FAKEAV wird Open Source … oder doch nicht?

Original Artikel von David Sancho (Malware Researcher bei Trend Micro)

In der letzten FAKEAV Spam Kampagne fiel mir auf, dass etwas nicht stimmt: Sobald der Anwender die URL anklickt und das vermeintliche Antivirus 2010 auf seinem System läuft, werden zusätzliche Dateien hinzugefügt. Ich fand Dateien, die zu ClamAV gehören, dem quelloffenen Antivirus-Toolkit für UNIX. Zu den Dateien gehören die ClamAV-Virus-Definitionsdatei und einige neu herunter geladene DLLs wie htmlayout.dll und pThreadVC2.dll. All diese Dateien sind erforderlich, um die quelloffene Antivirus-Software zu betreiben. Warum also bezieht die Routine der FAKEAV-Malware legale AV-bezogene Dateien mit ein?

Die Dateien kamen mit der ersten Download-Routine des Fake Antivirus-Installers an. Sie hinterlässt auch mit zufälligen Namen belegte Garbage-Dateien auf dem System, die, wie sich später herausstellt, „infiziert“ sind. Ich lud das wirkliche ClamAV für weitere Tests herunter, um zu sehen, ob der Fake Scan tatsächlich die Definitionsdatei für das Scannen nutzt. Das Merkwürdige an all diesem ist, dass nachdem ich die FakeAV-Definitionsdatei durch die neueste ersetzt hatte, die Software weiterhin die Garbage-Dateien als infiziert betrachtete. In einem zweiten Test ließ ich die FAKEAV-Definitionsdatei in einem realen ClamAV-Scan über die Dateien laufen. Das Ergebnis war dasselbe. Anscheinend wurden die ClamAV-bezogenen Dateien überhaupt nicht verwendet.

Die einzige Schlussfolgerung aus meinen Tests ist, dass die rechtmäßigen Dateien lediglich eine Attrappe sind, um dem Betrug einen legitimen Anstrich zu geben. Die Cyberkriminellen nutzen diese Taktik wahrscheinlich auch, um der Entdeckung über Verhaltensanalysen zu umgehen. Diese Strategie mag manche Analysesoftware dahin gehend täuschen, dass das Fake Antivirus-Tool echt sei, weil legitime Antivirus-Dateien auf dem System laufen. Ich bezweifle dies jedoch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*