Angreifer nutzen neue Java-Malware für DDoS-Attacken

Rainer Schneider,
BetriebssystemSicherheitVirusWorkspace
Java (Bild: Oracle)

Kaspersky Lab warnt vor einem derzeit in Umlauf befindlichem Schadprogramm in Java, das Windows-, Linux- und Mac-OS-Systeme befällt. Ziel ist es, mit Hilfe einer Vielzahl an Bots DDoS-Attacken durchzuführen. Der Security-Anbieter hat dem Schädling den Namen HEUR:Backdoor.Java.Agent.a gegeben.

java-800

Die Malware nutzt eine Sicherheitslücke im Java Runtime Environment (JRE) für Oracle Java SE 7 Update 21, um Rechner zu infizieren. Frühere Java-Versionen können diese Schwachstelle allerdings auch schon beinhalten. Nachdem sich das Programm erfolgreich eingenistet hat, kopiert es sich ins Standardverzeichnis für die Benutzerdaten. Anschließend wird es bei jedem Systemstart automatisch und verschlüsselt ausgeführt. So bleibt HEUR:Backdoor.Java.Agent.a meist unentdeckt.

“Um die Analyse und Erkennung der Malware zu erschweren, haben die Entwickler das Verschleierungsmodul Zelix Klaasmaster eingesetzt. Zelix verschleiert nicht nur den Bytecode, sondern verschlüsselt auch String-Konstanten”, schreibt Anton Ivanov im Kaspersky-Blog. “Für jede Klasse erstellt Zelix einen anderen Schlüssel. Um alle Strings einer Anwendung zu entschlüsseln, muss man alle Klassen analysieren, um die Schlüssel aufzustöbern.”

Die aufeinander abgestimmten Bot-Attacken können über die Protokolle HTTP oder UDP erfolgen. Kontrolliert werden sie über das Chatprotokoll IRC. Zudem kommt mit PircBot ein Java-Framework zum Einsatz, das einfach und schnell IRC-Bots erstellen kann.

Auf diese Weise übermitteln die Angreifer den Bots ihre jeweilige Zieladresse und Portnummer, aber auch die Dauer der DDoS-Attacke sowie die Anzahl der zu benutzenden Threads. Jeder Bot erhält durch die Schadsoftware eine eindeutige Kennung, um das Netz präzise kontrollieren zu können. Zu den bisherigen Opfern des mit HEUR:Backdoor.Java.Agent.a aufgebauten Botnetzes zählt laut Ivanov zumindest ein E-Mail-Massenversender.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Die Bedeutung der IT-Haftpflichtversicherung und potenzielle Schadenersatzansprüche

Niederländische Polizei knackt Serverdaten von Blackberry-PGP-Smartphones

Angriffe auf Finanzinstitute ähneln Vorgehen der Sony-Hacker
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen