1878522

Banking-Trojaner zurück mit neuen Tricks

18.12.2013 | 16:32 Uhr |

Der seit Jahren bekannte Schädling Bebloh hat seit einem Update ein paar neue Tricks auf Lager, um sich vor Antivirus-Software zu verstecken. Zugleich ist die Zahl der PC-Infektionen mit der aktualisierten Bebloh-Variante stark angewachsen.

Trojanische Pferde der Bebloh-Familie sind auf das Online-Banking spezialisiert. Bebloh ist seit Jahren bekannt und gilt als ausanalysiert, gelegentlich auftauchende neue Varianten haben daran bis vor Kurzem nichts geändert. Die Verbreitung blieb im ersten Halbjahr hinter der von anderen Banken-Schädlingen zurück. Doch inzwischen ist eine neue Variante aufgetaucht, die Bebloh wieder unter die ersten Drei der weit verbreiteten Banking-Trojaner katapultiert hat.

Der Bochumer Antivirusanbieter G Data hat sich daraufhin die neue Bebloh-Version näher angesehen. Sie ist erst kürzlich als vermeintlicher PDF-Anhang in Spam-Mails verbreitet worden, die vorgeblich Informationen zur Buchung einer Flugreise enthielten. Die Code-Analyse hat ergeben, dass knapp 75 Prozent der Funktonen der Vorversionen unverändert geblieben sind. Dies betrifft im Wesentlichen das Ausspähen der Benutzerdaten beim Online-Banking. Über 20 Prozent der Funktionen sind nur in der neuen Version enthalten.

Neu ist vor allem die Technik zum Verbergen des Schädlings vor Antivirusprogrammen. Die Malware-Datei, durch die der Rechner infiziert wird, ist nach erfolgreicher Verseuchung nicht mehr vorhanden, sie wird gelöscht. Der Schädling injiziert sich in den laufenden Prozess des Windows Explorer (explorer.exe). Es findet sich also weder eine Malware-Datei auf der Festplatte noch ein verdächtiger Prozess im Speicher.

Und doch gelingt es Bebloh einen Neustart des Rechners zu überleben – zumindest, wenn der PC regulär herunter gefahren wird. Er startet dazu aus dem Explorer-Prozess ein unsichtbares Fenster, das Windows-Systemnachrichten empfangen und auswerten kann. So erfährt er auch, wenn ein Windows-Neustart ansteht. Kurz vor dem Herunterfahren des Systems speichert er eine Datei mit zufälligem Namen auf der Festplatte und erzeugt einen Autostart-Eintrag in der Registry. Dieser zeigt zudem nicht direkt auf die EXE-Datei, sondern über eine Verknüpfung (.lnk). Nach dem Neustart wird der Schädling geladen und löscht seine Spuren sogleich wieder.

G Datas Antivirus-Software sowie andere Produkte mit Bitdefender-Engine erkennen die neue Bebloh-Fassung mit halbwegs aktuellen Updates als "Trojan.GenericKD.1367361". Die Namen variieren stark und reichen von "Bublik" (Avira) bis "Zbot" (Norton/Symantec, Trend Micro, Ikarus).

0 Kommentare zu diesem Artikel
1878522