E-Mail-Wurm zergliedert

Wurm-Anatomie – Schadcode-Routinen von „Here you have“ im Detail

29.10.2010 | Redakteur: Stephan Augsten

Da war der Wurm drin: Für den Massenversand war „Here you have“ vermutlich gar nicht gedacht.
Da war der Wurm drin: Für den Massenversand war „Here you have“ vermutlich gar nicht gedacht.

Anfangs erinnerte der E-Mail-Wurm „Here you have“ stark an die „Anna Kournikova“-Virusepidemie, die circa zehn Jahre zurück liegt. Doch nun gibt es neue Erkenntnisse über den Aufbau und mögliche Ziele von „Here you have“. Auch wenn der Wurm eine breite Masse von E-Mail-Empfängern erreichte, war er ursprünglich wohl gar nicht dafür gedacht.

Anfang September diesen Jahres verbreitete sich der „Here you have“-Wurm wie ein Lauffeuer über viele Systeme. Unter anderem waren auch größere Konzerne wie Google, Coca-Cola und die NASA betroffen. Damit war auf einen Schlag die Annahme widerlegt, dass sich ein solcher Wurm in der heutigen Zeit nicht schnell verbreiten könne.

Der Wurm wurde mitunter per Link in einer Spam-E-Mail versandt und führte zu einer in „pdf.src“ umbenannten exe-Datei. Befallene Systeme versandten Kopien an Kontakte aus dem Adressbuch per E-Mail oder Messenger. Jedoch war zu diesem Zeitpunkt nicht bekannt, welche Funktionen hinter den Schadcode-Routinen steckten, die das System nach einer erfolgreichen Infektion nachgeladen hatte.

Sicherheitsforscher von Trend Micro konnten in der Binärdatei des E-Mail-Wurms Login-Informationen für Gmail-Konten finden, die nun deaktiviert sind. Diese Informationen verhalfen zu weiteren Erkenntnissen.

Nachgeladene Funktionen unter der Lupe

Nach einer Infektion eines Systems wurden verschiedene, nicht als bösartig eingestufte Programme von einem zentralen Ort heruntergeladen. Diese können jedoch für bösartige Angriffe genutzt werden. Die so erhaltenen Programme werden für folgende drei Routinen eingesetzt:

  • PSEXEC: Der „Here you have“-E-Mail-Wurm versucht, von dem infizierten System aus, sich im gesamten Netzwerk weiter zu verbreiten. Hierfür nutzt er die heruntergeladene „PSEXEC.exe“. In der Vergangenheit haben Beispiele wie der Ilomo-Wurm schon gezeigt, dass das eine sehr effiziente Art der Weiterverbreitung ist.
  • Password Stealer: Der Wurm lädt Programme herunter, die sämtliche in Browsern und Messengern gespeicherten Zugangsdaten während der Verwendung ausliest und speichert. Aus diesen Login-Informationen erstellt der Wurm eine „.dlm“ Datei im Windows Verzeichnis.
  • Bifrose bzw. Bifrost: Als Letztes lädt sich der Wurm einen funktionsreichen, auf Bifrose beziehungsweise Bifrost basierenden Trojaner herunter. Dieser Trojaner ist stark verbreitet und dank seiner einfachen Bedienung sehr beliebt.

Zur weiteren Analyse nutzten die AV Researcher einen Bifrose/Bifrost-kompatiblen Command & Control Server, mit dem sie die Kommunikation infizierter Systeme abfangen konnten.

Was war das Ziel dieses Wurms?

Laut den Angaben aus dem Trend-Micro Blog, war „Here you have“ ein gezielter Angriff auf die HR-Abteilungen von Behörden wie der Afrikanischen Union oder der NATO. Da anscheinend die „klassische“ Verteilungsmethode jedoch so erfolgreich war, wurde aus diesem gezielten Angriff für einen gewissen Zeitraum ein weltweites Spam-Problem. Somit gestaltete sich die Attacke wahrscheinlich viel breiter als geplant.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2048040 / Malware)