computerwoche.de

Web

Achtung: Hacker kidnappen Daten!

25.05.2005

MÜNCHEN (COMPUTERWOCHE) - Eine neue Methode von Computer-Kriminalität meldet das Sicherheitsunternehmen Websense: Dabei schleust ein Angreifer über ein Sicherheitsleck im Internet Explorer während des Besuchs einer Website einen Trojaner ("Downloader-aag") auf den Rechner des Opfers. Dieser lädt umgehend weiteren Code nach, ohne dass der Anwender davon etwas mitbekommt, und führt ihn aus.

Dieses Programm durchkämmt anschließend die lokale Festplatte und sucht dort nach bestimmten Dateitypen: Auf insgesamt zwölf Arten hat es die Software dabei abgesehen, darunter Dokumente, Fotos, Datenbanken, Zip-Archive oder Spreadsheets. Was der Schädling findet, verschlüsselt er, so dass der rechtmäßige Besitzer anschließend keinen Zugang zu den Informationen mehr hat.

Hat es seine destruktive Arbeit getan, löscht sich das Programm. Übrig bleibt lediglich eine Text-Datei mit Instruktionen, was der Anwender zu tun hat, um wieder an seine Daten zu kommen. In einem konkreten Fall, der Websense bekannt ist, forderte der Übeltäter das Opfer auf, 200 Dollar auf ein E-Gold-Konto einzuzahlen, was der Betroffene aber nicht tat.

Joe Stewart, Senior Security Researcher bei Lurhq Corp., erfuhr von der Geschichte und sah sich den Verschlüsselungsmechanismus an. Glücklicherweise stellte der sich als "ziemlich trivial" und leicht zu knacken heraus. Stewart schrieb darauf ein Programm, das die Dateien dechiffrierte.

Beim nächsten Mal ist die Lösung vielleicht nicht so einfach, warnt Dan Hubbard, Senior Director für Security and Research bei Websense: "Die verwendete Technik war nicht sehr ausgeklügelt, aber die dahinter stehende Idee ist ziemlich clever." Wenn sich diese Form weiter entwickle, könne der Übeltäter das ergaunerte Geld dazu nutzen, den Angriff zu verbessern.

Ein Spezialist von Symantec bezeichnet den Vorfall als "beunruhigenden neuen Trend und einen wirklich subversiven Gebrauch von Kryptografie, wie er bisher nicht da gewesen ist". Statt Informationen zu schützen, würden mit dieser Methode dem Anwender Informationen entwendet, ohne sie physikalisch zu entfernen. Das Resultat ist jedoch das Gleiche.

Derzeit bietet sich gegen diese Bedrohung kein anderer Schutz, als möglichst schnell Browser-Updates zu installieren. Nur so lassen sich Hintertüren schließen, die das Herunterladen von derartigem Schadcode erlauben könnten. (ave)