Raffinierter Rootkit-Wurm öffnet Backdoor mittels Skype

13. Mai 2010
Reiner Backer Von Reiner Backer, Windows, Hardware, Linux ...

Raffinierter Rootkit-Wurm öffnet Backdoor mittels Skype

Nach dem kürzlichen Angriff durch Palevo sorgt nun ein weiterer Instant Messenger(IM)-Wurm für Aufsehen. Wie Sicherheitsexperte BitDefender herausfand, trifft es dieses Mal die Nutzer des VoIP-/IM-Dienstes Skype. Diese erhalten während eines laufenden Chats plötzlich eine Nachricht mit einem Link, der angeblich zu einem Foto des Users persönlich führt. Hinter dem Link versteckt sich jedoch der Wurm Backdoor.Tofsee, der mit mehreren raffinierten Methoden versucht, Cyberkriminellen die Hintertür zu fremden PCs zu öffnen. Dazu deaktiviert er unter anderem Antivirusprogramme und Removal-Tools.

Der Wurm setzt auf klassisches Social Engineering, um den Benutzer dazu zu bringen, dem Link zu folgen, und ihn so in die Falle zu locken. So erkennt er die lokalen Systemeinstellungen (Land, Sprache, Aufenthaltsort) und spricht den User via Instant Message in der entsprechenden Landessprache an. Der Wurm "spricht" neben Deutsch und Englisch auch Spanisch, Italienisch, Niederländisch und Französisch. Die einzelnen Nachrichten unterscheiden sich dabei stets von den vorherigen, da sie ständig via Fernzugriff durch den Cyberkriminellen geändert werden.

Hinzu kommt, dass die Nachrichten ausschließlich während laufenden Konversationen des Anwenders mit einem seiner Skype-Kontakte versendet werden. Das soll die Glaubwürdigkeit der Messages erhöhen. Folgt der Nutzer dem infizierten Link, gelangt er auf eine gefälschte Rapidshare-Website. Fährt er mit dem Downloadprozess fort, erhält der User eine Datei mit der Bezeichnung "NewPhoto024.JPG.zip". Extrahiert das Opfer diese Datei, wird eine .exe-Datei angezeigt mit dem trügerischen Namen: "NewPhoto024.JPG_www.tinyfilehost.com"; eine Täuschung, denn die Endung "com" deutet zwar auf eine Website hin, verbirgt jedoch eine DOS-Anwendung, durch die sich der Wurm im System einnistet.

Um sich auf dem Betriebssystem zu verstecken, installiert der Wurm zusätzlich einen Rootkit-Treiber. Dieser versteckt alle Dateien, die auf eine Infektion von Backdoor.Tofsee schließen lassen. Zusätzlich überwacht er die Internetaktivitäten des PC-Nutzers und verhindert den Zugriff auf Websites von Sicherheitssoftware-Anbietern, Online-Scannern, Support-Foren und Windows Update-Seiten. Nicht zuletzt verhindert der Schädling auch den Zugriff auf populäre Download-Portale, die Removal-Tools anbieten.

Nachdem Backdoor.Tofsee auf diese Weise erfolgreich das System kompromittiert hat, fügt er einen eigenen Autostart-Eintrag in der Windows Registry hinzu. Dies ermöglicht ihm, Kopien von sich selbst auf Wechseldatenträgern, wie z.B. USB-Sticks, zu erstellen. Zudem deaktiviert er die Windows-Firewall und befähigt es so einen Remote-Angreifer, sich mit der Backdoor-Komponente des Wurms zu verbinden. Um die Katastrophe für das Opfer perfekt zu machen, verhindert die Rootkit-Komponente die Installation von sämtlichen Antiviruslösungen

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"