1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Neue Welle von Mebroot-Infektionen

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von akuta, 14. Dezember 2009.

  1. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    Neue Welle von Mebroot-Infektionen

    Java-Exploit

    11.12.2009, 14:21 Uhr

    Eine neue Variante eines altbekannten Schädlings macht wieder die Runde. Das Trojanische Pferd Mebroot (Alias: Sinowal, Torpig) nistet sich im Boot-Sektor (MBR, Master Boot Record) der Festplatte ein. Der Schädling wird daher auch als MBR-Rootkit kategorisiert. Mebroot/Sinowal ist seit etwa zwei Jahren bekannt. Die neue Variante wird unter anderem über eine Sicherheitslücke in Java verbreitet.

    [​IMG]

    Java-Lücke wird ausgenutzt

    Andrea Lelli berichtet im Symantec Security Response Blog ausführlich über die neu entdeckte Version von Mebroot. Lelli geht dabei vor allem auf die Verbreitung des Schädlings mit Hilfe einer Schwachstelle in älteren Versionen des Java-Plug-ins JRE ein. Der Exploit-Code für diese Sicherheitslücke sei in einem populären Exploit-Toolkit enthalten, schreibt Lelli. Dieses nutze auch weitere Schwachstellen, etwa im Flash Player oder im Adobe Reader, zum Einschleusen von Mebroot.
    Die Vorgehensweise der Täter folgt dem üblichen Schema. Eine präparierte Web-Seite enthält für die erste Stufe verschleierten Javascript-Code, der den vom Besucher benutzten Browser analysiert. Der Code ruft dann eine passende Unterseite auf, die geeigneten Exploit-Code bereit hält. Für eine installierte anfällige Java-Version wird ein präpariertes Java-Applet geladen, das als JAR-Archiv vorliegt.


    pcwelt.de
     
    #1

Diese Seite empfehlen