über 25.000. "Von den E-Mail Nachrichten und dem Muster her zu urteilen, zielt es auf den Business-Bereich ab" sagt Kubec. Die Angriffe finden fast immer an Werktagen statt, während die täglichen Erkennungen auf 5.000 am Wochenende fallen.

Die am meisten verbreitete Unitrix Datei ist ein Malware Downloader mit Verbindungen zu diversen URL-Adressen, die als Steuerungszentren genutzt werden. "Basierend auf unserer Analyse von über 50 Proben, scheint es eine Art Netzwerk zu sein, was pro Installation bezahlt wird, um den infizierten Benutzern diverse Malware zu senden" erklärt Kubec. Zusätzliche Informationen zu Unitrix finden Sie im AVAST blog.

"Es ist möglich, eine einzige allgemeine, absolut sichere Erkennung dafür zu schaffen, da es eine Menge an Fehlalarmen produzieren würde, aber es gibt definitiv Wege damit umzugehen" sagt Kubec. Er zeigt darüber hinaus auf, dass avast! Antivirus Benutzer durch zwei Wege geschützt sind:

  1. Einfache Erkennung, wenn ein Dateiname, der diesen Trick nutzt, in einer eingehenden Mail gefunden wird.
  2. Im Dateisystem wird von avast! automatisch ein Start der verdächtigen Datei in der Sandbox, einer sicheren virtuellen Umgebung, vorgeschlagen.

"Das Problem hier ist, dass es sich um eine Unicode Funktion handelt. Trotz aller Sicherheitsbedenken bei dieser Spezifikation, haben die Leute sie einfach implementiert und niemand kümmert sich darum. Es wird auch auf den Webseiten anderer Virenlabore erwähnt, aber es ist nicht weitläufig bekannt" sagt Kubec.

Ihr Internet Explorer ist überholt.

1. Am 8. April 2014 beendet Microsoft die Unterstützung des Browsers Internet Explorer unter Windows XP. Dies setzt Ihren Computer und Ihre Daten, wie z.B. Kreditkarten- und Onlinebanking-Details, erhöhtem Risiko durch Hacker und Malware aus.

2. Es gibt zahlreiche Alternativen, aber wir bei AVAST benutzen und empfehlen wir Chrome, weil wir ihn für die sicherste verfügbare Option halten.