AutoRun. Reboot

Im Laufe der letzten Monate gab es bei den Würmern, die in Java oder Skriptsprachen programmiert sind, wie z.B. JavaScript und VBScript, nichts sonderlich Interessantes. Das liegt vor allem daran, dass die Virenautoren, die völlig unspektakuläre Machwerke ans Licht der Welt bringen, nicht besonders hoch qualifiziert sind. Doch vor kurzem zogen zwei Samples unsere Aufmerksamkeit auf sich, deren Komplexität davon zeugt, dass hier Profis am Werk waren.

Unsere Produkte detektieren diese besonderen Würmer als Worm.JS.AutoRun und Worm.Java.AutoRun. Zudem werden sie mit heuristischen Methoden als HEUR:Worm.Script.Generic und HEUR:Worm.Java.Generic respektive detektiert.

Die Würmer haben folgende Merkmale gemein: eine starke Obfuskation, die Hauptfunktionalität, die zur Funktionalität eines Backdoors gehört, und die Verbreitungsmethode. Beide Schädlinge verbreiten sich durch das Kopieren ihrer selbst und der Konfigurationsdatei autorun.inf in die Wurzelverzeichnisse der logischen Laufwerke von Wechseldatenträgern und Netzwerkfestplatten. Auf diese Weise kann das Öffnen der befallenen Bereiche auf anderen Computern zur Infektion der letzteren führen. Nachdem sie das Betriebssystem infiziert und sich selbst dort „angemeldet“ haben, führen die Schadprogramme ihre Hauptfunktionalität aus.

Monat für Monat war die Zahl der bei unseren Anwendern entdeckten AutoRun-Würmer ungefähr gleich groß. Laut Daten des Kaspersky Security Network breitet sich so die Hälfte aller Skript-Würmer aus. Für Java-Würmer ist eine solche Verbreitungsmethode allerdings nicht charakteristisch. Doch buchstäblich in den letzten drei Monaten beobachten wir eine radikale Zunahme neuer Modifikationen von Worm.Java.AutoRun.

wormautorun_01

Zahl der entdeckten individuellen Skriptwürmer, Skriptwürmer AutoRun und der mit heuristischen Methoden entdeckten Skriptwürmer AutoRun April 2012 – Mai 2013

wormautorun_02

Zahl der entdeckten Java-Würmer Java, Java-Würmer AutoRun und der mit heuristischen Methoden entdeckten Java-Würmer AutoRun August 2011 – Mai 2013

Beide Würmer sind polymorph: Bei der Ausbreitung modifizieren sie ihren Körper und machen es so schwieriger, sie zu erkennen. Das ist einer der Gründe dafür, dass sie verglichen mit „gewöhnlichen“ Würmern recht weit verbreitet sind.

Und das ist es, was wir gefunden haben:

TSR-Schadprogramme auf der Plattform Java sind allgemein recht selten, und Würmer umso mehr. Daher haben wir dieses Exemplar ganz genau unter die Lupe genommen.

Der Wurm richtet sich auf einem infizierten Computer in Form von vier Dateien ein:

  1. Java-Archiv – die Hauptkomponente mit von Infektion zu Infektion wechselndem Namen; wird im temporären Verzeichnis des Anwenders %TEMP%jar_cache*.tmp abgelegt.
  2. autorun.inf – Konfigurationsdatei, die den Autostart des Wurms beim Öffnen des infizierten externen Datenträgers oder der eingebauten Netzwerkpartition gewährleistet.
  3. dll-Datei – Hilfsbibliothek (Win 32), die einen Teil der Verbreitungsfunktion übernimmt. Der Name dieser Datei ist ebenfalls nicht festgelegt und wird bei der Infektion eines Computers bestimmt. Die Bibliothek selbst wird in das temporäre Verzeichnis des Anwenders %TEMP%hsperfdata_%USERNAME% kopiert.
  4. Java.exe – legale ausführbare Datei des vorinstallierten JAVA-Pakets, die von dem Schädling ausgeführt wird, um dessen ständige Präsenz im Speicher des infizierten Computers zu gewährleisten. Während des Infizierungsprozesses wird diese ausführbare Datei aus %ProgramFiles% in das temporäre Verzeichnis des Anwenders kopiert (zu der oben beschriebenen Bibliothek) und mit einem Namen versehen, der dem Namen eines der Systemprozesse entspricht, wie etwa winlogon, csrss, services. Daraufhin wird sie mit den Startparametern der Hauptkomponente – des Java-Archivs – ausgeführt.

wormautorun_03

Fragment der Klassendatei des schädlichen JAVA-Archivs

Bei der Initiierung des schädlichen Java-Archivs extrahiert dieses die dll aus sich selbst, kopiert sich in das temporäre Verzeichnis des Anwenders, kopiert dorthin aus %ProgramFiles% die ausführbare Datei Java.exe – nachdem sie ihr einen „vertrauenswürdigen“ Namen gegeben hat – und führt sie dann mit den Startparametern des kopierten Java-Archivs aus. Daraufhin schleust das Java-Archiv in den erstellten Prozess die oben beschriebene Bibliothek ein, die den Wurm über die verfügbaren Netzwerkpartitionen und mobilen Datenträger verbreitet. Der losgelassene Schädling verbindet sich in Abständen mit dem Steuerungszentrum, um Befehle von den Cyberkriminellen entgegenzunehmen.

Zu den Besonderheiten dieses Wurms gehört auch die starke Obfuskation. Hier wird ein Packer in Kombination mit dem Obfuskator Zelix KlassMaster verwendet. Der Wurm ist zudem – wie bereits eingangs erwähnt – polymorph, was seine Erkennung durch Antiviren-Lösungen erschwert.

Laut Daten des Kaspersky Security Network liegen die Hauptausbreitungsgebiete des Wurms in Indien und Malaysia. Das Gesamtbild ist auf der folgenden Grafik dargestellt.

wormautorun_04

Geografische Verteilung der vor dem Wurm Worm.Java.AutoRun geschützten Anwender Januar – Mai 2013

Denselben Daten zufolge fällt der Höhepunkt der Detektionen des Wurms auf Ende Mai. Dabei betrafen die meisten Alarme die letzten Modifikationen, die auch einen derart rasanten Zuwachs verursachten. Der Wurm breitet sich aktuell weiter stetig aus, daher verfolgen wir seine Aktivität weiterhin mit äußerster Aufmerksamkeit.

wormautorun_05

Zahl der vor dem Wurm Worm.Java.AutoRun geschützten Anwender April – Mai 2013

Zur Verbreitung dieses Wurms wird nicht nur die oben beschriebene Methode mit autorun.inf eingesetzt, sondern auch FTP-Server, Filehosting, öffentlich zugängliche Ordner und CD/DVD während des Brennvorgangs.

Nachdem er sich in den Verzeichnissen vervielfältigt und seinen Start dem Autostart hinzugefügt hat, überprüft der Wurm die Umgebung, in der er ausgeführt wird. Ist die Maschine, auf der er läuft, nicht virtuell, beginnt er, nach aktiven Überwachungs- und Schutzlösungen auf dem Computer zu suchen. Findet er solche, so deaktiviert der Wurm diese.

Der Schädling empfängt Befehle über eine von der Steuerungszentrale geladene Datei. Im Wesentlichen handelt es sich dabei um Befehle zum Sammeln von Informationen auf dem infizierten Computer, die für die Cyberkriminellen von Interesse sind. Insbesondere trägt der Wurm Daten über das System, den Anwender und die auf dem Computer installierte Antiviren-Software zusammen.

Wie auch Worm.Java.AutoRun ist dieses Exemplar ebenfalls gut verschlüsselt und verfügt über die Eigenschaft, seinen Körper von Infektion zu Infektion zu verändern.

wormautorun_06

Codefragment von Worm.JS.AutoRun

Wie auch der Wurm auf Java ist dieser Schädling in erster Linie in Südostasien verbreitet, dabei ist diese Variante allerdings vornehmlich in Vietnam und Indonesien aktiv.

wormautorun_07

Geografische Verteilung der vor Worm.JS.AutoRun geschützten Anwender Anfang 2013 – Ende Mai 2013

Bezüglich seiner Aktivität liegt der Wurm Worm.JS.AutoRun etwas hinter Worm.Java.AutoRun. Allerdings steigt die Zahl der vor Worm.JS.AutoRun geschützten Anwender derzeit gerade stetig an, und es könnte durchaus sein, dass er den Java-Wurm hinsichtlich dieses Wertes noch einholt.

wormautorun_08

Zahl der vor Worm.JS.AutoRun geschützten Anwender Anfang 2013 – Ende Mai 2013

Auf der oben stehenden Grafik ist die Anzahl der Anwender dargestellt, die nur durch Signatur-basierte Methoden geschützt werden. Die Zahl der mit Hilfe heuristischer Methoden geschützten Anwender ist wesentlich größer, wie auf der ersten Grafik zu erkennen ist.

Gemäß den Daten des Kaspersky Security Network entfällt in den Ländern mit den meisten Detektionen dieser Schädlinge ein wesentlicher Anteil der verwendeten Betriebssysteme auf Windows XP. In den neueren Betriebssystemen von Microsoft fragt die Funktion Autoboot den Anwender standardmäßig, ob der Autostart zugelassen werden soll, was wiederum das Infektionsrisiko verringert. In den Betriebssystemen ab Windows 7 ist der Autostart lediglich für CD/DVD aktiviert. Bei Verwendung anderer Geräte zur Speicherung von Daten (wie etwa USB flash drive) funktioniert der Autostart nicht.

Um seinen Computer vor einer Infektion zu schützen, wird empfohlen, die kritischen Updates des auf dem Computer installierten Betriebssystems und der Antiviren-Datenbanken rechtzeitig aufzuspielen. Empfehlungen zur Einstellung der Funktion Autostart und Links auf entsprechende Update-Pakete finden Sie in dem folgenden Artikel von Microsoft: http://support.microsoft.com/kb/967715/de

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.