Die bösartigen Absichten hinter dem „Here you have“-Mail-Wurm

Originalartikel von Edgardo Diaz, Jr. (Threats Analyst bei Trend Micro)

Im September hatte eine “Here You Have”-Spam-Welle die Mail-Inboxen der Nutzer überschwemmt. Auch wenn damals der Fokus der Kriminellen auf Spam lag, ist es wichtig, die Fähigkeiten der Hauptkomponente der Malware hinter der Spam-Kampagne, nämlich WORM_MEYLME.B, zu verstehen

Die Binärdatei des Wurms enthält Login-Informationen für bestimmte Gmail-Konten, die aber mittlerweile stillgelegt wurden. Dennoch helfen sie, die Zusammenhänge der Kampagne aufzudecken.

Auch konnten die Researcher die wahren Absichten des Wurms aufdecken. Er lädt von einem zentralen Ort verschiedene Programme herunter, die, obwohl sie nicht bösartig sind, dennoch für bösartige Angriffe genutzt werden können. Die so erhaltenen Dateien werden für drei Routinen verwendet:

  • Der Wurm versucht, das gesamte Netzwerk eines betroffenen Nutzers zu infizieren, genauso wie es ILOMO tut. Über die heruntergeladene Datei psexec.exe verbreitet er sich im Netzwerk. Wie schon die TROJ_ILOMO-Varianten zeigten, ist dies eine effiziente Technik, und IT-Administratoren, die absichtlich psexec nutzen, sollten vorsichtig sein.
  • WORM_MEYLME.B nutzt Tools für den Kennwortdiebstahl, führt diese aus und erzeugt eine c:\WINDOWS\*.dlm-Datei, welche die Login-Informationen des Opfers enthält. Diese Daten werden üblicherweise von weit verbreiteten Instant-Messaging-Anwendungen und Web Browsern gespeichert. Die gestohlenen Daten werden dann an einen entfernten böswilligen Nutzer geschickt.

  • Der Schädling installiert eine mächtige Hintertür-Anwendung in Form einer BIFROSE -Variante. Möglicherweise haben sich die Kriminellen für eine solche Variante aufgrund ihrer weiten Verbreitung und der einfachen Benutzung entschieden. Die Forscher bei Trend Micro haben für ihre Analyse einen zu BIFROSE kompatiblen Command-&-Control-Server genutzt, um die Kommunikation zwischen BKDR_BIFROSE.SMU und der infizierten Maschine zu simulieren. BKDR_BIFROSE.SMU ist die eigentliche Hintertür-Komponente. WORM_MEYLME.B wurde für die Installation auf infizierten Systemen programmiert. Der Screenshot zeigt, dass das Opfersystem an diesem Punkt der Infektionskette vollständig kompromittiert ist und den Cyberkriminellen zur Verfügung steht.

  • Die “Here you have”-Spam-Kampagne war ein gezielter Angriff, der sich ursprünglich auf HR-Abteilungen von Behörden wie die  Afrikanischen Union oder die NATO richtete. Doch durch die klassischen doch effektiven Verteilungsroutinen geriet der Angriff außer Kontrolle und wurde zum weltweiten Problem. Die Massen-Mail-Routine, schickte „Here you have“-Spam an Mailadressen, die sich in den Kontaktlisten der Opfersysteme befanden. „Just for you“-Spam wiederum wurde an Adressen verschickt, die in den Yahoo! Messenger (YM) Nachrichtenarchiven der Opfer zu finden waren. Diese Verteilungsroutinen zusammen mit den Netzwerkverbreitungs- und weiteren Routinen von VBS_MEYLME.B führten dazu, dass sich die Attacke viel breiter gestaltete als ursprünglich geplant.

    Das folgende Diagramm zeigt die Dimensionen des Spam-Ausbruchs, die WORM_MEYLME.B verursachte.


    Dank der Korrelationsfähigkeiten des Smart Protection Networks konnte Trend Micro mit dem Schädling in Verbindung stehende bösartige URLs und Dateien identifizieren und als Teil der Attacke zuordnen. In der Folge blockierte die Sicherheitsinfrastruktur die URLs und schützt so die Anwender.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    *