Angreifer nutzen neue Java-Malware für DDoS-Attacken

BetriebssystemSicherheitVirusWorkspace
Java (Bild: Oracle)

Die Schadsoftware wird auf Windows-, Linux- sowie Mac-OS-Rechnern eingeschleust. Die von HEUR:Backdoor.Java.Agent.a ausgenutzte Sicherheitslücke befindet sich in der Laufzeitumgebung von Java SE 7 Update 21 sowie in früheren Versionen. Zum Opfer gefallen ist den Kriminellen bislang mindestens ein E-Mail-Massenversender.

Kaspersky Lab warnt vor einem derzeit in Umlauf befindlichem Schadprogramm in Java, das Windows-, Linux- und Mac-OS-Systeme befällt. Ziel ist es, mit Hilfe einer Vielzahl an Bots DDoS-Attacken durchzuführen. Der Security-Anbieter hat dem Schädling den Namen HEUR:Backdoor.Java.Agent.a gegeben.

java-800

Die Malware nutzt eine Sicherheitslücke im Java Runtime Environment (JRE) für Oracle Java SE 7 Update 21, um Rechner zu infizieren. Frühere Java-Versionen können diese Schwachstelle allerdings auch schon beinhalten. Nachdem sich das Programm erfolgreich eingenistet hat, kopiert es sich ins Standardverzeichnis für die Benutzerdaten. Anschließend wird es bei jedem Systemstart automatisch und verschlüsselt ausgeführt. So bleibt HEUR:Backdoor.Java.Agent.a meist unentdeckt.

“Um die Analyse und Erkennung der Malware zu erschweren, haben die Entwickler das Verschleierungsmodul Zelix Klaasmaster eingesetzt. Zelix verschleiert nicht nur den Bytecode, sondern verschlüsselt auch String-Konstanten”, schreibt Anton Ivanov im Kaspersky-Blog. “Für jede Klasse erstellt Zelix einen anderen Schlüssel. Um alle Strings einer Anwendung zu entschlüsseln, muss man alle Klassen analysieren, um die Schlüssel aufzustöbern.”

Die aufeinander abgestimmten Bot-Attacken können über die Protokolle HTTP oder UDP erfolgen. Kontrolliert werden sie über das Chatprotokoll IRC. Zudem kommt mit PircBot ein Java-Framework zum Einsatz, das einfach und schnell IRC-Bots erstellen kann.

Auf diese Weise übermitteln die Angreifer den Bots ihre jeweilige Zieladresse und Portnummer, aber auch die Dauer der DDoS-Attacke sowie die Anzahl der zu benutzenden Threads. Jeder Bot erhält durch die Schadsoftware eine eindeutige Kennung, um das Netz präzise kontrollieren zu können. Zu den bisherigen Opfern des mit HEUR:Backdoor.Java.Agent.a aufgebauten Botnetzes zählt laut Ivanov zumindest ein E-Mail-Massenversender.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen