110532

Innenleben einer Malware-Kampagne

19.12.2007 | 17:04 Uhr |

Schädlinge aus der Abteilung "Trojan-Downloader" gibt es viele, die Pushdo-Familie ist allerdings komplexer und raffinierter als die meisten anderen. Pushdo-Varianten werden etwa mit vorgeblichen Grußkarten-Mails verbreitet.

Die Schädlingsfamilie "Pushdo" (so die Bezeichnung von Sophos ) hat sich an der Spitze der weit verbreiteten Mail-Schädlinge etabliert, wie die neueste Malware-Hitliste von Sophos ausweist. Spam-artig verbreitete, vorgebliche Grußkarten-Mails sind neben Spam-Mails mit angeblichen Neuigkeiten über Britney Spears die wichtigsten Maschen, um diese Trojanischen Pferde unters Volk zu bringen. Joe Stewart von SecureWorks hat eine Analyse dieser Schädlingsfamilie veröffentlicht, in der er auf einige Besonderheiten eingeht.

Im Wesentlichen handelt es sich zunächst um einen so genannten "Trojan-Downloader", also um ein Programm, das weitere Malware aus dem Internet herunter lädt und installiert. Dazu kann auch ein "Wigon"-Rootkit zur Tarnung eines Spam-Bots aus der "Cutwail"-Familie gehören, der seinerseits von einem infizierten PC aus massenhaft Mails verschickt. Die Pushdo-Familie unterscheidet sich von den vielen anderen, oberflächlich ähnlichen Schädlingen vor allem durch eine ausgefeiltere Technik auf den Kontroll-Servern.

Ist ein Pushdo-Schädling (bei Symantec heißen sie "Pandex") aktiv, meldet er sich bei seinem Kontroll-Server an. Dies geschieht per HTTP auf Port 80, erscheint also in Firewalls-Logs erstmal als normaler Web-Verkehr, wie er auch durch Browser verursacht wird. Die Anfrage an den Server enthält jedoch eine Reihe von speziellen Parametern, mit denen Informationen über den infizierten Rechner übertragen werden. Fehlen diese Parameter, stammt die Anfrage also nicht von der Malware, sondern von einem neugierigen Anwender oder Forscher, liefert der Server eine harmlose Web-Seite zurück.

Die Parameter geben Auskunft über die IP-Adresse des Rechners, die Seriennummer der Festplatte, das darauf gefundene Dateisystem (etwa NTFS bei Windows XP), die installierte Windows-Version und ob der Anwender als Administrator angemeldet ist. Der Server kann aus der IP-Adresse zumindest das Land ermitteln, in dem der befallene Computer steht. Je nach Land kann er dann unterschiedliche Malware ausliefern, etwa Trojanische Pferde, die auf bestimmte Banken spezialisiert sind.

Ferner erkennt er den Rechner an der Seriennummer der Festplatte recht sicher wieder. Diese Seriennummer könnte jedoch auch, so Joe Stewarts Vermutung, zur Erkennung einer virtuellen Maschine dienen. Läuft der Schädling in einer VMware-Umgebung, lautet die Seriennummer der Festplatte etwa "00000000000000000001" oder einfach "00". Auf diese Weise fallen Rechner auf, die mutmaßlich in einem Antivirus-Labor stehen.

Ferner vergleicht der Pushdo-Schädling die Liste der laufenden Prozesse mit einer Liste ihm bekannter Prozessnamen von Antivirus-Programmen. Das Ergebnis sendet er an seinen Kontroll-Server, ohne jedoch wie andere Schädlinge diese Prozesse zu beenden. Fehlen in einer Statistik, die der Server führt, bestimmte Antivirus-Programme, kann der Programmierer daraus ableiten, welche Virenscanner seine Malware erkennen und stoppen. Er spart sich so den Aufwand eigener Scan-Durchläufe, um dies festzustellen.

Auf einem untersuchten Kontroll-Server hat Stewart über 400 Schädlinge aus diversen Malware-Familien gefunden. Daraus schließt er, dass die Macher von Pushdo, mutmaßlich gegen Entgelt, auch die Machwerke anderer Malware-Programmierer verbreiten. Das Cutwail-Botnet, das von den infizierten PCs gebildet wird, könnte bald dem des so genannten Sturm-Wurms Konkurrenz machen, der sich in diesem Jahr mehrere Monate lang ebenfalls mit Hilfe vorgeblicher Grußkarten-Mails ausgebreitet hat.

0 Kommentare zu diesem Artikel
110532