Vobfus und Beebone: eine Symbiose

Als die Experten von Microsoft ein Infektionsschema in Endlosschleife unter Beteiligung zweier Schadprogramme aufdeckten, fühlten sie sich an das ewige Dilemma von der Henne und dem Ei erinnert – was war zuerst da? Das freundschaftliche Zusammenspiel von Vertretern der schädlichen Familien Vobfus und Beebone, die in freier Wildbahn beobachtet wurden, verläuft kreisförmig: Der speicherresidente Wurm Vobfus lädt den Trojaner Beebone, der wiederum eine neue Variante von Vobfus lädt, die dann ihrerseits Beebone aktualisiert – und alles geht endlos so weiter, wenn dieser Prozess nicht von außen gestoppt wird.

Beide Schädlingsfamilien sind für ihre Fähigkeit bekannt, beim Start andere Schaddateien zu laden. Über ebenso eine Funktionalität verfügen viele andere Schadprogramme auch, allerdings geht das „entzückende Pärchen“ Vobfus-Beebone noch einen Schritt weiter und demonstriert gegenseitige Schützenhilfe in Endlosschleife, daher kamen die Experten zu dem Schluss, dass man diese Schädlinge nur sehr schwer wieder los wird.

Bei Vobfus (in der Klassifizierung von Kaspersky Lab Worm.Win32.Vobfus) handelt es sich um eine Spielart eines autorun-Wurms; er verbreitet sich über mobile Speichermedien und verfügbare Netzwerkfestplatten, seltener mit Hilfe von Social Engineering. Er kopiert sich selbst unter verlockenden Namen, wie etwa passwords.exe, porn.exe, secret.exe, sexy.exe, subst.exe, video.exe in das Verzeichnis %userprofile% und erstellt einen Registry-Schlüssel, wodurch er seine Ausführung bei jedem Start von Windows sicherstellt. Daraufhin verbindet sich der Schädling mit dem Steuerungsserver und erhält den Befehl zum Download von Beebone.

Der Trojaner Beebone (Trojan-Downloader.Win32.VB) ist seinem Wesen nach ein Downloader, d.h. er ist für den verborgenen Download und Start anderer Schadprogramme vorgesehen. Nach Angaben von Microsoft wurde er bereits mehrfach von Cyberkriminellen zur Installation von ZeuS (Zbot), Sirefef, Fareit, Nedsym und Cutwail eingesetzt. In dem aktuellen Fall lädt er eine neue Variante von Vobfus auf einen infizierten Rechner, die sich bei der Installation bei ihm auf dieselbe Weise revanchiert.

Eine Aktualisierungsfunktionalität ist in praktisch jeder schädlichen Anwendung enthalten, doch wenn der Schädling korrekt entfernt wird, wird auch der Update-Download abgebrochen. Im Falle der Symbiose von Beebone und Vobfus ist diese Reinigungsmethode sinnlos: Es ist durchaus möglich, Vobfus zu detektieren und zu entfernen, doch die Wahrscheinlichkeit ist hoch, dass auf den Rechner bereits die neuste Version von Beebone geladen wurde, der seinem „Partner“ weiterhin unbemerkt aus der Patsche hilft.

Quelle: Microsoft

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.