Java-Lücke ermöglicht DDos-Angriffe

Für Java ist eine neue Schadsoftware im Umlauf, die Rechner mit Windows, Mac OS und Linux befallen kann. Davor warnt Kaspersky Lab. Mit einer Vielzahl an Bots führt sie Angriffe per Distributed Denial of Service (DDoS) aus. Von Kaspersky erhielt die Malware den Namen HEUR:Backdoor.Java.Agent.a.

Um die Systeme von Nutzern zu infizieren, nutzt die Malware eine Lücke in der Java Runtime Environment (JRE) für Oracle Java SE 7 Update 21 und früher aus. Befällt sie einen Rechner, kopiert sie sich in das Standardverzeichnis für Nutzerdaten und legt fest, dass sie bei jedem Systemstart ausgeführt wird. Vor einer Entdeckung schützt sich die Malware durch Verschlüsselung.

“Um die Analyse und Erkennung der Malware zu erschweren, haben die Entwickler das Verschleierungsmodul Zelix Klaasmaster eingesetzt. Zelix verschleiert nicht nur den Bytecode, sondern verschlüsselt auch String-Konstanten”, schreibt Anton Ivanov im Kaspersky-Blog. “Für jede Klasse erstellt Zelix einen anderen Schlüssel. Um alle Strings einer Anwendung zu entschlüsseln, muss man alle Klassen analysieren, um die Schlüssel aufzustöbern.”

Die Protokolle HTTP oder UDP können von Bots für konzentrierte Angriffe genutzt werden. Über das Chatprotokoll IRC kontrollieren die Angreifer die Bots. Dafür verwenden sie PircBot, ein Java-Framework, mit dem sich einfach und schnell IRC-Bots erstellen lassen.

Angreifer können den Bots auf diese Weise die Adresse des Ziels zukommen lassen, die Portnummer, die Dauer des Angriffs und die Zahl der zu eröffnenden Threads. Um genaue Kontrolle über das Botnetz zu haben, legt die Malware auf jedem Bot eine eindeutige Kennzahl an. Laut Ivanov zählt mindestens ein Massenversender von E-Mails zu den bisherigen Opfern des Botnetzes.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de