BKA gelingt Schlag gegen Botnetzbetreiber

09.01.2015
G DATA Blog

Dem BKA ist ein Schlag gegen Online-Kriminelle gelungen, mit dem sie die Verbreitung des Dropperbot gestoppt haben. Der Schädling, der nach ersten Erkenntnissen weltweit 11.000 Rechner infiziert hatte, machte es sich bis zu seiner Entdeckung zur Hauptaufgabe, Daten von infizierten Rechnern zu stehlen. Rund die Hälfte der Infektionen wurde in Deutschland festgestellt. Nachdem die Täter dingfest gemacht wurden, geht es nun auch auf den PCs ans Aufräumen: G DATA stellt allen Computernutzern ein kostenloses und von eingesetzter AV-Software unabhängiges Tool zur Entdeckung und Entfernung des Dropperbot zur Verfügung.

So gelangte der Dropperbot auf den PC

Der Schadcode wurde in angeblich ungefährlichen Dateien im Usenet versteckt und verbreitet. So getarnt, handelte es sich in Wahrheit um ausführbare Dateien, die nach einem öffnenden Klick die Malware auf dem PC installierten. Benutzer, die die Anzeige der Dateierweiterungen nicht aktiviert haben, haben die Endung .exe nicht gesehen und sind durch die täterseitig genutzten Icons getäuscht worden.

Der initiale Schadcode: ein Downloader

Obwohl es eine Vielzahl der angeblichen Dateien im Umlauf gab, verbarg sich hinter allen der gleiche Schadcode, ein Downloader. Seine Hauptfunktion kann als „Download & Execute“ bezeichnet werden.

Zunächst einmal versucht die Malware, sich auf dem PC dauerhaft einzunisten, persistent zu werden, um auch nach einem Neustart des Rechners wieder aktiv zu sein. Dafür legt sie verschiedene Autostart-Einträge in der Registry an, abhängig davon, ob sie mit Administratorrechten oder ohne ausgeführt worden ist.

Die Hauptfunktion des Downloaders wird dann dazu genutzt, Verbindung zu einem vordefinierten Server aufzubauen, und von dort weitere (Schad-)Dateien nachzuladen. Die G DATA Schutztechnologien erkennen diesen Schädling. Der Signaturname lautet Win32.Trojan.DropperBot.A.

Der nachgeladene Schadcode: zwei Stealer

Den Experten der G DATA SecurityLabs sind aktuell zwei unterschiedliche Schaddateien bekannt, die durch den Downloader auf infizierte PCs nachgeladen werden konnten. Beide Dateien können als Stealer bezeichnet werden und haben als Hauptaufgabe das Abgreifen und Ausschleusen von Informationen von den infizierten Geräten.

Technisch sehr interessant ist der Fakt, dass beide Dateien getarnte .NET-Entwicklungen sind. Sie entschlüsseln und führen weitere nicht-.NET-Komponenten innerhalb des Speichers aus, ohne Dateien auf die Festplatte zu speichern. Dazu benutzen sie CMemoryExecute.dll. Diese Technik erschwert die Erkennung der Schaddateien durch Virensignaturen. Die G DATA Schutztechnologien erkennen diese beiden Schädlinge als Win32.Trojan-Stealer.DropperBot.B.

Stealer Nummer 1

Diese Schaddatei erinnert sehr stark an einen im Untergrund angebotenen Stealer, der bereits in vielen Versionen zum Klau von Daten eingesetzt wurde. Für rund 35 USD kann eine Variante des Stealers gekauft werden, der mit einer sehr breiten Palette an Funktionen aufwartet. Unter anderem kann er…

  • Social Media Plattformen wie Facebook, Google+ und Twitter überwachen.
  • durch vorgefertigte Module Passwörter aus populären E-Mail Clients und Browsern auslesen.
  • eWallets, zum Beispiel von Bitcoins, stehlen.
  • Screenshots des infizierten Rechners erstellen.
  • den PC auf vorhandene AV-Produkte untersuchen.
  • Informationen aus der Zwischenablage auslesen.
  • Keylogger-Funktionen nutzen, um alle Tastatureingaben mitzuschneiden.
  • verschiedene Funktionen und Kommandos auf dem infizierten PC unterbinden, z.B.:
  1. den Besuch von mit SSL verschlüsselten Webseiten.
  2. den Besuch von einigen Webseiten mit Sicherheitsinformationen.
  3. das Aufrufen des Windows Task Managers oder auch der Kommandozeile.

Die gestohlenen Daten werden an eine vordefinierte Adresse transferiert. Dabei werden Passwörter und andere textbasierte Daten als unverschlüsselte .txt-Dateien gespeichert und versendet.

Stealer Nummer 2

Dieser Stealer hat einige Ähnlichkeiten mit dem erstgenannten – so teilt er zum Beispiel die gleiche Verschlüsselungsstruktur und auch den gleichen Modulnamen. Seine Möglichkeiten sind nicht so umfangreich, wie die des Stealers Nummer 1, aber die Hauptfunktionen dieser Schaddatei sind:

  • Liest Namen und Passwörter aus den profile.ini Dateien von Firefox, Thunderbird und Seamonkey aus.
  • Stiehlt Zugangsdaten zu Mailkonten (POP3, IMAP, SMTP) und auch HTTP Benutzerdaten.
  • Liefert Backdoor-Funktionalitäten für die Angreifer.
  • Verändert die Host-Datei des PCs, um den Benutzer daran zu hindern, bestimmte Webseiten (z.B. Sicherheitskontext oder auch AV-Hersteller-Seiten) zu besuchen.
  • Stellt Verbindung zu vordefinierter IP her (z.B. um weiteren Code nachzuladen).

Das G DATA Dropperbot Cleaner Tool

Der G DATA Dropperbot Cleaner erkennt und beseitigt die Schadsoftware. Hierzu werden Autostarteinträge in der Registry, sowie der Dropperbot selbst identifiziert. Im Anschluss wird das System bereinigt. Bitte beachten Sie, dass dieses Tool nur eine bestehende Dropperbot-Infektion beseitigt. Da jedoch nicht ausgeschlossen werden kann, dass sich noch Kopien dieses Schadprogramms sowie weitere bösartige Software auf Ihrem System befinden, wird dringend die vollständige Untersuchung des Rechners mit einer umfassenden Sicherheitslösung empfohlen.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein