News

Heimtückische Bootloader

Cyberkriminelle suchen ständig nach neuen Wegen, wie sie Systeme infizieren können – wobei sie idealerweise erst entdeckt werden, wenn es zu spät ist. Wie die letzte Welle von heimtückischen Startprogrammen (Bootloadern) illustriert, sind ihrer Kreativität dabei nach oben keine Grenzen gesetzt. Pioniere dieses Kits waren brasilianische Banking-Trojaner, die darauf abzielten, die Sicherheitssoftware von dem Computer zu entfernen.

Diese unkonventionelle Infektion betrifft ausschließlich Systeme, die ntldr, das standardmäßige Startprogramm auf Windows NT bis und einschließlich Windows XP und Windows Server 2003 verwenden. Diese Eingrenzung war keineswegs zufällig, da XP in zahlreichen Ländern immer noch das am häufigsten verwendete Betriebssystem ist, wie auch in Brasilien, wo es auf nahezu 47% aller PCs läuft.

Eine als Trojan-Downloader.Win32.VB.aoff detektierte, winzige 10 KB-Schädlingsdatei, die als Link in einer E-Mail-Nachricht eingefügt ist, startet die Infektion. Sie lädt zwei neue, auf Amazon WS Cloud gehostete Dateien – xp-msantivirus (1.83 MB) und xp-msclean (7.4 MB) auf das System, nennt das legitime Startprogramm ntldr in ntldr.old um und installiert schließlich eine neue Datei, die als neuer, schädlicher Bootmanager fungiert, d.h. eine modifizierte Version von GRUB, die darauf zugeschnitten ist, die Datei menu.Ist auszuführen:

Das heimtückische Startprogramm ntldr: eine modifizierte Kopie von GRUB

Zu gegebener Zeit ist die Datei menu.lst dann dafür zuständig, die Datei xp-msantivirus während des Bootens aufzurufen:

Dateiinhalt von menu.lst. Die Meldung lautet: „Microsoft Malicious Software Removal Tool initialisieren“

Bei den Dateien xp-msantivirus und xp-msclean handelt es sich um *nix Bootimages, die von den Betrügern speziell für die Entfernung bestimmter Sicherheitsdateien während des Bootens prepariert wurden. Wenig überraschend, sind die Angriffe hauptsächlich gegen die Dateien, die zu einem von brasilianischen Banken stark genutzten Sicherheits-Plugin mit der Bezeichnung GBPlugin gehören, gerichtet. Dieses Plugin ist auf rund 23 Millionen Rechnern installiert. Weiterhin sollen mit dem schädlichem Bootloader Dateien von Microsoft Security Essentials, Windows Defender, und anderen, gelöscht werden:

Ist die Infektion einmal abgeschlossen, zwingt der Trojaner das System zum Reboot…

„Windows Update führt einen Neustart Ihres Systems aus, um die Installation kritischer Sicherheitsupdates abzuschließen“

…und sämtliche Änderungen werden ausgeführt. Der schädliche Bootloader zeigt eine gefälschte Meldung an, in der er vorgibt, das Malicious Software Removal Tool von Microsoft zu sein:

„Malicious Software Removal Tool (KB890830). Schalten Sie den Rechner bis zum Abschluss dieses Vorgangs nicht aus”

Um die lange Boot-Dauer zu rechtfertigen, wird eine weitere Meldung mit der Behauptung, das System sei infiziert worden und „schädliche Dateien“ würden entfernt, angezeigt:

„Bitte warten Sie solange, bis der Vorgang abgeschlossen ist. Schalten Sie den Computer nicht aus und führen Sie keinen Neustart durch. ACHTUNG: Auf Ihrem Computer wurden Viren gefunden. Der Vorgang zur Entfernung der Viren wurde gestartet. Dieser Vorgang kann einige Zeit in Anspruch nehmen, je nach Anzahl der vorgefundenen Viren. Schalten Sie den Computer während dieses Vorgangs keinesfalls aus und führen Sie keinen Neustart durch, sondern warten Sie die vollständige Durchführung ab, und Ihr Computer wird automatisch wieder hochfahren.“

Ist der Computer schließlich wieder vollständig hochgefahren, löscht der schädliche Bootloader sich selbst und setzt den gesäuberten Bootloader ntldr auf aktiv – seine Mission ist nun erfüllt, und ein als Trojan-Downloader.Win32.Banload.bqmv detektierter Banking-Trojaner läuft in dem infizierten System weiter, bereit, die Zugangsdaten zu Online-Bankkonten zu stehlen.

Natürlich werden die beschriebenen Änderungen an dem System durch eine Vielzahl weiterer Faktoren begünstigt, wie z.B. die Nutzung eines Betriebssystems unter Verwendung eines Administratorkontos, etc. Der heimtückische Bootloader wurde von Kaspersky Antivirus als Trojan.Boot.Burg.a detektiert und identifiziert.

Vielen Dank an meinen Kollegen Vyacheslav Zakorzhevsky für seine Unterstützung

Heimtückische Bootloader

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach