Kaspersky warnt vor DDoS-Angriffen mit Java-Malware

Kaspersky Lab informiert über eine neue Schadsoftware für Java, die auf Windows-, Mac-OS- und Linux-Systemen läuft. Ihr Ziel ist es, Angriffe per Distributed Denial of Service (DDoS) durch Mengen an Bots aufzuführen. Kaspersky hat ihr den Namen HEUR:Backdoor.Java.Agent.a gegeben.

Das Programm nutzt eine Schwachstelle in der Java Runtime Environment (JRE) für Oracle Java SE 7 Update 21 und früher, um Nutzer zu infizieren. Sie kopiert sich dann ins Standardverzeichnis für Nutzerdaten, sorgt dafür, dass sie bei jedem Systemstart ausgeführt wird und schützt sich durch Verschlüsselung vor einer Entdeckung.

„Um die Analyse und Erkennung der Malware zu erschweren, haben die Entwickler das Verschleierungsmodul Zelix Klaasmaster eingesetzt. Zelix verschleiert nicht nur den Bytecode, sondern verschlüsselt auch String-Konstanten“, schreibt Anton Ivanov im Kaspersky-Blog. „Für jede Klasse erstellt Zelix einen anderen Schlüssel. Um alle Strings einer Anwendung zu entschlüsseln, muss man alle Klassen analysieren, um die Schlüssel aufzustöbern.“

Die konzertierten Angriffe von Bots können über die Protokolle HTTP oder UDP erfolgen. Kontrolliert werden sie über das Chatprotokoll IRC. Dazu kommt PircBot zum Einsatz, ein Java-Framework, mit dem sich einfach und schnell IRC-Bots erstellen lassen.

Angreifer können den Bots auf diese Weise die Adresse des Ziels zukommen lassen, die Portnummer, die Dauer des Angriffs und die Zahl der zu eröffnenden Threads. Auf jedem Bot legt die Malware eine eindeutige Kennzahl an, um exakte Kontrolle über das Netz zu haben. Zu den bisherigen Opfern des Botnetzes gehörte Ivanov zufolge mindestens ein Massenversender von E-Mails.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de