Der Trojaner wurde auf einer Webseite entdeckt, die von einer russischen Adresse registriert wurde und auf einem Server in den USA gehostet wird..
Der Angriff ist hoch komplex. Über eine Baumstruktur mit mehr als 19 Arten von Malware versucht SpamNet.A Junk Mails zu versenden. Zurzeit sind bereits 3 Millionen eMail Adressen weltweit, auch in Deutschland und Österreich, betroffen.
Panda Software hat die Unternehmen, die die Dateien und Webseiten hosten und die Hauptbestandteil dieses organisierten Angriffs sind bereits informiert.
Die Infektionskette beginnt mit dem Besuch der oben erwähnten Webseite. Die Seite nutzt einen Iframe tag um zwei neue Seiten zu öffnen. Das löst wiederum zwei parallele Prozesse aus:
Öffnet sich die erste der beiden Seiten werden 6 weitere Seiten mit pornografischen Inhalt geöffnet. Zusätzlich wird der User zu einer 7. Seite weitergeleitet, die den eigentlichen Angriff startet. Diese 7. Seite nutzt zwei mögliche Schwachstellen, Ani/anr und Htmredir aus, um ihre Angriffe zu starten. Ist der Angriff erfolgreich wird eine von zwei identischen Dateien installiert und ausgeführt: Web.exe oder Win32.exe.
1. Mit der Ausführung dieser Datei werden sieben Dateien auf dem infizierten System erstellt. Die erste Datei, die erstellt wird ist eine Kopie der ausführbaren Datei. Weitere sechs Dateien folgen:
Die ersten beiden sind identische Kopien von Downloader.DQY. Beide erstellen eine Datei namens svchost.exe im Betriebssystem, welche wiederum die Malware Downloader.DQW darstellt. Dieser gibt sich als Systemservice aus, der alle 10 Minuten versucht Dateien herunter zu laden und zu starten. Der Download soll von 4 verschiedenen Webadressen unterschiedliche Schädlinge herunterladen. Zwei Webseiten waren nicht erreichbar während dieser Artikel geschrieben wurde. Die Malware auf den anderen Seiten war:
i. Der Trojaner Multidropper.ARW
ii. Der Trojaner Sapilayr.A
b. Die 3. der insgesamt 6 Dateien lautet Adware/SpySheriff
c. Die 4. ist der Trojaner Downloader.DYB, der versucht die Computer ID ausfindig zu machen. Auf Rechnern aus dem UK lädt er Dialer.CHG herunter und startet ihn. Außerhalb der UK lädt er Dialer.CBZ herunter. Diese beiden Codes stellen teure Premiumverbindungen her.
d. Nr. 5: Downloader.CRY, erstellt zwei Dateien. Die erste lautet svchost.exe und wird im Verzeichnis: c:\windows\system erstellt. Die zweite lautet: Lowzones.FO.
e. Schließlich die 6. Datei: Downloader.EBY er erstellt weitere 6 Dateien:
i. Die erste ist ein Trojaner: Downloader.DLH. Nutzt eine andere Anwendung um eMail Adressen zu sammeln und via FTP an eine weitere Adresse zu versenden. Im Moment sind bereits 3 Millionen eMail Adressen erschlossen.
ii. Auch die zweite Datei ist ein Trojaner: Agent.EY. Er installiert sich selbst auf dem System und wird bei jedem Neustart mit aktiviert. Außerdem versucht er Zugriff auf eine Webseite zu bekommen, welche die IP des infizierten Systems auswertet um Informationen über die erfolgreichen Infizierungen zu erhalten.
iii. Die Dritte Datei ist Clicker.HA,. Diese Malware, er wartet nach seiner Ausführung 10 Minuten und öffnet dann alle 40 Sekunden eine Webseite mit pornografischem Inhalt.
iv. Die vierte ist Dialer.CBZ
v. Die fünfte lautet Adware/Adsmart
vi. Downloader.DSV ist Nummer 6. Der Trojaner lädt den Backdoor Trojaner Galapoper.C von einer bestimmten Adresse herunter. Galapoper.C führt schließlich die Hauptabsicht des ganzen Angriffs durch: Das Aussenden von Spam. Er überprüft ob eine offene Internetverbindung besteht, ist dies der Fall werden 3 in seinem Code verankerte Webseiten besucht und eine Datei herunter geladen. Diese ermöglicht personalisierte Angriffe und kann weitere Anleitungen oder Updates für den Backdoor Trojaner enthalten.
Galapoper.C prüft zuerst ob auf den drei zuvor genannten Webseiten neue Informationen verfügbar sind. Anschließend nutzt er die zweite Adresse um Spam-Mails, von dem infizierten System, zu versenden. Des Weiteren sammelt er Daten von dem Server (E-Mail Adressen, Betreffzeilen und Texte) die er für seine Spam Nachrichten nutzt. Dies geschieht alle 10 Minuten und jedes Mal wenn er 70.000 Spam-Mails versendet..
2. Die zweite der Seiten leitet den User zu einer anderen um, die versucht die ByteVerify Verwundbarkeit zum Ausführen einer Datei in einer URL auszunutzen. Zusätzlich wird eine weitere Seite aufgerufen, die einen HTML tag enthält, der zum Zeitpunkt dieses Artikels noch nicht abrufbar war.
Schließlich wird noch eine andere Seite aufgerufen, dessen Code von einer Javascript Funktion verdeckt wird. Hier wird die ADODB.Stream Funktion zum Überschreiben des Windows Media Players durch eine Datei von einer anderen Seite genutzt
Die Komplexität dieses Angriffs ist noch nie da gewesen. Luis Corrons, Director von PandaLabs: „Diese Attacke ist raffinierter als normalerweise. Nutzer von TruPrevent Technologie konnten ohne Signaturdatei geschützt werden doch die Zahl von 3 Millionen bereits erfassten eMail Adressen zeigt den Erfolg dieses Angriffs. Wie zurzeit immer wieder ist auch hier der finanzielle Vorteil das Hauptmotiv. Neben einer aktualisierten Anti-Viren Lösung ist ein System, dass auf dem neusten Stand ist wichtig, denn der Erfolg von SpamNet.A basiert größtenteils auf Sicherheitslücken im Betriebssystem.“
Mehr erfahren Sie auch unter: http://enterprises.pandasoftware.com/...
Im übersichtlichen HTML Format finden Sie den Artikel unter: http://www.panda-software.de/...