BitGuard: das aufgedrängte Suchsystem

Inhalt

    Im letzten Jahr hatten die Anwender es mit einem äußerst aggressiven Multi-Komponenten-System zu tun, das sich aus eigener Kraft nur schwer beseitigen lässt – obwohl sogar formale Deinstallationstools vorhanden sind. Die Rede ist von BitGuard, das auf den Austausch von Startseiten und Suchergebnissen spezialisiert ist.

    Das System BitGuard ist schädlich, da es Browser-Einstellungen ohne Wissen des Anwenders modifiziert, da es über die Funktionalität von Trojanern der Familien Inject (Einschleusen seines eigenen Codes in Drittprozesse) und StartPage verfügt (Austausch der Startseite des Browsers und der Suchseite) und da ein Teil seiner Funktionalität dem Verhalten eines Trojan-Downloaders entspricht (Download schädlicher Dateien aus dem Netz).

    Im vorliegenden Artikel werden wir der Einfachheit halber zur Benennung der gesamten Familie von Programmen und Modulen, die ein ähnliches Verhalten an den Tag legen, die verallgemeinernde Bezeichnung BitGuard verwenden – nach dem Namen eines der ausführbaren Module.

    BitGuard wird zusammen mit Such-Toolbars (MixiDJ, Delta Search, Iminent, Rubar usw.) verbreitet, deren Besitzer daran verdienen, wenn die Anwender Links auf einer nicht relevanten Suchergebnisseite aufrufen. Wir nehmen an, dass BitGuard gleich in mehreren Partnernetzen zum Einsatz kommt.

    Such-Toolbars

    Eine Methode der illegalen Suchmaschinenoptimierung besteht darin, den Anwendern Ergebnisseiten mit an die Spitze gehievten Adressen der zu optimierenden Websites zu präsentieren. Dafür werden eigene Suchsysteme und spezielle Browsererweiterungen benutzt – Such-Toolbars, die den Anwender auf eine Seite mit nicht relevanten Suchergebnissen umleiten. Dieses Schema wird von verschiedenen Partnerprogrammen verwendet und läuft folgendermaßen ab:

    • Ein Suchsystem und eine Browserergänzung (Such-Toolbar) werden entwickelt, die ein Textfeld für die Anfrage enthält.
    • Der Installer der Such-Toolbar wird auf dem Hosting platziert und wird zum Download durch Partner-Installer verfügbar gemacht.
    • Der Anwender sucht Musik, Software oder Videoclips, die ihn interessieren, und versucht, diese herunterzuladen, doch tatsächlich lädt er den Vermittungsinstaller des Partnerprogramms auf seinen Rechner. Beim Start wird die Such-Toolbar installiert (in einigen Fällen mit Einverständnis des Nutzers).
    • Der Anwender gibt Informationen in das Textfeld der Toolbar ein, woraufhin er auf eine Suchergebnisseite eines Systems umgeleitet wird, das mit der Toolbar zusammenhängt.
    • Auf den Suchergebnisseiten wird der Link auf die zu optimierende Website auf einen Spitzenplatz gehievt.
    • Der Anwender klickt auf die bezahlten Links und landet auf der Website des Werbeauftraggebers.
    • Der Auftraggeber kommt so zu einem Publikum.
    • Der Inhaber der Such-Toolbar erhält Geld.

    Darüber hinaus kann auf der Suchergebnisseite auch Platz für Werbung vermietet werden, was den Entwicklern des Suchsystems zusätzliche Einnahmen beschert.

    Abhängig von dem jeweiligen Partnernetz werden die Toolbars auf unterschiedliche Weise verbreitet.

    Zumeist werden die Such-Toolbars auf Websites mit kostenlosen Programmen verbreitet – sie können sowohl zusammen mit Pseudo-Installationsassistenten als auch mit legaler Freeware auftreten.

    Zum Beispiel entwickelt eine Organisation eine Website-Plattform, auf der Programmierer von Freeware oder Shareware ihre Anwendungen platzieren können. In der Regel gibt es für alle Anwendungen von dieser Website nur ein Installationsprogramm. Es enthält Sucherweiterungen für den Browser, die auf den Computer des Nutzers gelangen können, wenn er Anwendungen von dieser Website lädt. Dabei erhalten die Betreiber der Plattform eine Gebühr von den Betreibern des Partner-Netzwerks.

    Bei einer solchen Verbreitungsart lädt der Anwender das Installationsprogramm der ihn interessierenden Anwendung und startet den Installationsprozess. In einigen Fällen kann das Installationsprogramm legale Software laden, und in anderen täuscht es lediglich die Installation eines nützlichen Programmes vor. Im Laufe der Installation wird dem Anwender vorgeschlagen, auch die Toolbar zu installieren.

    Eine Such-Toolbar kann zielgerichtet geladen und installiert werden, und nicht als Anwendung zu einem Installationsprogramm einer Dritt-Anwendung. Jeder Webmaster kann ein Toolbar-Kit herunterladen und eine zusätzliche Funktionalität einrichten. Die fertige Such-Toolbar wird auf der Website zum Download für die Anwender bereitgestellt, dafür wird der Webmaster von den Betreibern des Partnerprogramms bezahlt.

    Da der Anwender in diesem Fall selbst die Toolbar herunterlädt, versuchen seine Betreiber, den potentiellen „Kunden“ sowohl durch das schöne Design der Webseite, von der die Toolbar geladen wird, als auch durch vollmundige Versprechungen bezüglich ihrer Funktionalität zu locken (Bedienerfreundlichkeit, Zuverlässigkeit, „optimale Online-Suche“, „das Beste, was derzeit auf dem Markt erhältlich ist“).

    Installation von Toolbars

    Betrachten wir einmal den Installationsprozess von Toolbars am Beispiel von Delta Search Toolbar und Mixi.DJ. Sie gehören zu einem Partnerprogramm und verwenden häufig öffentliche Speicher (Auswahl an Servern) für ihre Komponenten. Diese Toolbars werden auf verschiedenen Websites verbreitet, insbesondere auf mixi.dj, deltasearchtoolbar.loyaltytoolbar.com.


    Download des Installationsprogramms

    Nach dem Start des Installationsprogramms öffnet sich ein Fenster zur Installation einer Toolbar.


    Installationsfenster der Delta Search Toolbar

    Damit der Nutzer nicht auf die Idee kommt, die Installation zusätzlicher Software abzulehnen, ist die entsprechende Schaltfläche „Skip“ auf der Seite nur schwer zu finden:


    Installationsfenster der Delta Search Toolbar

    Das Interface des Installationsprogramms von Mixi.DJ (Größe der Buttons, Schriftart usw.) sieht so ähnlich aus wie das des Installers von Delta Search, was Anlass zu der Vermutung gibt, dass diese Installationsprogramme und Toolbars ein und dieselben Besitzer haben.


    Installationsfenster von Mixi DJ

    Wie man sieht, greifen die Betreiber der Toolbars auf unterschiedliche Tricks zurück, um zu erreichen, dass ihre Software auf den Computern der Anwender installiert wird.

    Allerdings wird jegliche Software, die auf Websites umleitet, die keine Nutzdaten repräsentieren, als unerwünscht angesehen und der Anwender löscht sie. Daher werden zusammen mit der Toolbar Module installiert, die es unmöglich machen, die Browsereinstellungen zu ändern, nachdem die Such-Toolbar eingerichtet wurde. Auf diese Weise landet das Opfer der Toolbar-Betreiber zwangsweise auf den Zielseiten mit den hochgepuschten Links – und zwar sogar nachdem die Toolbar selbst gelöscht wurde.

    Eins dieser Module ist BitGuard. Seine Aufgabe besteht darin, die im Web-Browser eingestellten Adressen (inklusive Startseite und Suchseite) gegen die Adressen von Seiten mit irrelevanten Suchergebnissen und mit Links auf die von der Toolbar „hochgehievten“ Websites auszutauschen.

    Installation von BitGuard

    BitGuard kann mit jeder beliebigen Toolbar geladen werden, die mit einem Partnerprogramm in Verbindung steht. Die Installation erfolgt über ein und dasselbe Installationsprogramm, wobei zuerst die Toolbar und danach (in einem Prozess) BitGuard aufgespielt wird.

    Der Anwender wird über diesen Vorgang nicht informiert, die Installation und der Start von BitGuard erfolgen ohne seine Zustimmung. Die Adresse und die Bezeichnung des Ordners, in dem die Komponenten abgelegt werden, können sich von Mal zu Mal unterscheiden (z.B. „BitGuard“, „Browser Defender“, „BitGuard“, „BProtect“ usw.).

    Der Name der installierten ausführbaren Datei hängt von dem jeweiligen Installationsprogramm und der Version der Toolbar ab. Die Delta Search Toolbar startet die Anwendung beispielsweise unter der Bezeichnung „browserprotect.exe“.

    Das Komponenten-Set von BitGuard wird in den folgenden Verzeichnissen installiert:

    …appdatalocaltempnsv96a4.tmp
    …local settingstempnsi19.tmp

    Ein Komponenten-Paket besteht üblicherweise aus

    • dem ausführbaren Hauptmodul (kann einen der folgenden Namen tragen: browserprotect.exe, bprotect.exe, bitguard.exe, browserdefender.exe usw.);
    • der Bibliothek, die für das Eindringen in andere Prozesse verwendet wird (browserprotect.dll, browserdefender.dll, bprotect.dll, bitguard.dll usw.);
    • der Konfigurationsdatei, die Links auf die Ziel-Suchseiten enthält und auf verschlüsselte Updatedateien enthält (BitGuard erhält die Einstellungen vom Installationsprogramm und normalerweise stimmen sie mit den Einstellungen der von diesem Installationsprogramm zu installierenden Toolbar überein);
    • den Erweiterungsskripten für Firefox oder Chrome (in Abhängigkeit von der Version).

    Die Bibliothek und das ausführbare Modul verfügen über die Signatur von „Performer Soft LLC”, die von ForwardTech Inc ausgegeben wird. Zum gegenwärtigen Zeitpunkt wurde die Signatur zurückgerufen und wird von unserem Antivirus als nicht vertrauenswürdig eingestuft.

    Nach dem Erststart installiert das ausführbare Modul sich selbst und die dazugehörenden Komponenten in den Ordner Application Data. Dabei kann sich die EXE-Datei in Abhängigkeit von der Version in browserprotect.exe, browserdefender.exe umbenennen oder sich einen beliebigen anderen Namen geben. Dasselbe tut sie mit anderen Komponenten:

    browserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.exe
    browserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.dll
    browserprotect2.6.1339.144{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.settings

    Erwähnenswert ist auch, dass die Original-Toolbars mit Hilfe von Standardmitteln gelöscht werden (können), doch BitGuard selbst sich ohne Hilfsmittel (beispielsweise ein Antivirus oder ein Tool, das unerwünschte Browser-Erweiterungen entfernt) nur sehr schwer löschen lässt. Seine Funktion hängt nicht von dem Vorhandensein der Toolbar selbst im System ab. Alles, was ihn mit den originalen Such-Erweiterungen verbindet, sind die Einstellungen. Im Ordner mit den „BitGuard“-Modulen gibt es auch ein gefälschtes Deinstallationsprogramm (uninstall.exe), bei dem es sich allerdings tatsächlich um eine exakte Kopie von browserprotect.exe handelt. Alle Löschprozesse, die mit Hilfe dieses Deinstallationsprogramms durchgeführt werden können, bestehen lediglich darin, BitGuard aus der Liste der installierten Programme zu entfernen und nicht im physischen Löschen der Objekte aus dem System.

    Anmeldung im System und Vorbereitung auf die Funktionsausführung

    Nach dem Kopieren der Dateien können einige Versionen von browserprotect.exe sich selbst als Windows-Service anmelden, was es ihnen ermöglicht, sich selbst früher zu laden als winlogon.

    Des Weiteren erstellt browserprotect.exe den Task zum Start seiner selbst, indem er die Standardmöglichkeiten des Windows Task Managers nutzt.

    system32schtasks.exe“,““system32schtasks.exe“ /delete /f /tn „BrowserProtect“
    system32schtasks.exe“ /delete /f /tn „BrowserProtect“

    system32schtasks.exe“ /create /tn „BrowserProtect“ /ru „SYSTEM“ /sc minute /mo 1 /tr
    „system32sc.exe start BrowserProtect“ /st 00:00:00
    system32schtasks.exe“,““$system32schtasks.exe“ /create /tn „BrowserProtect“ /ru „SYSTEM“ / sc minute /mo 1 /tr „system32sc.exe start BrowserProtect“ /st 00:00:00

    Das System BitGuard speichert die Ziel-URL, die gegen die Startseite und Suchseite ausgetauscht werden, in verschlüsselter Form in der Datei browserprotect.settings, sowie in den eigenen Registry-Schlüsseln.

    „hkcusoftware5e2d9dce63abf472.6.1339.144“ -> „iexplore homepages“ -> home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^Z7^xdm354^YY^in&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&si=124514_race_gcIND

    „hkcusoftware5e2d9dce63abf472.6.1339.144“ -> „firefox homepages“ -> „home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND“, „home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fd0772&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND“

    „hkcusoftware5e2d9dce63abf472.6.1339.144“ -> „firefox keywords“ -> „search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&ind=2013052007&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND&searchfor=“

    „hkcusoftware5e2d9dce63abf472.6.1339.144“ -> „firefox search engines“ -> „My Web Search“

    Verfolgen von Operationen

    Das ausführbare Modul (browserprotect.exe) schreibt den Pfad zu der Bibliothek browserprotect.dll in den Registry-Schlüssel AppInit_DLLs, und ermöglicht es ihr dadurch, in alle Prozesse einzudringen, die auf dem Rechner des Anwenders gestartet werden. Im Augenblick des Downloads bestimmt die Bibliothek, welcher Prozess der Elternprozess ist und fängt verschiedene Funktionen ab, insbesondere das Lesen/Schreiben in eine Datei. BitGuard verfolgt alle Dateioperationen aller Prozesse, doch interessiert ist er allein an den Dateien der Browsereinstellungen.

    Im Moment des Lesens/Schreibens überprüft die Bibliothek normalerweise, ob sich etwas in den Einstellungen der installierten Browser verändert hat. Beim Beenden speichert Chrome beispielsweise die aktuelle Konfiguration in einer Datei, BitGuard verfolgt diese Operation und öffnet genau dort eine Konfigurationsdatei und schreibt die Adressen der Ziel-Suchseiten hinein. Dasselbe passiert, wenn der Anwender versucht, die Konfiguration im Texteditor selbstständig zu verändern.

    Die Bibliothek funktioniert in vielen gängigen Browsern (Internet Explorer, Chrome, Mozilla, Opera usw.) und nutzt für jeden von ihnen individuelle Ansätze. Chrome erinnert beispielweise beim Schließen an die zuletzt geöffneten Lesezeichen. BitGuard ist in der Lage, die Zielseite der Suche nicht nur als Startseite zu installieren, sondern auch als zuletzt geöffnetes Lesezeichen.

    Aktualisierung der Einstellungen

    In regelmäßigen Abständen überprüft die Abfang-Funktion, ob Updates für die Komponenten-Einstellungen vorhanden sind (dasselbe macht von Zeit zu Zeit auch das ausführbare Hauptmodul). Der gesamte Content wird von den Hostings „Amazon Web Services“ und/oder Cloudfront heruntergeladen. Die Einstellungen werden in den verschlüsselten Dateien dwl.bin, bl.bin gespeichert. Die Links, über die der Download vollzogen wird, werden nicht in Reinform gespeichert, sondern werden während des Funktionsprozesses aus verschlüsselten Fragmenten zusammengesetzt.

    Beispiele für Links:

    http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/dwl.php
    http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/kbl.php

    Erweiterung der Funktionalität, Download zusätzlicher Komponenten

    Um sich vor dem möglichen Löschen oder einer Beschädigung zu schützen und das Spektrum seiner Funktionsmethoden mit verschiedenen Browsern zu erweitern, kann das System zusätzliche Module herunterladen.

    Als zusätzliche Software können zum Beispiel Module für Firefox geladen werden. Schauen wir uns einmal an, wie genau das vor sich geht.

    In regelmäßigen Abständen nimmt BitGuard Kontakt zum Server auf und versucht, eine Textdatei mit Links auf die Archive mit den zusätzlichen Modulen zu laden. Der Link auf die Textdatei wird auf der Grundlage von Elementen der Zeilen generiert, die sich in den Ressourcen der Bibliothek selbst befinden:
    d1js21szq85hyn.cloudfront.net/ib/138/fflist.txt.

    Dabei werden für jede Version von BitGuard an Stelle von ib und 138 in der URL-Zeile die eigenen Werte eingetragen. Dementsprechend erhält bei erfolgreichem Download der Textdatei jede BitGuard-Version ihre eigene Zusammenstellung von Links auf die Updates. Der Inhalt der Textdatei sieht folgendermaßen aus:

    3;http://d1js21szq85hyn.cloudfront.net/ib/154/3.7z
    5;http://d1js21szq85hyn.cloudfront.net/ib/154/5.7z
    6;http://d1js21szq85hyn.cloudfront.net/ib/154/6.7z
    7;http://d1js21szq85hyn.cloudfront.net/ib/154/7.7z
    8;http://d1js21szq85hyn.cloudfront.net/ib/154/8.7z
    9;http://d1js21szq85hyn.cloudfront.net/ib/154/9.7z
    10;http://d1js21szq85hyn.cloudfront.net/ib/154/10.7z
    11;http://d1js21szq85hyn.cloudfront.net/ib/154/11.7z
    12;http://d1js21szq85hyn.cloudfront.net/ib/154/12.7z
    13;http://d1js21szq85hyn.cloudfront.net/ib/154/13.7z
    14;http://d1js21szq85hyn.cloudfront.net/ib/154/14.7z
    15;http://d1js21szq85hyn.cloudfront.net/ib/154/15.7z
    16;http://d1js21szq85hyn.cloudfront.net/ib/154/16.7z
    18;http://d1js21szq85hyn.cloudfront.net/ib/154/18.7z

    Jedes Archiv ist in Übereinstimmung mit der Nummer des Links in der Liste durchnummeriert und enthält die Version der Bibliothek, die der jeweiligen Firefox-Version entspricht. Das 16. Archiv enthält also dementsprechend die Bibliothek „bprotector-16.0.dll“.

    BitGuard wählt den entsprechenden Link auf das zusätzliche Modul, lädt und registriert es. So erhält das System BitGuard zusätzliche Tools für seine Interaktion mit Firefox.

    Außerdem werden manchmal zusätzliche Komponenten (wenn verfügbar) geladen, die den Erhalt von Updates von anderen Domains, unter Umgehung von AmazonAws oder Cloudfront, ermöglichen.


    Schema: Wie gelangt die Anwendung auf den Rechner des Anwenders/Verhalten der Anwendung

    Beispiel für ein zusätzliches Modul

    Der TrojanerTrojan-Downloader.Win32.MultiDL.c, entdeckt am 9. Juli 2013, führt ein Update der Bibliothek browserprotect.dll von alternativen Servern durch. Diese Software wurde recht aktiv verbreitet – allein im Juli des vergangenen Jahres blockierten wir um die 500.000 Infektionsversuche auf den Computern unserer Anwender. Mit der Zeit sank jedoch der Stern dieses Schädlings und die Zahl der blockierten Versuche betrug im Januar 2014 nicht mehr als 26.000. Insgesamt wurden jedoch zwischen Juli 2013 und Januar 2014 Infektionsversuche bei 982.950 Nutzern abgewehrt.

    Die Datei gelangt zusammen mit dem Installationsprogramm NSIS (Nullsoft Scriptable Install System) auf den Rechner des Users. Sie lädt BitGuard vom Hosting AmazonAws (beispielsweise protectorlb-1556088852.us-east-1.elb.amazonaws.com) und wird im temporären Verzeichnis unter dem Namen setup_fsu_cid.exe gespeichert.

    Im Folgenden startet BitGuard den Installationsprozess im lautlosen Modus (d.h. der Anwender sieht keinerlei Dialog-Fenster):

    „…setup_fsu_cid.exe“ /S

    Der Installer enthält zwei Programme. In der Regel hat eins davon keinerlei Bezug zu dem beschrieben Update-Schema der DLL. Im Fall der Modifikation von MultiDL.c ist das File Scout. Diese Anwendung gibt es nur in Verbindung mit dem Installer und sie wurde vermutlich von Cyberkriminellen geschrieben, um die Illusion von Nutzdaten zu erzeugen. Das Programm gibt Details über die Formate unbekannter Dateien heraus, verfügt aber über keine offline-Datenbank mit Dateiformaten und leitet auf eine Dritt-Website um (diese Umleitung wird vermutlich auch von irgendjemandem bezahlt).


    Aktives Fenster der Anwendung File Scout

    Die zweite Anwendung ist eine Fälschung des Adobe Flash Players, die auch zum Download der zum System BitGuard gehörenden Bibliothek vorgesehen ist. Der Trojaner tarnt sich als Adobe Flash Player Update Service, Version 11.6 r602. Zunächst entpackt der Installer setup_fsu_cid.exe die ausführbare Datei (.exe) des gefälschten Players im temporären Verzeichnis und gibt ihr den kurzen Namen usvc.exe (C:userstestwo~1appdatalocaltempnsy5f4f.tmpusvc.exe).

    Danach wird das ausführbare Modul gestartet, das sich selbst in dem Verzeichnis mit der Adresse C:WindowsSyswow64macromedflashflashplayerflashplayerupdateservice.exe ablegt und den Task zum Start seiner selbst registriert, wobei es den Windows-Standardservice „Geplante Tasks“ nutzt (d.h. es wendet denselben Ansatz wie auch bei BitGuard an).

    …system32schtasks.exe“ /create /tn „AdobeFlashPlayerUpdate“ /ru „SYSTEM“ /sc hourly /mo 1 /tr „…system32flashplayerupdateservice.exe /w“ /st 00:00:0

    Danach beginnt der Trojaner mit dem Download des DLL-Updates. Jede Modifikation von MultiDL führt einen Download von mehreren Domains aus. Die Links auf die Updates unterscheiden sich von denen, die wir in BitGuard sehen (AmazonAws und Cloudfront werden nicht verwendet). Die Liste der Websites ändert sich in Abhängigkeit von der Modifikation. Die Links werden auf dieselbe Weise gespeichert, wie in der Bibliothek browserprotect.dll – in Form von verschlüsselten Fragmenten. Der endgültige Link wird dann im Rahmen der Arbeit des Programms erstellt. Es folgen einige Beispiele für Domains, von denen der Download der Bibliothek erfolgt:

    autoavupd.net
    autodbupd.net
    srvupd.com
    srvupd.net
    updsvc.com
    updsvc.net

    Die meisten Domains sind in der Russischen Föderation registriert, doch es gibt auch Domains, die in der Ukraine oder in Großbritannien angemeldet sind.

    Der auf den Servern hinterlegte Content kann zeitweise nicht verfügbar sein. Zum Zeitpunkt der Veröffentlichung dieses Artikels (März 2014) wird von den Websites nichts heruntergeladen.

    Solche Zusatzmodule sind eine Versicherung für den Fall, dass die Bibliothek (browserprotect.dll / browserdefender.dll / bprotect.dll usw.) gelöscht oder beschädigt wird, die eins der wichtigsten Tools des Systems BitGuard zur Kontrolle der Browser darstellt. Findet der Anwender auf irgendeine Weise eine Möglichkeit, die Bibliothek zu löschen, so laden die Zusatzmodule sie erneut und der Austauschprozess der Browsereinstellungen wird nicht eingestellt.

    Fazit

    Das System BitGuard modifiziert die Browser-Einstellungen, ohne dass der Anwender Kenntnis davon hat. Es integriert seinen Code in Dritt-Prozesse, tauscht die Start- und Suchseite des Browsers aus und lädt schädliche Dateien aus dem Netz. Diese Sammlung schädlicher Funktionen dient dem Einkommen der Cyberkriminellen, denn die Betreiber von BitGuard sind Teilnehmer eines Partner-Netzes, die illegale Webseiten-Optimierung betreiben (Links auf Webseiten werden auf die Spitzenpositionen in den Suchergebnissen transportiert).

    Wir nehmen an, dass es sich bei den Betreibern von BitGuard und den Betreiber der Suchsysteme und Toolbars um verschiedene Personen bzw. Organisationen handelt. Irgendjemand liefert gegen einen bestimmten Betrag ein SDK oder eine Engine, die die Konfigurationen von Browsern auf einem Anwenderrechner in dem Zustand erhält, der für die Betreiber der Suchsysteme vorteilhaft ist.

    Zum einen weist die logische Parametrisierung von BitGuard darauf hin, denn das Paket selbst weiß nicht, welche Suche konkret es im Browser installieren soll – die Adressen der Seiten sind in die Konfigurationsdatei von BitGuard geschrieben, die zusammen mit der Toolbar geliefert wird. Zum anderen lassen sich zwar bedeutende Unterschiede zwischen einigen Toolbars erkennen, doch die Komponenten von BitGuard unterscheiden sich konzeptionell nicht voneinander.


    Verallgemeinertes Einnahme-Schema der BitGuard-Teilnehmer

    BitGuard kann von jeder beliebigen Such-Toolbar geladen werden, die mit einem Partnerprogramm in Zusammenhang steht, wobei die Toolbars eine Vielzahl von Verbreitungsquellen haben können. Dadurch lässt sich die große Zahl infizierter Computer weltweit erklären:


    Geografische Verteilung der Infektionsversuche durch BitGuard-Komponenten

    Beginnend mit dem 25. August 2013, werden BitGuard-Dateien auf Computern von 3,8 Millionen Anwendern blockiert. Geht man davon aus, dass die Inhaber einer Werbe-Website durchschnittlich zwischen 2 und 10 Cent für den Aufruf einer Ziel-Website erhalten, so kann man sich ungefähr ausrechnen, was die Teilnehmer eines solchen Partnernetzes verdienen.

    Wir detektieren:
    Komponenten von BitGuard als:
    Trojan.Win32.Bromngr and Trojan-Downloader.Win32.MultiDL

    Such-Toolbars als:
    not-a-virus:PDM:WebToolbar.Win32.Cossder
    not-a-virus:WebToolbar.Win32.Dsearch

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.