Backdoor löscht MBR, sperrt Bildschirm

Originalbeitrag von Lenart Bermejo (Threat Response Tech Lead)

Anwender in Deutschland laufen Gefahr, dass ihr System von einer Schadsoftware unbrauchbar gemacht wird, die unseren Beobachtungen zufolge zurzeit über Spam-Nachrichten verbreitet wird. Dieser Schädling ist nicht nur in der Lage, das befallene System von der Ferne aus zu steuern, sondern kann auch den Master Boot Record löschen. Bei dieser bösartigen Fähigkeit handelt es sich um eine Softwareroutine, die zuletzt in Südkorea große Probleme verursacht hat.

Wir haben diesen merkwürdigen Hintertürschädling als Dateianhang in bestimmten Spam-Nachrichten entdeckt. Die Spam-Variante, die wir gefunden haben, ist auf Deutsch und zwingt die Empfänger, eine angeblich offene Forderung zu begleichen, die näheren Angaben dazu befänden angeblich sich im Anhang. Wer auf diesen Trick hereinfällt, führt die Schadsoftware, in diesem Fall einen Hintertürschädling, aus.

Abb. 1: Der E-Mail-Anhang wird von Trend Micro als BKDR_MATSNU.MCB erkannt

Wie andere Hintertürschädlinge auch führt BKDR_MATSNU.MCB bestimmte bösartige Befehle aus. Dazu gehört das Sammeln maschinenbezogener Informationen, die an den Befehls- und Kontrollserver gesendet werden. Die gefährlichste Eigenschaft des Hintertürschädlings ist jedoch seine Fähigkeit, den Master Boot Record (MBR) zu löschen. Diese Technik wurde vor kurzem in einem allgemein bekannt gewordenen, jedoch anderen Angriff auf gewisse Institutionen in Südkorea angewandt. Was diese Softwareroutine so problematisch macht, ist die Tatsache, dass sie, einmal ausgeführt, den normalen Startvorgang der infizierten Systeme verhindert und die Anwender mit unbrauchbaren Systemen zurücklässt.

Ein weiterer Befehl, den der Hintertürschädling ausführen kann, ist das Sperren des Bildschirms. Diese Eigenschaft ist ganz sicher die direkte Kopie einer Szene aus dem Drehbuch von Ransomware. In dieser Szene bleibt das System so lange vollständig oder teilweise gesperrt, bis das Opfer sich „freikauft“. Bei Ransomware handelt es sich um Erpressersoftware, die Lösegeldzahlungen einfordert, den Bildschirm des befallenen Systems sperrt und stattdessen eine Anleitung für den Nutzer anzeigt, wie er sich mit welchen Zahlungsmethoden angeblich freikaufen kann.

Ursprünglich war das Phänomen Ransomware auf Russland beschränkt, wo sie auch zuerst aufgetaucht ist. 2012 jedoch erfuhr die Schadsoftware einen richtigen Schub und verbreitete sich in Form verschiedener Varianten des so genannten Polizeitrojaners oder BKA-Trojaners. Diese Varianten sperren den Bildschirm wie jede Ransomware. Der einzige Unterschied zu anderen Arten besteht darin, dass eine einschüchternde Nachricht angeblich von den lokalen Ermittlungsbehörden mit der Aufforderung zur Zahlung einer Geldstrafe für erfundene Vergehen oder Gesetzesverstöße angezeigt wird.

In unserem Test hat BKDR_MATSNU.MCB die Routine zur Löschung des MBR ohne Schwierigkeiten ausgeführt. Es genügt, wenn die Hintermänner im Web über einen Server den entsprechenden Befehl an den Hintertürschädling schicken, um die Routine unverzüglich in Gang zu setzen. Beim Sperren des Bildschirms liegt der Sachverhalt jedoch anders. Aller Wahrscheinlichkeit nach lädt BKDR_MATSNU.MCB hierfür ein weiteres Modul auf das System, das anschließend den Bildschirm sperrt. Welche Softwareroutine zuerst ausgeführt wird, hängt von den Befehlsgebern im Web ab. Diese mögen sich zuerst für das Sperren des Bildschirms entscheiden, um das Überschreiben des MBR in einem zweiten Schritt zu veranlassen, oder auch nur eine der beiden Möglichkeiten auslösen.

Ein weiteres mögliches Szenario besteht darin, dass eine Variante von BKDR_MATSNU mit der Routine für das Bildschirmsperren integriert wird, wodurch sich der Befehl für die Bildschirmsperre einfacher ausführen lässt. Wir halten zurzeit nach dieser Variante Ausschau und werden die Leserinnern und Leser auf dem Laufenden halten, sobald wir von neuen Entwicklungen Kenntnis erlangen.

Um sich besser zu schützen, sollten Anwender bei jeder E-Mail, die sie erhalten, Vorsicht walten lassen und auf keinen Fall jeden Anhang bereitwillig öffnen. Falls Ihr System bereits infiziert ist, sollten Sie das geforderte Lösegeld lieber nicht zahlen, da dadurch rein gar nichts garantiert ist.

In unserer Bedrohungsenzyklopädie findet sich eine spezielle Seite zum Thema „Ransomware und seine Entwicklung“, die allen Interessierten zur Lektüre empfohlen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*