Gefakte Profilseiten

Gestern habe ich einen neuen Backdoor mit MSN-Wurm-Funktionalität – Backdoor.Win32.VB.bsf – genauer unter die Lupe genommen. Dieser Backdoor wurde für den Diebstahl von (Online-Banking) Zugangsdaten und zum Ausspionieren der User entwickelt. Die alte Geschichte also.

Allerdings weist dieses Programm zwei Besonderheiten auf, die mich neugierig machten. Zum einen haben alle Funktionen holländische Namen, was äußerst selten ist und eindeutig darauf hinweist, dass der Autor Niederländer ist.

Zum anderen enthält die Malware hart codierte URLs, die zu Profilseiten von niederländischen Social Networking Sites führen, wie etwa www.hyves.nl, www.partyflock.nl und www.superdudes.nl. Hyves ist die größte Social Networking Site in den Niederlanden und auch die anderen sind sehr populär.

Die Profilseiten, auf die die Malware verweist, wurden ausnahmslos in der letzten Woche erstellt. Es stellt sich natürlich die Frage, welchen Zweck all diese Profilseiten haben. Die Antwort ist simpel, denn sie alle enthalten eine sehr leicht veränderte URL.

Die Art der Veränderung kann allerdings nicht als ernsthafter Versuch gewertet werden, Antivirus- und Sicherheits-Experten in die Irre zu führen. Der Autor hat sich vielmehr dieser Methode bedient, um die von den Social Networking Sites verwendeten Spam-Filter zu umgehen.

Der Backdoor sieht die Seiten durch und analysiert die URL zwischen „IMG_URL_ST“ und „IMG_URL_END“. Die URL gehört tatsächlich zu dem webbasierten Command & Control Server, dem der Backdoor Informationen sendet und von dem er Befehle empfängt.

Die Entwicklung des Programms und die Einrichtung von gefakten Accounts sind mit recht viel Arbeit verbunden. Vermutlich hat der Autor darauf spekuliert, dass eher sein C&C Server offline genommen wird als all die Profilseiten auf den Social Networking Sites. In diesem Fall hätte er/sie problemlos die Adressen auf den verbleibenden Profilen ändern können und nach wie vor die Kontrolle über das Botnetz gehabt.

Wir haben uns mit den Betreibern der Sites in Verbindung gesetzt, damit die entsprechenden Accounts gelöscht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.