239827

Malware löscht Konkurrenz mit Virenscanner

23.10.2006 | 15:05 Uhr |

Ein zum Spam-Versand bestimmtes Trojanisches Pferd nutzt P2P-Techniken, räumt andere Malware mit der Hilfe eines raubkopierten Virenscanners aus dem Weg und blockiert die Aktualisierung anderer Antivirus-Software.

Malware, die andere Schädlinge zu entfernen versucht, gibt es schon länger. So lieferten sich die Programmierer der Bagle- und Mytob-Würmer ein Duell mit immer neuen Versionen, die sich gegenseitig auszuschalten versuchten. Ein auch als "Spamthru" bezeichnetes Trojanisches Pferd geht noch einen Schritt weiter und lädt zu diesem Zweck ein Antivirus-Programm aus dem Internet, wie Joe Stewart von Secureworks in seiner Analyse festgestellt hat.

Der Schädling ist dazu gedacht, auf gekaperten Rechnern als Spam-Proxy zu dienen, verteilt also Spam-Mails über ein Botnet. Er nistet sich auf einem befallenen PC ein, indem er sich nicht nur in dem bekannten Run-Schlüssel der Windows-Registry einträgt, sondern unter anderem auch den Task-Planer benutzt, um gestartet zu werden, wenn der PC hochfährt.

Die mit dem Spambot verseuchten Rechner kommunizieren untereinander über eine P2P-artige Methode. Sie tauschen auf diesem Weg zum Beispiel Informationen über den Kontroll-Server aus. Wird dieser dicht gemacht, kann ein anderer Server die Nachfolge antreten. Solange wenigstens einer der gekaperten Computer noch unter der Kontrolle des Botmasters ist, kann dieser über das P2P-Netz den anderen Zombies die Adresse des neuen Kontroll-Servers mitteilen.

Damit die Benutzer der gekaperten Rechner den Schädling nicht entdecken oder gar entfernen können, blockiert er diverse Update-Server von Antivirus-Programmen. Dazu trägt er deren Adresse in die HOSTS-Datei ein und leitet Zugriffe darauf auf den lokalen PC um.

Der Spambot lädt ferner eine DLL vom Kontroll-Server, die wiederum einen raubkopierten Kaspersky-Virenscanner auf den Rechner lädt. Er manipuliert die Lizenzprüfung des Virenscanners im Arbeitsspeicher und beginnt zehn Minuten nach dem Herunterladen mit der Überprüfung des Rechners. Seine eigenen Dateien nimmt der Schädling von der Prüfung aus, jegliche andere Malware, die der Virenscanner entdeckt, wird beim nächsten Windows-Start gelöscht.

Seine eigentliche Aufgabe, die Verbreitung von Spam, erfüllt das Trojanische Pferd mittels Vorlagen, die neben dem eigentlichen Inhalt der Mails auch noch sinnfreie Wortfolgen, jede Menge Mail-Adressen sowie Namen für die Absenderangabe enthalten. Diese Vorlagen sind mit dem AES-Algorithmus verschlüsselt. Ferner führt Spamthru zufällige Modifikationen an den GIF-Dateien durch, die mit den Spam-Mails verschickten werden. Damit sollen Spam-Filter ausgetrickst werden.

Wie andere Malware seiner Art ist dieser Schädling nicht sehr weit verbreitet, es existieren jedoch zweifellos weitere Varianten davon, die noch darauf warten, entdeckt zu werden.

0 Kommentare zu diesem Artikel
239827