+43 699 / 18199463
office@itexperst.at

Wurm W32.Qakbot greift sensible Daten ab

Computer, die vom US-Staat Massachusetts betrieben werden, wurden von dem Wurm Qakbot infiziert. Dieser sucht gezielt nach sensiblen Daten aus dem Finanzumfeld und versendet diese. Die Konstrukteure des Wurms waren sehr darauf bedacht, dass dieser unauffällig arbeitet. Der Wurm sendet den Betreibern Informationen in Realzeit zu. Bedenklich ist, dass spezielle Web-Sitzungs-Informationen übertragen werden, womit eine Verlängerung der Online-Banking-Sitzungen und Überweisungen möglich sind.

1500 PCs der Behörden seien auf diese Art und Weise befallen worden.

W32.Qakbot ist ein Wurm, der sich über Netzwerkfreigaben und tragbare Speichermedien verbreitet. Er lädt zusätzliche Dateien auf den Computer, stiehlt Daten und öffnet eine Backdoor. Weiter besitzt er Rootkit-Funktionen, so Symantec. Er ließt Tastatureingaben mit, speichert POP3- und  FTP Zugänge und SSL-Zertifikate. Die FTP-Zugänge nutzt der Wurm aus und infiziert vorhandene Web-Seiten. Er liest Session-Tokens mit, implementiert einen lokalen Server-Dienst, mit dem er sich von anderen Rechnern aus verbindet. Er kann die Logout-Funktionalität von Bankseiten verstecken um die Sitzung der Anwender leichter übernehmen zu können. Mit der Rootkit-Funktionalität versteckt er verdächtige Dateien, Netzwerkverbindungen und Prozesse. Ziel sind primär US-Banken und US-Finanzinstitute.

Besonders hervorzuheben ist, dass einige QakBot Seiten mit gestohlenen SSL/TLS-Zertifikat signiert sind (Stuxnet verwendete ebenso einen gestohlenes SSL-Zertifikat.) Damit sinken die Chancen des Anwenders gegen Null, die gefälschte Seite als solche zu entlarven.

Die Infizierung erfolgt, wenn ein unbedarfter Anwender auf präparierte Webseiten surft.

Etwa 1 GB an Daten wurden in 10 Tagen von allen (insgesamt 200.000) infizierten PCs von dem Wurm über das Netz übertragen. Interessante technische Einzelheiten des Wurms sind im Bericht von Symantec nachzulesen.

Blog von Symantec zu W32.QakBot
Artikel von theregister.co.uk, 20.05.2011: Massachusetts PCs infected by data-hungry worm

 

 

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen