• 0761 40137 0
  • info@netcons-gmbh.de
  • Bötzinger Strasse 29A, 79111 Freiburg

Computervirus 2.0: Nostalgie trifft moderne Malware-Features in freier Wildbahn

ncalert content
Malware-Analysten haben einen ungewöhnlichen Schädling entdeckt, der eine alte Verbreitungstechnik aus der Mottenkiste holt.

Klassische Computerviren, die ihren Schadcode in – bereits auf dem System befindliche – ausführbare Dateien schreiben, haben seit der Jahrtausendwende kontinuierlich an Bedeutung verloren. Mittlerweile spielen sie überhaupt keine nennenswerte Rolle mehr im täglichen Malware-Geschehen, und der Begriff "Virus" wird vorrangig als Synonym für Schadsoftware im Allgemeinen verwendet.

Nun haben Malware-Analysten der Sicherheitssoftware-Firma Kaspersky allerdings eine ungewöhnliche Entdeckung gemacht: Einen auf Windows-Systeme abzielenden Schädling, der in freier Wildbahn unterwegs ist und sich zur Weiterverbreitung klassischer Datei-Infektionstechniken bedient.

Allerdings ist "KBOT", wenn auch von Kaspersky als Virus klassifiziert, ein ziemlich moderner Allrounder. Wie der Name bereits vermuten lässt, bindet er infizierte Rechner in ein Botnetz ein. Er kann von entfernten Command-and-Control-(C2)-Servern Befehle (etwa zum Löschen oder Senden von Dateien) empfangen und lädt Erweiterungsmodule und Aktualisierungen, aber auch eigenständige Malware (derzeit eine Spyware) nach. Die Ausführung einer infizierten EXE-Datei ist je System nur einmal notwendig, dient also nur der initialen Infektion.

Laut Kaspersky konzentriert sich KBOT derzeit vor allem auf den Diebstahl von Bank-, Kredit- und anderen sensiblen Daten. Dank eines (sehr zeitgemäßen) modularen Aufbaus und und der C2-Infrastruktur könnte sich KBOT aber auch problemlos auf andere "Spezialgebiete" verlegen.

Wie aus einem Blogeintrag des Kaspersky-Teams mit dem passenden Titel "KBOT: sometimes they come back" hervorgeht, gelangt der Schädling initial über das Internet, das lokale Netzwerk oder externe Datenträger auf die Rechner. Anna Malina, Senior Malware Analyst bei Kaspersky, erläuterte auf Anfrage von heise Security, dass KBOT, anders als im Blogeintrag beschrieben, nicht etwa sämtliche EXE-Dateien, sondern nur Dateien auf Wechseldatenträgern und in freigegebenen Netzwerkordnern infiziere. Insbesondere spare er Dateien aus, deren Infektion das Betriebssystem beschädigen könnte.

Wie viele seiner "Vorfahren" nutzt KBOT teils polymorphen Code, der bei jeder infizierten Datei ein wenig anders aussieht, um signaturbasierte Erkennungsmechanismen zu sabotieren. Er überschreibt damit den Anfang der Code-Section der jeweiligen EXE-Datei und hängt außerdem – zunächst verschlüsselten – Code an weitere Sections an. Dann überschreibt er den Programmcode am Einsprungspunkt der .exe und baut einen Sprungbefehl zum Virencode in der Code-Section ein. Auf diese Weise wird KBOTs Code beim Start einer infizierten Datei ausgeführt.

Der verschlüsselte Code wird zur Laufzeit entschlüsselt; er umfasst unter anderem die Bot-Funktionalität und bildet das Hauptmodul des Schädlings. KBOT injiziert diesen Code in laufende Systemprozesse, um unter dem Radar diverser Erkennungsmechanismen zu fliegen. Zudem trifft er zahlreiche weitere Vorkehrungen, um sich dauerhaft im System zu verankern, bei jedem Systemstart wieder ausgeführt zu werden und sich selbst nebst nachgeladene Dateien vor dem Nutzer zu verstecken. Wie genau das funktioniert, können Interessierte Kasperskys detailliertem Blogeintrag entnehmen.

Angesichts des vielschichtigen Versteckspiels, das der Schädling laut Kasperskys Blogeintrag betreibt, überrascht seine relativ plumpe Vorgehensweise bei der Dateiinfektion. Denn die von KBOT infizierten Dateien behalten ihre ursprüngliche Funktion nicht bei. "Nach dem Start der Datei sieht der Nutzer kein Ergebnis des Starts, [...] die schädliche Funktionalität wird für den Nutzer unsichtbar ausgeführt", erläuterte Malina gegenüber heise Security.

Dabei gibt es durchaus Infektionstechniken, die die ursprüngliche Funktionalität ausführbarer Dateien nicht beeinträchtigen. Frühere Viren lösten das etwa, indem sie ihren Code ans Ende der Datei hängten oder ihn in NULL-Bytes zwischen die Sections schrieben. Im ursprünglichen Programmcode genügten dann minimale Patches, um Schad- und ursprünglichen Code nacheinander ausführen zu können – unbemerkt vom Nutzer. Häufig war es gar möglich, die Dateien weitgehend wieder zu bereinigen. "Die Schöpfer von KBOT haben offenbar beschlossen, sich nicht auf diesen Aspekt zu konzentrieren", meint Malina dazu.

Angesichts der sonst gut durchdachten Vorgehensweise scheint es gut möglich, dass sich der Schädling in kommenden Varianten noch ein paar Tricks von seinen Vorfahren abgucken wird. Oder aber, dass seine Macher – wie so viele vor ihnen – von der Viren-Strategie wieder Abstand nehmen. Im derzeitigen Entwicklungsstadium dürften die scheinbar "kaputten" EXE-Dateien als Infektions-Relikte KBOTs Tarnung jedenfalls eher hinderlich als nützlich sein.

 

Quelle: heise.de