Zbot-Attacken via PDF

Kürzlich stieß ich auf eine verdächtige pdf-Datei und habe diese daraufhin näher unter die Lupe genommen. Nach dem Entpacken blieb eine xml–Datei mit TIFF-Grafik. Diese sah allerdings reichlich seltsam aus, und es stellte sich heraus, dass die xml–Datei ein Exploit enthält, das die Sicherheitslücke CVE-2010-0188 ausnutzt.

Mir erschien es merkwürdig, dass Dateien dieser Art bisher fast nie vorgekommen sind und ich befragte die Statistik zur Ausnutzung der betreffenden Sicherheitslücke.

Statistik zur Ausnutzung der Sicherheitslücke CVE-2010-0188

Wie aus der oben dargestellten Grafik klar ersichtlich wird, begann die Verbreitung von Schädlingen, die die Sicherheitslücke CVE-2010-0188 ausnutzen, Ende Juni. Bis dahin wurden derartige Schadprogramme praktisch nicht auf den Computern der User gefunden. Das lässt den Schluss zu, dass die Virenschreiber einige Monate auf die Anpassung der Exploits an eine neue Lücke in dem Produkt von Adobe verwendet haben.
Im Zuge der weiteren Analyse stellte sich heraus, dass die Hauptfunktionalität des PDFs im Download und Start einer anderen Datei besteht, und zwar Trojan-Dropper.Win32.Zbot.cm. Die wichtigste Aufgabe dieses Droppers wiederum besteht in der unbemerkten Installation des Haupt-Bots Zbot (ZeuS) und dem Widerstand gegenüber Antiviren-Programmen.
Ich konnte ein endgültiges Exemplar von Zbot ergattern, doch es erwies sich als verschlüsselt und obfuskiert. Im Folgenden erhielt ich seinen Dump und entschlüsselte Zeilen. Darunter befinden sich auch ein eindeutiger Link auf die Ziel-Bankseite, http-Anfragen des Bots sowie einige Befehle, die vom C&C des Botnetzes Zbot verwendet werden. Dieses sind auf dem folgenden Screenshot zu sehen.

Fragment der dechiffrierten Datei Zbot

Dies ist der erste registrierte Fall der Verbreitung von Zbot über die Sicherheitslücke CVE-2010-0188. Seine Entwickler ruhen sich nicht auf ihren Lorbeeren aus, sondern finden immer wieder neue Wege, ihr Produkt an den User zu bringen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.