Analyse der Sinowal-Malware

Der Schädling Backdoor.Win32.Sinowal gilt als die derzeit fortschrittlichste Malware, da er in der Lage ist sich vor vielen Antivirusprogrammen zu verbergen. Backdoor.Win32.Sinowal (Alias: Mebroot, Torpig) wird als "Bootkit" bezeichnet, da sich der Schädling im Startbereich der Festplatte einnistet und damit noch vor dem Betriebssystem geladen wird. Die Verbreitung erfolgt über gehackte Websites, Pornoseiten und Sites, auf denen raubkopierte Software zum Download angeboten wird.

Sergej Golovanov und Vjatscheslav Rusakov aus dem Malware-Labor des russischen Antivirusherstellers Kaspersky Lab haben eine aktualisierte Analyse des Schädlings und seiner jüngsten Variante vorgelegt. Darin geben die Malware-Spezialisten zunächst einen kurzen historischen Abriss der Entwicklung seit dem ersten Auftauchen des Bootkits Anfang 2008.

Dann geht es an die Analyse der aktuellen Version und ihrer Verbreitungsmethoden. Recht neu ist die Methode einen Domain-Namen zu generieren, die auf dem aktuellen Datum basieren. Wenn ein potenzielles Opfer eine manipulierte Website besucht, erstellt ein Script einen Link zu einer anderen Website mit dem Neosploit-Toolkit, das den jeweils passenden Exploit-Code bereit stellt. Damit umgehen die Täter übliche Web-Sperrlisten. Der Schädling wird dann über einen so genannten Drive-by Download eingeschleust.

Die Einnistung im Master Boot Record (MBR) der Festplatte dient der Tarnung des Schädlings. Er wird vor dem Betriebssystem geladen und kann so Gerätetreiber des Systems im Speicher manipulieren. So werden Versuche von Antivirusprogrammen abgefangen den MBR nach Schädlingen zu durchsuchen. Nur wenige Antivirusprogramme sind bislang in der Lage den aktiven Schädling zu entdecken und alle seine Komponenten zu entfernen.

Die komplette Analyse finden Sie, auch in deutscher Sprache, auf der Website viruslist.com von Kaspersky Lab.