Neue Welle von Mebroot-Infektionen

Eine neue Variante eines altbekannten Schädlings macht wieder die Runde. Das Trojanische Pferd Mebroot (Alias: Sinowal, Torpig) nistet sich im Boot-Sektor (MBR, Master Boot Record) der Festplatte ein. Der Schädling wird daher auch als MBR-Rootkit kategorisiert. Mebroot/Sinowal ist seit etwa zwei Jahren bekannt. Die neue Variante wird unter anderem über eine Sicherheitslücke in Java verbreitet.

Andrea Lelli berichtet im Symantec Security Response Blog ausführlich über die neu entdeckte Version von Mebroot. Lelli geht dabei vor allem auf die Verbreitung des Schädlings mit Hilfe einer Schwachstelle in älteren Versionen des Java-Plug-ins JRE ein. Der Exploit-Code für diese Sicherheitslücke sei in einem populären Exploit-Toolkit enthalten, schreibt Lelli. Dieses nutze auch weitere Schwachstellen, etwa im Flash Player oder im Adobe Reader, zum Einschleusen von Mebroot.

Die Vorgehensweise der Täter folgt dem üblichen Schema. Eine präparierte Web-Seite enthält für die erste Stufe verschleierten Javascript-Code, der den vom Besucher benutzten Browser analysiert. Der Code ruft dann eine passende Unterseite auf, die geeigneten Exploit-Code bereit hält. Für eine installierte anfällige Java-Version wird ein präpariertes Java-Applet geladen, das als JAR-Archiv vorliegt.