Datei-Infector nutzt von DOWNAD/Conficker bekannte Technik

Originalartikel von Jasper Manuel (Threat Response Engineer bei Trend Micro)

Trend Micro liegen Berichte über einen neuen, gefährlichen Datei-Infector vor. Die Malware (PE_LICAT.A) verwendet einen Domain-Generierungsalgorithmus. Diese Technik nutzten zuletzt WORM_DOWNAD/Conficker-Varianten. Sie ermöglicht es dem Datei-Infector, bösartige Dateien von verschiedenen Servern im Internet herunterzuladen und auszuführen.

Wie schon der Wurm generiert auch PE_LICAT.A eine Liste mit Domänennamen, von denen der Schädling weitere bösartige Dateien laden kann. Die Domain Name-Generierungsfunktion beruht auf einer Zufallsfunktion, die aus dem aktuellen Datum und der Zeit des UTC (Coordinated Universal Time)-Systems berechnet wird. Das Ergebnis ändert sich in jeder Minute.

Dem Escalation Engineer Alvin Bacani zufolge generiert die Malware bei jeder Dateiinfektion durch PE_LICAT.A einen pseudozufälligen Domain Name, mit den genauen Werten der Systemzeit. Dann versucht der Schädling Verbindung zu besagtem Domain Name aufzunehmen. Bei Erfolg lädt er die Datei von der pseudozufälligen URL herunter und führt sie aus. Bei einem Fehlschlag wiederholt er die Aktion bis zu 800 Mal und generiert dabei jedes Mal eine „neue“ URL. Damit stellt die Malware sicher, dass sie sich auf aktuellem Stand hält, und auch wenn eine oder mehrere Domänen vom Netz genommen werden, können andere ihren Platz einnehmen.


Systeme, die infiziert und mit dem aktuellen UTC-Datum und der Zeit synchronisiert sind, kontaktieren dieselbe Sammlung von Domänennamen. Auf der Grundlage von PE_LICAT.A-Code werden die heruntergeladenen Dateien erst validiert, bevor sie ausgeführt werden – dieselbe Technik wie sie WORM_DOWNAD nutzt.

Nutzer, deren Systeme infiziert wurden, riskieren noch weitere bösartige Dateien auf ihre Systeme herunterzuladen, und zwar jedes Mal wenn PE_LICAT.A ausgeführt wird.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*