Analyse der „destruktiven“ Schadsoftware, vor der das FBI warnt

Originalartikel von Trend Micro

Reuters zufolge gab das FBI am 2. Dezember eine Warnung an US-Unternehmen aus. Sie gilt einer neuen „destruktiven“ Schadsoftware, die im Nachgang zum kürzlich erfolgten Sony Pictures-Angriff aufgetaucht ist. Die Ingenieure der TrendLabs konnten ein Muster der Malware analysieren. Doch ist noch nicht klar, ob es tatsächlich eine Vebindung zwischen dem Sony-Vorfall und der vom FBI erwähnten Schadsoftware gibt.
Das FBI-Memo „#A-000044-mw“ gibt einen Überblick über das Verhalten dieser Malware, die angeblich alle Daten auf Festplatten überschreiben kann, einschließlich des Master Boot Records, sodass der betroffene Computer nicht mehr hochfährt.

Analyse der BKDR_WIPALL Malware

Trend Micro hat die im FBI-Memo beschriebene Schadsoftware als BKDR_WIPALL erkannt. Die Abbildung zeigt den Ablauf der Infektion bei diesem Angriff:


Der Haupt-Installer ist diskpartmg16.exe (BKDR_WIPALL.A), dessen Überlagerungsschicht eine Reihe von Nutzernamen und Kennwörtern beinhaltet, die mit XOR 0x67 verschlüsselt sind:

Bild 1. BKDR_WIPALL.As Overlay umfasst verschlüsselte Nutzernamen und Kennwörter

Nach der Anmeldung versucht die Schadsoftwar, jedem, der auf die System-Root zugreift, einen vollständigen Zugriff zu gewähren.


Bild 2. Code-Teil der Malware, die sich ins Netzwerk einloggt

Die abgelegte Datei net_var.dat enthält eine Liste von angepeilten Hostnamen:

Bild 3. Anvisierte Hostnamen

Damit in Zusammenhang steht die Schadsoftware igfxtrayex.exe (als BKDR_WIPALL.B erkannt), die von BKDR_WIPALL.A abgelegt wird. Sie schläft zehn Minuten lang (oder im Screenshot 600.000 Millisekunden), bevor sie die tatsächlichen Malware-Routinen ausführt:

Bild 4. BKDR_WIPALL.B (igfxtrayex.exe) schläft zehn Minuten lang

Bild 5. Verschlüsselte Liste der Nutzernamen und Kennwörter in BKDR_WIPALL.B

Bild 6. Code-Teile der Hauptroutine von igfxtrayex.exe (BKDR_WIPALL.B)

Abgesehen vom Löschen der Nutzerdateien stoppen diese Routinen den Microsoft Exchange Information Store-Service. Danach schläft die Schadsoftware für weitere zwei Stunden, und dann zwingt sie das System zum Hochfahren.

Bild 7. Code-Teil zu dem forcierten Reboot

Die Schadsoftware führt auch einige Kopien ihrer selbst aus, taskhost{random 2 characters}.exe benannt, und nutzt dafür die folgenden Parameter:

  • taskhost{random 2 characters}.exe -w – um die Komponente Windows\iissvr.exe abzulegen und auszuführen
  • taskhost{random 2 characters}.exe -m – um Windows\Temp\usbdrv32.sys abzulegen und auszuführen
  • taskhost{random 2 characters}.exe -d – um alle Dateien von fest installierten oder Remote (Netzwerk)-Laufwerken zu löschen.

Bild 8. Die Schadsoftware löscht alle Dateien (Format *.*) auf fest installierten oder Netzwerk-Laufwerken

Die Komponenten der Schadsoftware sind verschlüsselt und liegen in den unten aufgeführten Ressourcen:

Bild 9. BKDR_WIPALL.B Malware-Komponenten

Zusätzlich greift BKDR_WIPALL.B auf die physische Festplatte zu, die sie zu überschreiben versucht:

Bild 10. BKDR_WIPALL.B überschreibt physische Festplatten

Die Variante BKDR_WIPALL.D legt BKDR_WIPALL.C ab und die wiederum legt die Datei walls.bmp ins Windows-Verzeichnis ab. Die .BMP-Datei sieht umfasst folgendes:

Bild 11. Abgelegte Hintergrund-Datei

Es scheint dasselbe Hintergrundmuster zu sein, das in den Berichten zum jüngsten Sony-Hack erwähnt wird, und umfasst auch die Überschrift “hacked by #GOP”. Daraus lässt sich schließen, dass es sich um dieselbe Schadsoftware handelt wie bei dem Angriff.

Analyse von Rhena Inocencio, Alvin Bacani und Joie Salvio

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*