Mebroot-Variante agiert wie TDSS

Originalartikel von Kathleen Notario (Threat Response Engineer bei Trend Micro) und Udo Schneider (Solution Architect EMEA bei Trend Micro)

Die TDSS-Familie beschreibt eine ganze Reihe von Schädlingen und ist eine „alte Bekannte“, die eine ernsthafte Bedrohung für Anwender darstellt. Der Name “TDSS” stammt von dieser Zeichenkette, die immer wieder in Komponentendateien und Registry-Einträgen früherer Varianten vorkam. Die Malware ist für ihre Rootkit-Fähigkeiten bekannt und wird stetig weiter entwickelt, um immer bessere Mittel zu finden, ihr Vorhandensein auf den betroffenen Systemen zu verbergen.

Dafür nutzt TDSS ein mehrstufiges Verfahren und umfasst unter anderen folgende Funktionen: Werbe-Popups, Anti-AV-Funktionen oder das Nachladen und Ausführen anderer Komponenten. In vielen Fällen wird TDSS nur als eine Komponente genutzt, um die eigentliche Malware nachzuladen und zu verstecken. Daher lässt sich in diesen Fällen die Funktionalität beliebig anpassen und ist nicht auf Werbe Popups begrenzt! Bekannte Verbreitungswege sind Cracks und Key-Generatoren, aber auch Drive-By-Downloads wurden schon beobachtet.

Die Mebroot Malware-Familie wiederum ist für Master Boot Record (MBR)-Infektionen bekannt. Dadurch ist der Schädling u.a. im Dateisystem von AV-Scannern nicht mehr aufzufinden. Dabei biegt es nach dem Systemstart Low Level Funktionen der Festplatten und NDIS (Netzwerk) Treiber um und ist im MBR für das Betriebssystem (und Applikationen!) unsichtbar und außerdem in der Lage, an den meisten installierten Firewall/Network Security Lösungen vorbei Inhalt nachzuladen.

Die Sicherheitsforscher von TrendLabs identifizierten kürzlich ein Mebroot-Sample als TROJ_MEBROOT.SMC, das sich in einer neuen, doch bekannten Art und Weise installiert:

  1. Die ausführbare Hauptdatei setzt eine Datei in das %User Temp% Directory.
  2. Sie führt mittels der I timeSetEvent-Funktion regsvr32 /s aus.
  3. Sie kopiert besagte Datei in das Print Processor Directory als %System%\spool\PRTPROCS\W32X86\{random number}.tmp.
  4. Dann lädt sie die Datei über das API AddPrintProcessorA mit Hilfe des SPOOLSV.EXE Service.
  5. Sie entfernt die Datei über das API DeletePrintProcessorA und löscht sie dann.

Diese Routine ist tatsächlich bekannt, den es ist die Art und Weise wie eine TDSS-Malware weitere Komponenten auf die Anwendersysteme installiert, wobei die endgültige Payload den MBR verändert, indem Tausende von Bytes hinein geschrieben und die Image-Datei der Malware hinein gesetzt werden. Danach wird das betroffene System neu gestartet. Durch die Änderungen des MBR wird die Malware dabei automatisch ausgeführt. Ihre Image-Datei aktiviert die weiteren Routinen, wie etwa für das Verbinden mit einer zufällig generierten URL und das Verschicken von Informationen dorthin, auch wenn der User an Windows nicht angemeldet ist.

Beim Neustart verbindet sich die Malware zuerst mit microsoft.com, time.windows.com und yahoo.com. Danach verbindet sie sich als hart codierte Domänennamen mit Servern und zufällig aussehenden URLs, die mit Hilfe auf der Zeit und dem Datum des Systems beruhenden Algorithmus generiert werden. Sie führt noch einige Aktionen gegen das Aufspüren auf der betroffenen Maschine durch.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network gegen diese Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt die Schädlinge mit Hilfe des File Reputation Service.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*