Originalartikel von Jeffrey Bernardin, Threat Researcher
In den letzten Wochen ist die Zahl der Infektionen via TROJ_GATAK gestiegen. Diese Schädlingsfamilie, die diesmal vor allem nordamerikanische Nutzer befallen hat, ist nicht sehr bekannt. 2012 fiel sie schon einmal auf, als Datei-Infectors zur Plage für niederländische Nutzer wurden. Die Schadsoftware tarnt sich derzeit als Schlüsselgenerator für verschiedene Anwendungen.
Zu den betroffenen Anwendungen gehören teure, spezialisierte Engineering- und wissenschaftliche Software aber auch Multimedia Editor-Tools, Benchmarking-Software und sogar Spiele:
- AVEVA_PDMS_v12_0_keygen.exe
- AllData_10_40_keygen.exe
- Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
- CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
- Cockos_REAPER_4_581_Final_keygen.exe
- Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
- GeekBench_2_2_3_keygen.exe
- Guaranteed_PDF_Decrypte_v3_11_keygen.exe
- Macrium_Reflect_Professional_5_2_6433_keygen.exe
- Magical_Diary_Horse_Hall_keygen.exe
- Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
- Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
- RadioSure_Pro_2_2_1004_0_keygen.exe
- Reg_Organizer_6_11_Final_Portable_keygen.exe
- The_Bat_Home_Edition_5_0_24_keygen.exe
- The_Precursors_1_1_keygen.exe
- Wolfram_Mathematica_9_keygen.exe
Trend Micro hat die Schadsoftware als TROJ_GATAK.FCK identifiziert. Lädt ein Nutzer diese Datei herunter und führt sie in dem Glauben aus, es sei ein Schlüsselgenerator, so legt der Schädling eine Datei im Verzeichnis %AppData% ab (ebenfalls TROJ_GATAK.FCK) und erzeugt einen entsprechenden Eintrag in der autostart-Registry.
Diese hinterlegte Datei gibt sich als legitime Datei mit Bezug zu Google Talk oder Skype aus. Alternativ nutzt sie den generischen Namen AdVantage.exe. Dann legt sie eine verschlüsselte Datei in ein nach dem Zufallsprinzip erzeugtes Verzeichnis unter %Application Data%\Microsoft ab. Diese wir später im Hauptspeicher entschlüsselt.
Die entschlüsselte Datei enthält Shell-Code und die URLs für das Herunterladen der Payload. Einige Varianten laden eine Image-Datei mit verschlüsseltem Code herunter. Das Bild scheint ein Foto aus Sri Lanka zu sein:
Bild. Heruntergeladenes Foto
Die Payload dieses Angriffs besteht aus gefälschter Antivirus-Software (FAKEAV), die wie üblich einen falschen Virus-Alert ausgibt und den Nutzer auffordert, für die Säuberung seiner Maschine zu zahlen. Diese Variante wurde als TROJ_FAKEAV.SMWV identifiziert.
Das Aufkommen gefälschter Antivirus-Software hat seit den Spitzenzeiten vor ein paar Jahren deutlich abgenommen (teils aufgrund des harten Vorgehens gegen die Zahlungssysteme). Danach tauchte die erste Polizei-Ransomware auf und vor nicht allzu langer Zeit CryptoLocker.
Trend Micro Smart Protection Network schützt Anwender vor dieser Bedrohung durch das Blockieren des Zugriffs auf alle damit verbundenen bösartigen URLs und verhindert das Herunterladen und Ausführen der verseuchten Dateien.