1909956

Gameover – Zbot-Malware mit Rootkit

28.02.2014 | 16:56 Uhr |

Der Zbot-Ableger Gameover bringt nun auch ein Rootkit mit, um sich im System zu verstecken. Gameover zählt zu den am weitesten verbreiteten Ablegern der Zbot-Familie, die vor allem auf den Diebstahl von Bankdaten und Passwörtern abzielt.

Die Trojanischen Pferde der Malware-Familie Zbot (oder auch Zeus ) gehören zu den bekanntesten, vielfältigsten und am weitesten verbreiteten PC-Schädlingen. Einer der häufigsten Ableger dieser Familie ist Gameover , auch "Zeus P2P" genannt, da er zur Kommunikation ein Peer-to-Peer-Netzwerk nutzt. Der britische Antivirushersteller Sophos meldet in seinem Blog Naked Security , Gameover verfüge nun auch über ein Kernel-Rootkit zur Tarnung.

Der Schädling kommt demnach mit Spam-Mails auf den Rechner, die vorgebliche Rechnungen oder Mahnungen enthalten. In deren Anhang befindet sich meist ein ZIP-Archiv, in dem ein so genannter Trojan-Downloader namens "Upatre" steckt. Wird er entpackt, um die vermeintliche Rechnung zu öffnen, lädt er die eigentliche Gameover-Malware aus dem Internet herunter. Dabei handelt es sich zunächst um eine scheinbar unstrukturierte, verschlüsselte Datei.

Der Downloader entschlüsselt die Datei und startet die Gameover-Malware. Diese installiert sich im Verzeichnis "Anwendungsdaten" (AppData) und markiert sich mit einem spezifischen Datenblock. Diese Markierung sorgt dafür, dass die ausführbare Datei einmalig ist, also bei einem einfachen Prüfsummenvergleich nicht auffiele. Außerdem bewirkt sie, dass die Programmdatei auf einem anderen Rechner nicht ausführbar ist, etwa zur Analyse durch Antivirusforscher. Dann injiziert sich Gameover in andere Prozesse und beendet sich anschließend.

Die neueste Gameover-Variante bringt ein Rootkit mit, das aus der Malware-Familie Nekurs stammt. Dabei handelt es sich um einen Kerneltreiber, der sowohl als 32-Bit- als auch als 64-Bit-Version vorhanden ist. Das bedeutet, das Rootkit arbeitet nach erfolgreicher Installation mit Systemrechten. Es kann Dateien und Prozesse der Malware vor dem Benutzer verbergen und verhindern, dass dieser Malware-Prozesse beenden kann.

Unklar bleibt, ob die beiden Tätergruppen hinter Gameover und Nekurs neuerdings kooperieren, die Gameover-Bande den Rootkit-Code erworben hat oder wie sonst Gameover zu dem Rootkit gekommen ist. Klar ist hingegen, dass Spam-Mails mit vorgeblichen Rechnungen, Mahnungen oder Bestellbestätigungen auch in Deutschland seit einigen Jahren an der Tagesordnung sind. Darin stecken regelmäßig Trojanische Pferde verschiedener Art – etwa auch Ransomware , die den Rechner blockiert, um Lösegeld zu erpressen.

0 Kommentare zu diesem Artikel
1909956