YouTube Toolbar

Vor einigen Tagen habe ich meinen allerersten HD-Film auf YouTube hoch geladen. Sobald ich damit fertig war, erhielt ich umgehend eine Mail von YouTube, in der ich zu meinem ersten Upload beglückwünscht wurde und die zudem einige nützliche Hinweise und Tipps enthielt. Nur ein paar Stunden später fand ich eine weitere Mail in meinem Posteingang mit dem Betreff: “Hello, Have you tryed YouTube Toolbar?” (“Hallo haben sie schon die YouTube Toolbar auspropiert?”)

Der Tippfehler in der Betreffzeile – “tryed”, anstelle von “tried” – ist fast schon ein Wink mit dem Zaunpfahl, der darauf hinweist, dass diese Mail aller Wahrscheinlichkeit nicht von YouTube stammt. Und tatsächlich enthielt die Mail – die recht schlecht aufgemacht war – einen Link auf eine Variante des Schadprogramms Backdoor.IRC.Zapchast.

Backdoor.IRC.Zapchast.i spam email

Die ausführbare Datei, auf die der Link in der E-Mail verweist, ist ein RAR SFX Archiv, in dem sich eine Reihe von Dateien befindet:

Fast alle Zapchast-Varianten sehen so aus – mit sehr geringen Abweichungen. Doch wo liegt die Quelle dieses Backdoors? Die Dateien enthalten einige Anhaltspunkte, die auf rumänische Malware-Autoren hinzuweisen scheinen, von spezifisch rumänischen Passwörtern bis hin zu Links auf rumänische Websites.

Diese Backdoors funktionieren über mIRC-Skripte – sie enthalten eine Kopie der ausführbaren mIRC-Datei (Version 6.01, gepackt mit UPX) und der Backdoor-Code selbst ist als mIRC-Skript geschrieben. Der Screenshot oben zeigt die Datei ’csrss.exe’. Einmal aktiviert, verbinden sich die Backdoors mit dem Undernet-Netzwerk und treten einem bestimmten Channel bei, um Befehle zu empfangen und den Inhaber des Botnetzes über jeden neu infizierten Anwender zu informieren. Die Bearbeitung der Befehle wird in der Datei ‘script.ini’ umgesetzt.

Abgesehen von der Bearbeitung der mIRC-Befehle, die der Schädling von seinem Herrn empfängt, gibt es keinen anderen Code, der zum Diebstahl vertraulicher Informationen oder von Finanzdaten vom Opfercomputer bestimmt ist. Das ist heutzutage reichlich ungewöhnlich und Schädlinge wie Zapchast gehören zu einer aussterbenden Art – die den Weg frei machen für raffiniertere Trojaner wie Zbot oder Sinowal.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.