Die Entwicklung des Bagle-botnet

Wie alles begann

Am 18.Januar 2004 begann eine Epidemie durch einen neuen Mailwurm, der den Namen Email-Worm.Win32.Bagle.a erhielt. Zu diesem Zeitpunkt hatte die Antivirus-Industrie noch keine Vorstellungen von den Plänen des Wurmautors.

Die von den Analytikern unseres Unternehmens durchgeführte Analyse der ersten Modifikation von Bagle zeigte, dass der Wurm seine Arbeitsfähigkeit nach dem 28. Januar 2004 verliert. Dies war Grund zur Annahme, dass neue Exemplare erscheinen würden – die nächste Version des Wurms erschien in der Tat nach einem Monat.

Praktisch jede weitere Modifikation des Wurms enthielt eine neue Funktion, die die Erkennung erschwerte und/oder das Ausmaß der Epidemie erhöhte. In dem Maße, wie sich der Autor die Virus-Technologien erschloss, sah die Wurm-Evolution folgendermaßen aus:

Modifikation Entdeckt am Innovationen
Bagle.b 17.02.2004 Um die Analyse zu erschweren, ist das ausführbare Wurm-Modul gepackt.
Bagle.c 27.02.2004 Die infizierten Anhänge wurden mit Excel-Piktogrammen versehen, was die Wahrscheinlichkeit erhöhte, dass der Empfänger die Dateien öffnet. Darüber hinaus ging der Autor dazu über, Betreffzeilen nach dem Prinzip des Social Engineering zu wählen – die Zahl der Infektionen nahm zu.
Bagle.d 28.02.2004 Der Wurmautor kommt zu dem Schluss, dass erfahrene Anwender weder ausführbare Dateien starten noch Excel-Attachments öffnen, da selbst Excel-Dateien Schadcode enthalten können. Um die Zahl der Infektionen zu erhöhen geht er folgenden Schritt – die auszuführenden Module Bagle.d werden als normale Text-Dateien vorgetäuscht, was die Achtsamkeit einer Reihe von Anwendern mindert.
Bagle.f 29.02.2004 Ab dieser Version verwendet der Autor als neue Verbreitungsart für seine Schöpfungen P2P-Netze. Die Namen der Dateien für die P2P-Netze werden ebenfalls unter Einbeziehung von Social Engineering kreiert („Microsoft Office 2003 Crack, Working!.ex“, „Porno pics arhive, xxx.exe“ usw.), was zur Infektion weiterer Computer führt. Wohlwissend, dass die Antivirus-Unternehmen die Entwicklung der Epidemien blockieren, schlägt der Wurmautor einen neuen Weg ein: die infizierten Anhänge werden nun in passwortgeschützte ZIP-Archive verlagert, und das Passwort zum infizierten Anhang ist im Briefkörper enthalten.
Bagle.i 03.03.2004 Beginn des Krieges mit dem Autor des Mailwurms NetSky. Im Körper Bagle.i sind Beleidigungen enthalten, die für den Autor von NetSky bestimmt sind. Der Kampf der Virenautoren gipfelte darin, dass Bagle mit NetSky infizierte Computer desinfizierte. diese Version markiert einen Gipfelpunkt des Social Engineering – die infizierten Briefe enthalten nicht nur Text im Namen von ‚Kaspersky Lab“ , sondern auch eine gefälschte Unterschrift im Namen von Kaspersky Lab. Die gefälschte Absender-Adresse enthält @kaspersky.com. Viele Anwender haben keinerlei Zweifel über die Authentizität der Briefe.
Bagle.n 13.03.2004 Hier werden gleich einige Virus-Technologien eingesetzt: der Wurm beginnt, ausführbare Dateien zu infizieren; das Passwort wird nicht mehr als gewöhnlicher Text, sondern als Grafik eingebaut, da Antivirus-Programme Passwörter im Textkörper bereits erkennen; der Autor beginnt, polymorphe Algorithmen zu verwenden, wodurch er einen sich ständig mutierenden Wurm schafft.

In den Folgeversionen testet der Autor die an den Internet-Nutzern bereits erprobten Technologien und verstärkt die „Gegenmaßnahmen“ gegen die Antivirus-Industrie. Folgende Modifikationen wies der Wurm in der Folgezeit auf:

  • Blockierung des Zugriffs infizierter Computer auf die Webseiten von Antivirus-Unternehmen, wodurch sich die Anwender keine aktualisierten Anti-Virus-Dateien herunterladen und damit ihre Rechner auch nicht desinfizieren konnten.
  • Tools, um Schutzfunktionen auf dem Rechner auszuschalten (wie Antivirus-Programme und Firewalls). Schlussendlich tauchten in dieser Liste die Mehrheit der Produkte weltweit führender Unternehmen auf, die Lösungen zum Schutz der Anwender bieten.
  • Versuche, den Schadcode über VBS-Skript zu aktivieren.

Der Autor beobachtet die Antivirus-Unternehmen: sofort, nachdem diese die exe-Erweiterung der ersten Datei in passwortgeschützten Archiven überprüften, veröffentlichte der Bagle.à-Schöpfer eine Modifikation. In dieser änderte er die Reihenfolge innerhalb der Archive und setzte eine HTML-Datei mit Exploit vor die exe-Datei.

Die untersuchten Versionen enthielten zusätzlich Code für die remote-Steuerung der infizierten Computer. Die Mehrheit der Modifikationen des Wurms hatte eine begrenzte Lebensdauer. Diese Tatsache lässt de Schluss zu, dass der Autor von Vornherein weitere Versionen geplant hatte.
Gegenwärtig gibt es ca. 100 verschiedene Exemplare des Email Worm.Win32.Bagle und über 100 Modifikationen von Trojan-Proxy.Win32.Mitglieder („Mitglieder“ ist auf der Grundlage des Quellcodes von Bagle geschrieben, enthält jedoch keine Selbstverbreitungs-Funktionen).

Durchschnittlich erschien alle zwei Tage ein neues Balge-Exemplar.

Der Autor des Wurms setzte all seine Kraft ein, um die Anwender auszutricksen: von Version zu Version steigerten sich seine Social Engineering-Fähigkeiten, mit deren Hilfe er den Start der infizierten Anhänge erwirkte. Außerdem entwickelte er Methoden, um Antivirus-Programme zu blockieren – begonnen mit der Entfernung des automatischen Update-Service bis hin Verschleierung der Passwörter, für infizierte Archive, in Grafiken.
Nachdem der Autor seine Provokation gegenüber der Antivirus-Unternehmen abbrach, begann eine neue Etappe:

Fortsetzung der Geschichte:

Ziemlich lange noch schrieb der Bagle-Autor weitere Würmer und Trojan-Proxys. Durch die unternommenen Anstrengungen hatte er ein ganzes Netz infizierter Computer geschaffen, deren Verhalten alleine von seiner Phantasie bestimmt wurde. Die Steuerung des Netzes der infizierten Rechner erfolgte über den Inhalt der URL im Internet, welche nur dem Autor bekannt war. Diese konnten auch über längere Zeit hin leer sein was den Anschein eines arbeitsunfähigen Bot-Netzes erweckte.

Spammer Tricks

Am 15. Februar 2005 zog eine neue Schöpfung des Autors – SpamTool.Win32.Small.b die Aufmerksamkeit auf sich. Nach der verdeckten Installation auf den infizierten Computern scannte er Dateien mit dem Ziel, E-Mail-Adressen zu sammeln und sie danach an einen entfernten Rechner zu übermitteln. Aus dieser Liste entfernte das Programm Adressen führender Antivirus- und Antispam-Unternehmen. Die Entfernung der Adressen wurde nicht aus Angst vor den Herstellern der Antivirus-Produkte vorgenommen, sondern sollte die Reaktionszeit der Unternehmen auf neue Exemplare der Schadprogramme erhöhen. Moderner Spam-Versand an Millionen Empfänger kann länger als eine Stunde dauern, und jede verlorene Minute durch Aktualisierungen von Antivirus-Datenbanken kann Tausende neu-infizierter Computer bedeuten, die dem Wurmautor Gewinn bringen (wie dies genau passiert, erfahren Sie weiter unten).

Zur weiteren Beobachtung der Bagle-Aktivitäten richteten unsere Spezialisten einige Tausend gefälschte E-Mail-Adressen ein, die mit SpamTool.Win32.Small.b an einen entfernten Rechner übermittelt wurden. Sofort wurden an diese Adressen nicht nur neue Bagle-Versionen, sondern auch Spam- und Phishing-E-Mails sowie andere Mailwürmer geschickt. Wie konnte das sein? Arbeitet der Bagle-Autor mit anderen Wurmautoren zusammen? Hier gibt es einige Versionen:

  • weitere Virenschreiber haben Zugriff auf die vom Bagle-Autor gesammelten Adresslisten
  • die Würmer sammelten die neuen E-Mail-Adressen, nachdem auf den infizierten Maschinen Spam einging, mit einer von uns erstellte Adresse
  • der Bagle-Autor verkauft die gesammelten Adressen.

Die Tatsache, dass der „Adressklau“ vom Bagle-Autor initiiert wurde, lässt keine Zweifel zu.

Die Effektivität, mit der eine so gewaltige Zahl eingehender E-Mails bearbeitet wurde und die Tatsache, dass sofort eine große Zahl Würmer und Spam eintrafen, zeugen von einer Automatisierung des Suchprozesses und der Neuinfektion von Computern.

Test der Reaktionsfähigkeit

Am 1. März 2005 Jahres überprüfte der Bagle-Autor die Reaktionsfähigkeit von AV-Unternehmen mit einer weiteren Aktion: innerhalb eines Tages veröffentlichte er 15 neue Schadprogramme!

Wenn man seit Januar 2004 die Zahl der Modifikationen der Schadprogramme analysiert, so erhält man folgendes Diagramm. Es zeigt anschaulich die Aktivität des Autors (die Daten können sich von Daten anderer AV-Unternehmen unterscheiden):

Der Wurmautor will Profit machen

Gegenwärtig hat der Wurmautor die Sondierung der Antivirus-Unternehmen abgebrochen und konzentriert seine Aufmerksamkeit auf die Anwender und die finanzielle Bereicherung durch verschiedene Methoden:

  • Verkauf von Sub-Netzen der infizierten Rechner für die Durchführung von DDoS-Attacken und Spam-Versand;
  • Verkauf der gesammelten E-Mail-Adressen an Spammer zum Massenversand von Werbung und phishing-Attacken;
  • Sammeln vertraulicher Informationen von infizierten Rechnern (Passwörter, persönliche Daten bei Zahlungs- und Internet-Banking-Systemen).

Das geschaffene Netz infizierter Computer erfordert eine ständige Aktualisierung des URL-Inhaltes um dieses im aktuellen Zustand zu erhalten.

Die neueren Bagle-Modifikationen sind allesamt in modifizierte Versionen bekannter Komprimierungsprogramme gepackt, was zeigt, dass der Autor nicht gedenkt, den AV-Unternehmen weiterhin Widerstand zu leisten. Er geht einen anderen Weg und versucht, getarnte Versionen von Schadprogrammen zu schaffen – dazu verändert er den Code der Komprimierungsprogramme.

Die Zukunft

Der Wurmautor verdient weiterhin Geld an unerfahrenen Anwendern und unterhält ein Netz infizierter Rechner. Eine Analyse der letzten Versionen seines Schadcodes lassen Schlussfolgerungen über das Ausmaß seiner weiteren Pläne zu: seine Intensionen richten sich auf einige Hundert Zahlungs- und Internet-Banking Systeme. Seine Aufmerksamkeit gilt fast allen Banken in Industrienationen weltweit.In Zukunft könnten der Informationsverarbeitungs-Prozess und die Suche nach neuen Opfern vollautomatisch werden.

Empfehlungen für unsere Kunden

Kaspersky Lab sichert seine Kunden auch weiterhin effektiv.
Hier einige einfache Empfehlungen, die eine Infektion verhindern können:

  • Aktualisieren Sie Ihr Anti-Virus-Programm regelmäßig. Kaspersky Lab veröffentlicht stündlich Updates.
  • Installieren Sie Updates für Ihr Betriebssystem, sobald diese verfügbar sind
  • Öffnen Sie keine E-Mail-Anhänge, wenn Sie diese nicht erwarten, selbst wenn die Absender vermeintlich Bekannte oder Kaspersky Lab sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.