E-Mail-Wurm zergliedert Wurm-Anatomie – Schadcode-Routinen von „Here you have“ im Detail

Redakteur: Stephan Augsten

Anfangs erinnerte der E-Mail-Wurm „Here you have“ stark an die „Anna Kournikova“-Virusepidemie, die circa zehn Jahre zurück liegt. Doch nun gibt es neue Erkenntnisse über den Aufbau und mögliche Ziele von „Here you have“. Auch wenn der Wurm eine breite Masse von E-Mail-Empfängern erreichte, war er ursprünglich wohl gar nicht dafür gedacht.

Anbieter zum Thema

Anfang September diesen Jahres verbreitete sich der „Here you have“-Wurm wie ein Lauffeuer über viele Systeme. Unter anderem waren auch größere Konzerne wie Google, Coca-Cola und die NASA betroffen. Damit war auf einen Schlag die Annahme widerlegt, dass sich ein solcher Wurm in der heutigen Zeit nicht schnell verbreiten könne.

Der Wurm wurde mitunter per Link in einer Spam-E-Mail versandt und führte zu einer in „pdf.src“ umbenannten exe-Datei. Befallene Systeme versandten Kopien an Kontakte aus dem Adressbuch per E-Mail oder Messenger. Jedoch war zu diesem Zeitpunkt nicht bekannt, welche Funktionen hinter den Schadcode-Routinen steckten, die das System nach einer erfolgreichen Infektion nachgeladen hatte.

Sicherheitsforscher von Trend Micro konnten in der Binärdatei des E-Mail-Wurms Login-Informationen für Gmail-Konten finden, die nun deaktiviert sind. Diese Informationen verhalfen zu weiteren Erkenntnissen.

Nachgeladene Funktionen unter der Lupe

Nach einer Infektion eines Systems wurden verschiedene, nicht als bösartig eingestufte Programme von einem zentralen Ort heruntergeladen. Diese können jedoch für bösartige Angriffe genutzt werden. Die so erhaltenen Programme werden für folgende drei Routinen eingesetzt:

  • PSEXEC: Der „Here you have“-E-Mail-Wurm versucht, von dem infizierten System aus, sich im gesamten Netzwerk weiter zu verbreiten. Hierfür nutzt er die heruntergeladene „PSEXEC.exe“. In der Vergangenheit haben Beispiele wie der Ilomo-Wurm schon gezeigt, dass das eine sehr effiziente Art der Weiterverbreitung ist.
  • Password Stealer: Der Wurm lädt Programme herunter, die sämtliche in Browsern und Messengern gespeicherten Zugangsdaten während der Verwendung ausliest und speichert. Aus diesen Login-Informationen erstellt der Wurm eine „.dlm“ Datei im Windows Verzeichnis.
  • Bifrose bzw. Bifrost: Als Letztes lädt sich der Wurm einen funktionsreichen, auf Bifrose beziehungsweise Bifrost basierenden Trojaner herunter. Dieser Trojaner ist stark verbreitet und dank seiner einfachen Bedienung sehr beliebt.

Zur weiteren Analyse nutzten die AV Researcher einen Bifrose/Bifrost-kompatiblen Command & Control Server, mit dem sie die Kommunikation infizierter Systeme abfangen konnten.

Was war das Ziel dieses Wurms?

Laut den Angaben aus dem Trend-Micro Blog, war „Here you have“ ein gezielter Angriff auf die HR-Abteilungen von Behörden wie der Afrikanischen Union oder der NATO. Da anscheinend die „klassische“ Verteilungsmethode jedoch so erfolgreich war, wurde aus diesem gezielten Angriff für einen gewissen Zeitraum ein weltweites Spam-Problem. Somit gestaltete sich die Attacke wahrscheinlich viel breiter als geplant.

(ID:2048040)