Rapidshare unter Cyber-Beschuß

von Lars Bube (lars.bube@crn.de)

Share
28.07.2009

Der Dateihosting-Anbieter Rapidshare wird laut Sicherheitsexperten derzeit von Cyberkriminellen mit Malware überschwemmt. Insbesondere eine .zip-Datei mit vermeintlich pornographischem Inhalt hat über ein eine Hintertüre bereits zehntausende Rechner infiziert.

Durch einige Tricks sieht die Malware auf den ersten Blick aus wie ein normaler Video-Clip.

Der Sicherheitsanbieter G Data [1] warnt vor einer neuen Angriffswelle, die seit Anfang der Woche massenhaft Schadsoftware über den Dateihosting-Dienst Rapidshare verteilt. Am Montag dieser Woche stach dabei insbesondere eine bestimmte URL hervor, die über 21.000 Mal aufgerufen wurde und hinter der sich eine Datei Namens »03f13b-fuckedandbound.zip« befindet. Neben pornografischen Darstellungen enthält diese auch einen vermeintlichen Video-Clip »video clip - fucked and bound . com.exe«, in dem die Cybergangster jedoch eine bösartige Hintertür versteckt haben.

Die Urheber des Schadcodes haben die Datei dazu so modifiziert, dass sie auf Windows-Systemen mit den Standardeinstellungen für die Darstellung bekannter Dateitypen tatsächlich als abspielbare Videodatei erscheint (siehe Bild). Mit diesem Trick werden ahnungslose User dazu verführt, die Datei anzuklicken, wodurch sich Schadcode auf ihrem PC installiert, der es den Angreifern möglich, die Kontrolle über den Rechner zu übernehmen. Im Einzelnen nimmt die Malware dazu auch einige Änderungen an der Registry vor, die sicherstellen, dass der Schadcode bei jedem Systemstart mit ausgeführt wird. Bei bestehender Internetverbindung nimmt die Malware außerdem Kontakt mit einem externen Server auf, über den sensible Daten wie Logins des befallenen Systems an die Angreifer übermittelt werden.

Steigende Gefahr auf One-Click-Hostern

Die Spezialisten aus den G Data Security Labs sehen in der aktuellen Angriffswelle über Rapidshare einen allgemeinen Trend zu verschärften Attacken über die beliebten One-Click-Hoster. Bereits im Juni hatten sie erstmals deutlich vor solch einem Anstieg bei Datei-Hosting-Portalen gewarnt (wir berichteten [2]) und den Usern der Tauschdienste dringend empfohlen, ihr Nutzungsverhalten der gestiegenen Gefahrenstufe anzupassen.

»Anwender sollten Links zu Dateien, die bei One-Click-Hostern hinterlegt sind, immer kritisch und sorgsam prüfen, bevor sie diese anklicken. Außerdem rate ich dringend dazu, einen Virenscanner mit http-Filter einzusetzen: Dieser ist in der Lage, schädliche Inhalte bereits vor Erreichen des Webbrowsers blockieren und damit den Angriff erfolgreich abwehren zu können.«, so Ralf Benzmüller, Leiter der Sicherheitslaboratorien bei G Data.

[1] http://www.gdata.de/
[2] http://crn.de/showArticle.jhtml?articleID=217701233

Verwandte Artikel