Eine Malware-Matrjoschka

Von allen Instant Messaging Systemen ist ICQ wohl am anfälligsten für Spam. Grund dafür ist die Tatsache, dass man die Accounts in diesem System durch eine geringe Anzahl Indikatoren bestimmen kann. Soweit wir das beurteilen können, haben die Übeltäter längst spezielle Roboter erstellt, die willkürlich die ICQ-Nummern wählen und schädliche Links dorthin versenden.

Aus diesem Grunde haben wir vor einiger Zeit mit einem Netz ICQ-Fallen (ICQ-honeypot) aus 10 Accounts begonnen zu experimentieren. Alle in dieses Netz eingehenden Nachrichten werden in eine spezielle Datenbank für die nachfolgende Analyse verschoben. Gegenwärtig fangen wir mit diesem honeypot etwa 30 infizierte Links pro Monat ab. Die meisten davon führen auf mit Exploits überfüllte html-Seiten, von welchen aus sich verschiedene Trojaner versuchen herunterzuladen und zu installieren.

Vergangenen Freitag erweckte einer dieser Links meine besondere Aufmerksamkeit. Als ich versuchte, eine Webseite mithilfe WGET herunterzuladen, erhielt ich das folgende Resultat:

Warum sollte man jemandem einen Link auf eine Seite mit 0 byte schicken? Das Herunterladen mit diesem Link im Test-System mit dem IE ergab folgendes Ergebnis: ein Trojaner lud sich ins System, installierte sich und ging ins Netz, um einen weiteren Trojaner herunterzuladen. Vielleicht überprüfen die Autoren so den Agenten, der diese Seite herunterlädt und verschicken nur das Exploit an den „richtigen“ Browser?

Für mich war interessant, was passiert, wenn man versucht, mithilfe WGET, aber gefälschtem Identifikator des Browsers auf diese Seite zu gehen. Der Versuch gelang – es wurde eine Seite mit einer Größe von 3043 byte heruntergeladen. Doch was war in dieser Datei?

Wie Sie sehen, können ist es ein Skript, aber verschlüsselt. Und so verschlüsselt, dass jeder Versuch, es zu verändern dazu führt, dass eine Dechiffrierung nicht möglich ist. Wir hatten ziemlich zu tun, doch schließlich, nachdem wir diese Datei dennoch öffneten, fanden wir – … noch ein verschlüsseltes JavaScript.

Dieses im verschlüsselten Skript versteckte Script, welches Sie nur dann bekommen, wenn Sie die Seite mit IE herunterladen, öffnet eine weitere Seite und lädt unter anderem ein Java Applet auf den Computer.

Wir dekompilierten das Applet und entdeckten darin – raten Sie was? – … richtig – noch ein Applet, der vom ersten Applet heruntergeladen wird, und anschließend eine Webseite herunterlädt, die wiederum ein Skript startet, welches auf eine bestimmte Webseite geht und einen Trojan-Downloader herunterlädt. Dieser wiederum lädt einen weiteren Trojaner herunter, der mit einer üblichen Methode verschlüsselt ist – mithilfe FPU. Das ist interessant, dieser letzte Trojaner verändert sich täglich – in der vergangenen Woche war dort ein keylogger, und heute morgen fanden wir über diesen Link einen Bank-Trojaner.

Treten Sie näher: eine Malware-Matrjoscka!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.