Elite Loader wird öffentlich

Original Artikel von Maxim Goncharov (Advanced Threats Researcher bei Trend Micro)

Vor ein paar Tagen konnte ich kostenlos auf den Sourcecode des bekannten Elite Loader zugreifen. Er war auf einem der russischen Untergrundforen veröffentlicht worden, und es gab sogar eine ausführliche Beschreibung sowie Screenshots, die zeigten, wie der Command and Control (C&C) Server zu benutzen ist.







Abgesehen davon, dass sich mit dem Elite Loader bösartige Dateien auf infizierten Maschinen ablegen lassen, ermöglicht er auch Nutzern mit bösen Absichten, zusätzlich Software auf die Zielsysteme hochzuladen, um Kennwörter zu stehlen sowie Spam oder Module für Distributed Denial of Service (DDoS) zu installieren, die dann von Cyberkriminellen verwendet werden können.

Der C&C des Bots umfasst auch signifikante Statistiken und nutzt eine Log-Filtering-Funktionalität, um die Modul-Downloads von den Bots in verschiedenen Ländern zu verwalten. Der Server kann auch Ziel-Bots nach ihrer Location aktivieren oder deaktivieren. Das Bot ist nur 8 KB groß, sodass der Prozess des Ablegens relativ unbemerkt ablaufen kann. Es funktioniert perfekt auf Microsoft XP Service Packs 1, 2, und 3 sowie auf Vista-Betriebssystemen und unterstützt mehrere Job-Instanzen.

Das Geschäft der Malware-Verteilung scheint öffentlich geworden zu sein. Der Elite Loader beispielsweise wurde vom wohlbekannten Lonely Wolf veröffentlicht, einem der Moderatoren des Untergrundforums DaMaGeLaB, und enthält detaillierte Anweisungen im Archiv sowie dedizierte Bedrohungs-Einträge. Damit wird es sogar für Skript-Jugendliche einfach, ihren eigenen bösartigen Code zu erzeugen.

Trend Micro spürt die Varianten des Elite Loaders als Teil der DLOADER-Familie  von Trojanern auf. Kunden von Trend Micro müssen sich also keine Sorgen über Infektionen machen. Das Trend Micro Smart Protection Network blockiert den Download aller bösartigen Dateien und auch den Zugriff auf bösartige URLs im Zusammenhang mit diesem Bot. Anwender, die keine Trend Micro Produkte im Einsatz haben, und befürchten, ihre Systeme könnten bereits infiziert sein, können ihre PCs mithilfe des kostenlosen Tools RUBotted säubern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*