Dmitry Bestuzhev von Kaspersky hat vor einiger Zeit einen Artikel darüber geschrieben wie die Bank-Trojaner in Brasilien funktionieren.Nun versuchen die Programmiere ihr Techniken mit neuen Entschlüsselungstaktiken zu verbessern.Dmitry Bestuzhev hat dazu ein Sample bearbeitet welches zeigt das der Underground seine Fähigkeiten zu verbessern und die Komplexität ihrer Methoden zur Infizierung von Computern permanent erhöht.
Der Ansatz ist noch der gleiche.
Versenden einer betrügerischen E-Mail mit einem Link zu einer infizierten Webseite ----> Download und Ausführen des ersten Trojaner-Downloader ----> Download und Installation der Bank-Trojaner
Die Brasilianischen Programmierer verbergen den Download-Link unter Verwendung mehrerer Techniken und andererseits entschlüsseln sie nun auch den Bank-Trojaner, der auf das System geladen werden soll.
Erkennt der Anwender den betrügerischen Link und versucht den dahinterliegenden Trojaner herunterzuladen,bekommt er folgendes Bild zu sehen.
Hier handelt es sich um eine Speziell entschlüsselte PE-Datei.Die Programmierer aus Brasilien wollen damit einer automatisierten Malware-Analyse durch AV-Unternehmen umgehen.Das vom Server heruntergeladene Sample funktioniert solange nicht bis es vom ersten Trojaner-Downloader mit dem Entschlüsselungs-mechanismus Entschlüsselt wird.
Nach der Entschlüsselung ist der Bank-Trojaner als Ausführungsprogramm (PE-Datei) zu erkennen und kann das System Infizieren.
Kaspersky Antivirus erkannte das Sample als Trojan-Banker.Win32.Banker.aumz und konzentriert seine Angriffe auf die Kunden der drei größten Banken Brasiliens.
Quelle: http://www.viruslist.com
08.04.2010 15:21 Uhr