Systemzeit entscheidet über Schadsoftware

Originalartikel von Rika Joi Gregorio, Threat Response Engineer

Vor ein paar Wochen fanden die Sicherheitsforscher von Trend Micro einen eher ungewöhnlichen bösartigen Anhang, dessen Schädling sie als TROJ_UPATRE.SMAI identifizierten. Wird er entpackt und ausgeführt, so erscheint folgende Fehlermeldung:


Bild 1. Fehlermeldung

Auf den ersten Blick scheint nichts Böses dahinter zu stecken. Doch als das Team den Code durchsah, fiel in einer Zeile ein Befehl auf, der die Systemzeit prüft.

Bild 2. Malware-Code

Bei einer weiteren Prüfung entdeckten die Sicherheitsforscher, dass der Wert für den Monat einem bestimmten Hauptspeicherplatz hinzugefügt worden war, welcher die für die Ausführung der Malware benötigte Hauptspeicheradresse und den Entschlüsselungs-Key für Code enthält. Doch korrekte Ergebnisse erzielte man nur, wenn Januar im System angegeben ist.


Bild 3. Code für die Entschlüsselung

Bild 4. Falsches Ergebnis

Bild 5. Korrektes Ergebnis
Obige Codeausschnitte zeigen die Entschlüsselungsroutine der Schadsoftware und die möglichen Ergebnisse. Die entschlüsselte Zeichenfolge in Bild 4 ist nicht lesbar, denn die Systemzeit der Maschine ist falsch. Deshalb wird die Fehlermeldung angezeigt.

Wird jedoch (Bild 5) die Systemzeit auf Januar gesetzt, so wird die korrekte Adresse genommen und die Ausführung kann normal ablaufen und zur Payload der Malware führen (eine ZBOT-Variante, als TSPY_ZBOT.ADXK identifiziert).

Abgesehen von dieser Routine für die Datumsprüfung ist dieser Spam und dessen Payload nichts Ungewöhnliches. Der Spam kommt entweder als gefälschte Fax- oder Dokumentenbenachrichtigung. Das Verhalten von TROJ_UPATRE.SMAI entspricht dem der UPATRE-Malware, die seit September 2013 eine häufig anzutreffende Bedrohung über E-Mail darstellt.

Die entsprechenden Trend Micro-Produkte blockieren sowohl die Spam-Nachricht als auch die bösartigen Anhänge dieses Angriffs.

Zusatzinformationen von Merianne Polintan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*