Gameover rüstet sich mit Rootkit aus

Die Experten bei Sophos haben eine Variante des Bank-Schädlings Gameover (eine p2p-Modifikation von ZeuS) entdeckt, die 32- und 64-Bit-Versionen eines Kernel-Rootkits verwendet. Eine Analyse hat gezeigt, dass sich die Autoren dieser Neuheit einfach eine Technologie angeeignet haben, die früher schon in dem Downloader Necurs umgesetzt wurde.

Ende Februar verbreitete sich der mit einem Rootkit ausgestattete Schädling Gameover mit Hilfe gefälschter Spam-Mails, die sich an die französischsprachigen Kunden der britischen HSBC Bank richteten. Die Anwender wurden im Namen von HSBC France über eine Kontobewegung informiert und aufgefordert, nähere Details dazu im angehängten ZIP-Archiv einzusehen. Dieses Archiv enthielt nach Aussage der Experten eine ausführbare Datei, die als Downloader Upatre detektiert wird. Bei Aktivierung lädt und startet er Gameover, der sich selbst mit persönlichem „Tag“ in das Verzeichnis Application Data kopiert – einem kurzen Block von Binärdaten. Diese ID bindet den Schädling eng an das jeweilige System und verhindert seine Analyse in einer anderen Umgebung sowie eine Erkennung durch die Kontrollsummen-Methode.

Nach Abschluss der ersten Infektionsetappe initiiert Gameover den Download des relevanten Rootkits, das als Kernel-Treiber umgesetzt ist. Wenn das Opfer eine 32-Bit-Windows-Version ohne Administratorenrechte verwendet, versucht der Schädling seine Privilegien zu erhöhen, indem er die bekannte und seit langem gepatchte Sicherheitslücke CVE-2010-4398 angreift. Wurde das Patch installiert, versucht Gameover mit Hilfe des Anwenders administrativen Zugriff zu erhalten, da sich beim Versuch, das Rootkit herunterzuladen, ein UAC-Dialogfenster (User Account Control – Benutzerkontensteuerung) mit der entsprechenden Anfrage öffnet.

Das Rootkit in der 64-Bit-Version ist gefährlicher, da es mit einer digitalen Test-Signatur ausgestattet ist. Wenn Windows mit dem Schlüssel TESTSIGNING geladen wurde, kann der Schädling den Start seines Treibers gewährleisten, indem er die entsprechenden Änderungen in der Boot-Software des Betriebssystems mit Hilfe des in Windows integrierten Kommandozeilentools bcdedit.exe vornimmt.

Das Rootkit erhöht die Chancen von Gameover auf ein langes Leben deutlich und verhindert zudem die Blockierung seiner Prozesse. „Der Einsatz des Rootkits erschwert das Entfernen des Schädlings von einer infizierten Maschine erheblich“, erläutern die Experten. „Die Infektionsdauer wird verlängert, und auch die Datenmengen, die sich bei den Betreibern des Gameover-Botnetzes ansammeln, werden größer.“

Laut Sophos ist diese Rootkit-Technologie für ZeuS nichts Neues. Frühere Versionen des Bankers verwendeten ein User-Mode-Rootkit zum Schutz ihrer Einträge im Verzeichnis und in der System-Registry. Zum Zeitpunkt der Veröffentlichung von ZeuS, Version 2, wurde dieses Rootkit bereits aus dem Verkehr gezogen, da es sich als ineffizient erwiesen hatte.

Quelle: Networkworld

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.