Kritische Sicherheitslücken locken Trojanische Pferde an

[Lemmi]

Im Wochenbericht der 21. Kalenderwoche dreht sich alles um den Trojaner „1Table.A“ und seine beiden Angriffs- Kompagnons „Gusi.A“ und „Gusi.B“.

Eine vor kurzem entdeckte und noch nicht gepatchte Sicherheitslücke in der aktuellen Microsoft Windows Version öffnet ein Schlupfloch für den Trojaner „1Table.A“. Der Schädling erscheint in den Augen des Users als legitimes, rechtmäßiges Word Dokument oder als eine beliebige Microsoft Office Datei mit eingebautem Word Dokument, die nicht mit besonderer Vorsicht behandelt werden muss. Er verbreitet sich über E-Mail Anhänge, Downloads oder P2P-Netzwerke. Nachdem er sich über den bestehenden Sicherheitsfehler einen Zugangspunkt erschlichen hat, löst „1Table.A“ einen Buffer Overflow aus und übermittelt seinem Programmierer die Rechte des eingeloggten Users, die im besten Fall die Privilegien eines Administrators einbeziehen.

An diesem Punkt holt sich der Trojaner Verstärkung: Er schleust eine Variante des Backdoor Trojaners Gusi ein, der die weiteren Aktivitäten übernimmt.

Eines der beiden Gusi-Exemplare, die in Kombination mit „1Table.A“ auftreten, ist „Gusi.A“. Der Backdoor Trojaner injiziert sich in den Internet Explorer und versendet an seinen Programmierer Informationen zum infizierten Rechner, um dann entsprechende Befehle zur weiteren Vorgehensweise zu erhalten, wie z.B. das Öffnen der Windows Konsole (cmd.exe).
Eine weitere Aufgabe des Trojaners ist es, verschiedene Dateien zu erstellen. Neben der Datei „Winguis.dll“ im Windows System Unterordner legt er „Etport.sys“, „Ispubdrv.sys“ und „Rvdport.sys“ im Treiber Unterordner sowie die Datei „20060424.bak“ an. Eine Kopie seines eigenen Codes in dem „Applnit.dll“ Eintrag in der Windows Registry sorgt dafür, dass „Gusi.A“ bei jedem Neustart des befallenen Systems aktiviert wird.

Die zweite Gusi-Variante ist „Gusi.B“. Auch dieser Trojaner wird von „1Table.A“ über eine kritische, undokumentierte Microsoft Word Schwachstelle transportiert. Klares Anzeichen für die Präsenz des Backdoor Trojaners ist eine Fehlermeldung im Internet Explorer, wenn der Schädling keine offene Internet Verbindung finden kann. Beginnend mit dem Port 1032 öffnet „Gusi.B“ fortlaufend eine ganze Serie von Ports, um gesammelte Daten zu verschicken und Kommandos vom Malware-Programmierer zu erhalten. Dan injiziert er seinen Code in den Internet Explorer und verbindet sich mit der IP Adresse 222.9.X.X. Eingebaute Rootkit Techniken ermöglichen ihm ein verborgenes Handeln im befallenen PC. Auch „Gusi.B“ erstellt verschiedenen Dateien, wie „Zsydll.dll“ und „Zsyhide.dll“ im Windows System Unterordner sowie die Datei „20060426“.
Mit einem Registry Zugang in „Applnit.dll“ und in „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zsydll“ sichert sich der Eindringling eine Neuaktivierung bei jedem Systemstart.