Heimtückische Bootloader

Cyberkriminelle suchen ständig nach neuen Wegen, wie sie Systeme infizieren können – wobei sie idealerweise erst entdeckt werden, wenn es zu spät ist. Wie die letzte Welle von heimtückischen Startprogrammen (Bootloadern) illustriert, sind ihrer Kreativität dabei nach oben keine Grenzen gesetzt. Pioniere dieses Kits waren brasilianische Banking-Trojaner, die darauf abzielten, die Sicherheitssoftware von dem Computer zu entfernen.

Diese unkonventionelle Infektion betrifft ausschließlich Systeme, die ntldr, das standardmäßige Startprogramm auf Windows NT bis und einschließlich Windows XP und Windows Server 2003 verwenden. Diese Eingrenzung war keineswegs zufällig, da XP in zahlreichen Ländern immer noch das am häufigsten verwendete Betriebssystem ist, wie auch in Brasilien, wo es auf nahezu 47% aller PCs läuft.

Eine als Trojan-Downloader.Win32.VB.aoff detektierte, winzige 10 KB-Schädlingsdatei, die als Link in einer E-Mail-Nachricht eingefügt ist, startet die Infektion. Sie lädt zwei neue, auf Amazon WS Cloud gehostete Dateien – xp-msantivirus (1.83 MB) und xp-msclean (7.4 MB) auf das System, nennt das legitime Startprogramm ntldr in ntldr.old um und installiert schließlich eine neue Datei, die als neuer, schädlicher Bootmanager fungiert, d.h. eine modifizierte Version von GRUB, die darauf zugeschnitten ist, die Datei menu.Ist auszuführen:

Das heimtückische Startprogramm ntldr: eine modifizierte Kopie von GRUB

Zu gegebener Zeit ist die Datei menu.lst dann dafür zuständig, die Datei xp-msantivirus während des Bootens aufzurufen:

Dateiinhalt von menu.lst. Die Meldung lautet: „Microsoft Malicious Software Removal Tool initialisieren“

Bei den Dateien xp-msantivirus und xp-msclean handelt es sich um *nix Bootimages, die von den Betrügern speziell für die Entfernung bestimmter Sicherheitsdateien während des Bootens prepariert wurden. Wenig überraschend, sind die Angriffe hauptsächlich gegen die Dateien, die zu einem von brasilianischen Banken stark genutzten Sicherheits-Plugin mit der Bezeichnung GBPlugin gehören, gerichtet. Dieses Plugin ist auf rund 23 Millionen Rechnern installiert. Weiterhin sollen mit dem schädlichem Bootloader Dateien von Microsoft Security Essentials, Windows Defender, und anderen, gelöscht werden:

Ist die Infektion einmal abgeschlossen, zwingt der Trojaner das System zum Reboot…

„Windows Update führt einen Neustart Ihres Systems aus, um die Installation kritischer Sicherheitsupdates abzuschließen“

…und sämtliche Änderungen werden ausgeführt. Der schädliche Bootloader zeigt eine gefälschte Meldung an, in der er vorgibt, das Malicious Software Removal Tool von Microsoft zu sein:

„Malicious Software Removal Tool (KB890830). Schalten Sie den Rechner bis zum Abschluss dieses Vorgangs nicht aus”

Um die lange Boot-Dauer zu rechtfertigen, wird eine weitere Meldung mit der Behauptung, das System sei infiziert worden und „schädliche Dateien“ würden entfernt, angezeigt:

„Bitte warten Sie solange, bis der Vorgang abgeschlossen ist. Schalten Sie den Computer nicht aus und führen Sie keinen Neustart durch. ACHTUNG: Auf Ihrem Computer wurden Viren gefunden. Der Vorgang zur Entfernung der Viren wurde gestartet. Dieser Vorgang kann einige Zeit in Anspruch nehmen, je nach Anzahl der vorgefundenen Viren. Schalten Sie den Computer während dieses Vorgangs keinesfalls aus und führen Sie keinen Neustart durch, sondern warten Sie die vollständige Durchführung ab, und Ihr Computer wird automatisch wieder hochfahren.“

Ist der Computer schließlich wieder vollständig hochgefahren, löscht der schädliche Bootloader sich selbst und setzt den gesäuberten Bootloader ntldr auf aktiv – seine Mission ist nun erfüllt, und ein als Trojan-Downloader.Win32.Banload.bqmv detektierter Banking-Trojaner läuft in dem infizierten System weiter, bereit, die Zugangsdaten zu Online-Bankkonten zu stehlen.

Natürlich werden die beschriebenen Änderungen an dem System durch eine Vielzahl weiterer Faktoren begünstigt, wie z.B. die Nutzung eines Betriebssystems unter Verwendung eines Administratorkontos, etc. Der heimtückische Bootloader wurde von Kaspersky Antivirus als Trojan.Boot.Burg.a detektiert und identifiziert.

Vielen Dank an meinen Kollegen Vyacheslav Zakorzhevsky für seine Unterstützung

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.