TDSS + Bitсoin = ?

Bitсoin ist eine virtuelle Währung, die auf der P2P-Technologie basiert und zur anonymen Durchführung von Finanztransaktionen im Netz verwendet wird. Neben den offensichtlichen Vorteilen für den normalen Anwender bietet diese Währung aber auch Betrügern ein breites Spektrum an Möglichkeiten. Beispiele für den Einsatz von Schadprogrammen, um mit Botnetzen auf direktem Wege Geld zu machen, haben wir bereits hier und hier angeführt. Dieses Mal geht es aber nicht um irgendeinen Schädling, sondern um TDSS und sein neues Modul für die Arbeit mit Bitcoin.

Anfang letzten Monats erschien in den Konfigurationsdateien von TDSS – nach kurzer Aktivität des Bots auf einem infizierten Computer – eine zusätzliche Sektion [tslcaloc]:

  • [main]
  • version=0.03
  • aid=40584
  • sid=0
  • builddate=351
  • rnd=507921405
  • knt=1313495932
  • [inject]
  • *=cmd.dll
  • (x64)=cmd64.dll
  • [cmd]
  • srv=https://91.213.29.63/;https://tr1ck-track.com/;https://188.95.52.162/;https://mo0nviser.com/;https://4tag16ag100.com/;https://zna61udha01.com/
  • wsrv=http://bangl24nj14.com/;http://lkeopee32.com/;http://63.223.106.16/;http://63.223.106.17/;http://iau71nag001.com/;http://baj19kall10.com/
  • psrv=http://cikh71ynks66.com/;http://clkh71yhks66.com/
  • version=0.28
  • bsh=48d7a92bad59ee46252114485ea09c3aab050181
  • delay=7200
  • dlc_srand=103
  • ns_conf=0
  • [tasks]
  • [tslcaloc]
  • svchost.exe=180| -g yes –t 1 –o http://pacrim.eclipsemc.com:8337/ -u ilnick89_1 –p 112233

Beispiel einer TDSS-Konfigurationsdatei mit neuer Sektion für die Arbeit mit Bitcoin

Aufgrund der in der Datei svchost.exe angegebenen Parameter wird ersichtlich, dass diese Sektion für die Arbeit mit dem Bitcoin-Pool eclipsemc.com verantwortlich ist.


Website des Bitcoin-Pools eclipsemc.com

Für die Arbeit mit diesem Pool werden auch der Benutzername und das Passwort angegeben. Leider war der in der Konfigurationsdatei angegebene Anwender bereits blockiert, als wir das Sample erhielten, so dass uns nur übrig blieb, auf ein weiteres Opfer von TDSS zu warten.

Am 22. August klagte ein Anwender von Plus88 im Forum softpedia.com über eine 100% Prozessorauslastung, weshalb er eine Infektion des Computers mit einem Schadprogramm vermutete. Nach einem Viren-Scan stellte sich heraus, dass der Rechner mit TDSS infiziert war. Der Nutzer gab in dem Forum außerdem die Befehlszeile für den Prozess an, der 100% der CPU belegte:

C:WINDOWSTEMPconhost.exe -g no -t 1 -o hxxp://generic–t00ls.com:8344/ -u bcegeky -p pvidedlrtoeiy


Mitteilung des Anwenders über eine Infektion seines Computers mit TDSS

Nach einer schnellen Analyse gelang es uns, an das TDSS-Sample mit den angegebenen Parametern zu kommen

  • [main]
  • version=0.03
  • aid=50018
  • sid=0
  • builddate=351
  • installdate=16.8.2011 0:40:32
  • rnd=3623570913
  • knt=1313683563
  • [inject]
  • *=cmd.dll
  • (x64)=cmd64.dll
  • [cmd]
  • srv=https://lo4undreyk.com/;https://sh01cilewk.com/;https://cap01tchaa.com/;https://kur1k0nona.com/;https://u101mnay2k.com/
  • wsrv=http://gnarenyawr.com/;http://rinderwayr.com/;http://jukdoout0.com/;http://swltcho0.com/;http://ranmjyuke.com/
  • psrv=http://crj71ki813ck.com/
  • version=0.29
  • dlc_srand=169
  • ns_conf=0
  • delay=7200
  • bsh=c1fe4a4eb3522c2bbac5765edb1b693449db5f1a
  • [tasks]
  • [tslcaloc]
  • kwrd=300|conhost.exe| -g no -t 1 -o http://generic–t00ls.com:8344/ -u %s -p %s

Beispiel einer Konfigurationsdatei von TDSS mit neuer Sektion für die Arbeit mit Bitсoin

Die Zeile, die für die Arbeit mit dem Bitсoin-Pool zuständig ist, verwies dieses Mal auf die Website generic–t00ls.com. Auf dieser Site ist pushpool installiert, das im Proxy-Modus bis zu einem echten Bitсoin-Pool arbeitet. Der Benutzername und das Passwort für pushpool werden dabei der verschlüsselten Datei bckfg.tmp entnommen und sind pseudozufällig. Eine Analyse der Datei conhost.exe zeigte, dass es sich dabei einfach um einen GPU-Miner von Ufasoft handelte.

Leider ist es im Gegensatz zu früheren Vorfällen mit Bitсoin nicht möglich, den Namen des Pools und des Cyberkriminellen herauszufinden, der für die Transaktionen mit dem TDSS-Botnetz verwendet wird. Ebenso wenig lässt sich feststellen, wie viele Botnetzbetreiber an Bitсoins verdienen. Der Einsatz eines so komplizierten Programms wie TDSS zeugt allerdings davon, dass das Interesse der Cyberkriminellen an Bitсoin zunimmt —vermutlich auf Grund der steigenden „Einnahmen“, die sie damit erzielen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.