Hintertür durch legitime Programme

Die Ergebnisse der Verwendung von Malware-Baukästen sind von Antivirus-Programmen oft leicht zu erkennen. Auch Malware-Pakete, die aus einzelnen Komponenten bestehen, sind erkennbar, weil sie meist wenigstens ein als schädlich bekanntes Programm enthalten. Der britische Antivirushersteller Sophos berichtet nun jedoch über eine sorgfältig abgestimmte Sammlung legitimer Programme, die zusammen eine Hintertür (Backdoor) in das System des Opfers öffnen.

Ein wichtiges Element ist dabei die Möglichkeit selbst-entpackende Archive zu erstellen, deren Verhalten durch ein Script steuerbar ist. Diese werden allgemein als SFX-Archive (SelF eXtracting) bezeichnet. Es handelt sich im Grunde um ein normales ZIP-, RAR- oder 7z-Archiv, das mit einem Entpackprogramm zu einer neuen EXE-Datei verbunden wird. Das gibt es bereits seit der MSDOS-Zeit. Auch das Hinzufügen einer Ablaufsteuerung beim Entpacken (Script) ist keine neue Erfindung. Das Script legt fest, welche Dateien aus dem Archiv wohin kopiert und welche gleich gestartet werden. Auf diese Weise lassen sich einfache Installationsprogramme realisieren.

Ein Beitrag im Sophos-Blog beschreibt einen Schädling namens Troj/Bckdr-QOE, der als RAR-SFX-Archiv auf den Rechner gelangt. Wird die EXE-Datei gestartet, kopiert sie eine Reihe von Dateien in das Verzeichnis \Windows\system32\winnt. Sie tragen Dateinamen, die von Windows-Systemdateien entliehen sind (etwa alg.exe, cssrs.exe) und sind für sich allein harmlos.

So verbirgt sich hinter dem Dateinamen "system.exe" der bekannte SSH-Client (Terminalprogramm) PuTTY, "cssrs.exe" ist der Proxy-Server 3proxy, beides sind Open-Source-Programme. Eine Registrierungsdatei (register.reg) wird in die Registry importiert und legt dort einen Zugriffsschlüssel für PuTTY ab. Für 3proxy ist mit "3proxy.cfg" eine vorgefertigte Konfigurationsdatei an Bord.

Enthalten ist auch eine Link-Datei "pic.url", die während des Installationsvorgangs aufgerufen wird und eine Web-Seite mit Fotos anzeigt, um den Anwender abzulenken. Ein zu einer EXE-Datei kompiliertes Befehls-Script (alg.exe) ist die Steuerzentrale. Sie startet ein weiteres RAR-SFX-Archiv (start.exe), das eine Autostart-Verknüpfung anlegt, wodurch das installierte Software-Bündel bei jedem Windows-Start geladen wird.

Dieses Paket ergibt nun einen SSH-Tunnel (verschlüsselte Terminalverbindung) über das Internet zu einem vorkonfigurierten Rechner des Angreifers. Dieser kann somit auf den Rechner des Opfers zugreifen und dort Dateien kopieren oder anlegen, neue Programme einschleusen oder was ihm sonst noch einfällt.

So stellt sich die Frage, was ein Virenscanner eigentlich finden soll, wenn das Paket erst einmal installiert ist.