ZeuS legt mit LICAT nochmal nach

Originalartikel von Jessa De La Torre (Threat Response Engineer bei Trend Micro)

Die Analyse des Datei-Infectors PE_LICAT.A (siehe den Blog-Eintrag Datei-Infector nutzt von DOWNAD/Conficker bekannte Technik hat neue Erkenntnisse zu der Bedrohung zu Tage gefördert.

Die Experten von Trend Micro haben eine Kopie des Haupt-Infectors als PE_LICAT.A-O identifizieren können. Ein Haupt-Infector ist einer, der den Prozess der Dateiinfektion anstößt, ohne selbst infiziert zu sein. Er fügt sich selbst in den Explorer.exe-Prozess ein und erzielt damit zwei Effekte: Erstens wird er Hauptspeicher-resistent, und zweitens infiziert sich jede nachfolgend ausgeführte Datei mit dem Schädling PE_LICAT.A.

Wie bereits berichtet, nutzt LICAT so genannte pseudo-zufällige Domänen, um Dateien herunter zu laden. Die folgenden Top-Level-Domänen werden beim Erzeugen dieser Domänen herangezogen:

  • biz
  • com
  • info
  • org
  • net

Es zeigt sich, dass die meisten dieser Domänen nicht registriert sind. Einige der Sites, auf die umgelenkt wird, sind derzeit nicht erreichbar, obwohl ein Teil davon noch aktiv ist. Als Vorsichtsmaßnahme wurden alle mit der Bedrohung in Verbindung stehenden Sites von Trend Micro als bösartig klassifiziert und blockiert.

Diese Domänen scheinen PE_LICAT und ZeuS zu verbinden. Mehrere der Domänen, von denen LICAT Ende September Dateien herunter geladen hat, waren  zu der Zeit bekanntermaßen ZeuS-Domänen. Eine davon, {BLOCKED}klklmssrr.com, wurde eine Woche, bevor LICAT sie nutzte, registriert. Eine andere wurde von einem für seine intensive ZeuS-Aktivität bekannten ISP gehostet.

Ein Sample dieser mit LICAT in Verbindung stehenden Domänen hat Trend Micro als TSPY_ZBOT.BYZ identifiziert. Die Downloader-Datei weist bestimmte Verhaltensweisen auf, die ZeuS zugeschrieben werden. Andererseits hat ZeuS eigentlich keine Downloader-Funktionalität. Um Gewissheit zu erlangen, sind weitere Analysen erforderlich.

Infektionen über LICAT haben bislang vor allem Nordamerika und Europa am härtesten getroffen. Dies ergab das Feedback aus dem Trend Micro Smart Protection Network. Die Sicherheitsinfrastruktur analysiert die Domänen in Echtzeit und blockiert sie bei Bedarf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*