Mediyes –Dropper mit gültiger Signatur

Dieser Tage entdeckten wir ein Schadprogramm, das mit einer gültigen digitalen Signatur versehen ist. Bei dem Schädling handelt es sich um einen 32- bzw. 64-Bit-Dropper, der von Kaspersky Lab als Trojan-Dropper.Win32.Mediyes bzw. Trojan-Dropper.Win64.Mediyes detektiert wird.

Aktuell wird eine Vielzahl von Dateien des Droppers entdeckt, die zu unterschiedlichen Zeiten signiert wurden — beginnend im Dezember 2011 bis zum 7. März 2012 года. In allen Fällen wurde ein Zertifikat verwendet, das von dem Schweizer Unternehmen “Conpavi AG” ausgegeben wird. Dieses Unternehmen arbeitet mit Schweizer Staatsorganen zusammen, mit Stadtverwaltungen, Kantonen usw.


Informationen über die digitale Signatur von Trojan-Dropper.Win32.Mediyes

Die genaue Verbreitungsquelle von Trojan-Dropper.Win32/Win64.Mediyes ist uns bisher nicht bekannt, doch es gibt Grund zu der Annahme, dass er mit Hilfe von Exploits auf den Computern der Anwender installiert wird.

Der 32-Bit-Dropper schreibt seinen 32-Bit-Treiber, dessen Name mit „HID“ beginnt in das Systemverzeichnis mit Treibern, woraufhin er sich aus dem System löscht. Wir weisen darauf hin, dass der Treiber selbst nicht signiert ist, wobei er trotzdem unter 32-Bit Windows-Versionen problemlos funktioniert. Der Treiber enthält eine dynamische Bibliothek, die unter einem mit „PNG“ beginnenden Namen in den Systemordner geschrieben wird. Die Hauptfunktionalität des Treibers ist das Einschleusen der Bibliothek in den Internet-Browser. Darüber hinaus versteckt der Treiber die Komponenten von Mediyes auf der Festplatte.
Der 64-Bit-Dropper enthält keinen Treiber und schleust die Bibliothek umgehend in den Browser ein.

Die schädliche Bibliothek wird von Kaspersky Lab als Trojan.Win32.Mediyes detektiert, der Treiber als Rootkit.Win32.Mediyes.

Nach dem Start überprüft die Bibliothek, unter welchem Browser sie gestartet wurde, und beginnt dann, die Anfragen an die Suchsysteme Google, Yahoo und Bing abzufangen. Alle Anfragen werden von ihr auf einen Server von Cyberkriminellen kopiert, der sich in Deutschland befindet. Die Verbrecher verwenden die Suchanfragen der Anwender, um damit in dem Partnerprogramm Search123 nach dem Schema Pay-Per-Click (PPC) Geld zu machen. Nachdem er eine Suchanfrage eines Nutzers erhalten hat, reagiert der Server darauf mit Links des Systems123, auf die im für den Anwender verborgenen Modus geklickt wird. Auf diese Weise erhalten die Betrüger Geld für die gefälschten Klicks.


Beschreibung des Partnerprogramms Search123

Nach den Daten des KSN wurde die schädliche Bibliothek Trojan.Win32.Mediyes bei etwa 5000 verschiedenen Anwendern gefunden, die größtenteils in Westeuropa leben – in Deutschland, der Schweiz, Schweden, Frankreich und Italien.


Ausbreitungsgeografie von Trojan.Win32.Mediyes

Offensichtlich ist das Schadprogramm gezielt auf westeuropäische Anwender ausgerichtet. Davon zeugen auch andere Daten – das Zertifikat des Schweizer Unternehmens, der deutsche Server, das Abfangen von Anfragen an ausschließlich internationale Suchsysteme.

Wir haben die Firma VeriSign über die Bedrohung informiert und sie gebeten, die kompromittierten Zertifikate aus dem Verkehr zu ziehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.