144148

Die Entwicklung eines Trojanischen Pferds

11.08.2006 | 09:11 Uhr |

Die Schädlingsfamilie "Goldun" wird als Baukasten verkauft und ständig weiterentwickelt.

Der österreichische Antivirus-Hersteller Ikarus Software hat die Schädlingsfamilie "Goldun" analysiert und ist dabei zu einigen interessanten Schlußfolgerungen gekommen. So gehen die Virenforscher davon aus, dass diese Trojanischen Pferde in der Praxis nicht von denen eingesetzt werden, die sie entwickelt haben.

Die Programmierer der Goldun-Schädlinge bieten vielmehr Kriminellen ein Baukastensystem an, das auch weniger versierten Computer-Anwendern die Erstellung eines bedarfsgerechten Angriffswerkzeugs ermöglicht. Die Täter geben lediglich die gewünschten Ziele, etwa bestimmte Banken oder Online-Kasinos ein. Mit der so erstellten Goldun-Variante können sie dann Phishing betreiben, ohne selbst Software-Entwicklung betreiben zu müssen.

Entwicklung und realer Einsatz vollziehen sich in zwei Phasen, einer Entwicklungs- und einer Angriffsphase. Die erste Entwicklungsstufe vollzog sich von Januar bis März 2006, darauf folgte eine Angriffsphase bis etwa Ende Juni. Derzeit findet laut Ikarus wieder eine neue Entwicklungsphase statt.

In einer Entwicklungsphase sind etliche kaum verbreitete Varianten zu beobachten, die bei chronologischer Analyse eine zunehmende Komplexität aufweisen. Dabei bemühen sich die Programmierer um Unauffälligkeit. Es werden lediglich ein paar Standardziele angegriffen, um die gerade entwickelten Routinen und Angriffsstrategien zu testen. Dazu zählt der Online-Bezahldienst "E-Gold", woraus sich auch der Name für den Schädling ableitet.

Die Goldun-Varianten aus dem fertigen Baukasten, die in einer Angriffsphase auftauchen, unterscheiden sich davon deutlich. Sie sind untereinander sehr ähnlich und enthalten umfangreichen Funktionen zum Schutz des Programm-Codes vor Analysen. Sie werden auf ganz unterschiedlichen Wegen verbreitet. Sie bestehen aus einem Rootkit-Treiber zur Tarnung sowie einer DLL-Datei, die sich im Anmeldeprozess "Winlogon" verankert.

Die Ziele der einzelnen Goldun-Varianten einer Angriffsphase sind sehr unterschiedlich und weisen untereinander keinen Zusammenhang auf. Die einen greifen Online-Kasinos an, andere zielen auf bestimmte Banken, meist jeweils mehrere. Die zahlenden Kunden der Goldun-Programmierer bestimmen, wo sie ernten wollen. Sie machen dies auch davon abhängig, welche Möglichkeiten der Geldwäsche ihnen jeweils zur Verfügung stehen.

Derzeit sind kaum noch Baukasten-Varianten von Goldun zu beobachten, die Programmierer entwickeln allem Anschein nach einen neuen Grundbaukasten. Mit dessen Fertigstellung rechnen die Virenforscher bei Ikarus Anfang Herbst dieses Jahres. Da der erste Baukasten recht erfolgreich eingesetzt wurde, geht Ikarus davon aus, dass sich für die nächste Version noch wesentlich mehr Kunden finden werden, die sich schnellen Reichtum erhoffen.

0 Kommentare zu diesem Artikel
144148