Andromeda taucht wieder auf

Originalartikel von Romeo Dela Cruz, Threat Response Engineer

Das Andromeda-Botnet, zuerst 2011 entdeckt, ist wieder aktiv. Die Bedrohung verbreitet sich über die bekannten Methoden der Spam-Nachrichten mit bösartigem Anhang oder Links zu mit dem Blackhole Exploit Kit infizierten Webseiten.

Nachfolgend ein Beispiel einer solchen Nachricht:

Abbildung 1. Beispiel einer Spam-Nachricht

Andromeda kann verschiedene Module enthalten, wie

  • Keylogger
  • Form Grabber
  • SOCKS4 Proxy
  • Rootkits

Wie alle typischen Backdoor-Schädlinge (neueste Version ist 2.60) kann Andromeda weitere Dateien wie ZeuS herunterladen und ausführen, sowie sich selbst aktualisieren oder bei Bedarf löschen. Varianten der Malware sind online für 300 bis 500 Dollar erhältlich, wobei die erwähnten Plugins separat berechnet werden. Die Daten des Trend Micro Smart Protection Networks zeigen, dass Australien, die Türkei und Deutschland von der Gefahr am stärksten betroffen sind:

Abbildung 2. Andromeda-Infektionen in den Monaten Januar bis zum 25. Februar 2013

Ein ungewöhnlicher Aspekt ist die Verbreitung von Andromeda über Wechselmedien. Anstatt Kopien seiner selbst abzulegen, hinterlässt die Schadsoftware Komponentendateien und erschwert damit die Entdeckung und Analyse. Die neueste Variante, die Trend Micro als BKDR_ANDROM.DA identifiziert hat, kann TCP Port 8000 öffnen und belauschen, sowie eine Command Shell (cmd.exe) öffnen. Sobald ein Remote-System Verbindung aufnimmt, kann es bereits alle Befehle der Command Shell nutzen, sodass das Opfersystem auch durch weitere Malware angreifbar ist. Auch nutzt der Schädling die folgenden nativen APIs, um sich in normale Prozesse einzuschleichen (eine von DUQU und KULUOZ bekannte Technik):

  • ZwCreateSection
  • ZwMapViewOfSection
  • ZwResumeThread
  • ZwUnmapViewOfSection

Diese Technik erschwert die Analyse und dadurch auch die Säuberung von infizierten Systemen. Welche Payload Andromeda letztendlich ablegt, hängt von den Befehlen ab, die der Command & Control-Server absetzt. Daher gibt es eine breite Vielfalt an Malware auf den infizierten Systemen. Außerdem wird der Schädling ständig aktualisiert.

Wie von Trend Micro für 2013 vorausgesagt, ist auch dieses Tool verbessert worden. Die Hintermänner haben die Routinen verfeinert, über die sich der Schädling durch Hinterlegen von verschiedenen Komponentendateien verbreitet. Eine davon erzeugt den Registry Key, der eine verschlüsselte .DLL-Datei zur Vervielfältigung nutzt.

Anwender können sich gewissermaßen schützen, indem sie keine Links oder Anhänge in verdächtigen E-Mails anklicken, doch das kann bei geschickt aufgesetzten E-Mails schwierig sein. Die Kunden von Trend Micro sind aufgrund des Smart Protection Networks geschützt, weil dies die Bedrohung bereits erkannt hat und von Nutzersystemen entfernt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*