Frankfurt am Main, 23. März 2015
BackDoor.Yebot nutzt zur Verbreitung einen anderen Trojaner, der in der Dr.Web Virendatenbank unter der Bezeichnung Trojan.Siggen6.31836 gelistet ist. Nachdem sich Letzterer gestartet hat, fügt er den Schadcode in Prozesse svchost.exe, csrss.exe, lsass.exe und explorer.exe ein. Anschließend wird eine Anfrage an den Remote-Server gesendet, der Trojaner BackDoor.Yebot heruntergeladen, installiert und automatisch gestartet. Danach wird BackDoor.Yebot entsprechend konfiguriert und übernimmt die Kontrolle über den infizierten Rechner. Besonderes Kennzeichen des Trojan.Siggen6.31836 ist, dass einige seiner Funktionen verschlüsselt sind. Diese werden nur bei der Installation entschlüsselt, wobei der Trojaner den Hauptspeicher blockiert und diesen danach wieder freigibt. Daneben prüft der Schädling, ob es im System eine virtuelle Workstation gibt, die mittels User Account Control (UAC) umgangen werden kann.
BackDoor.Yebot kann folgende Funktionen übernehmen:
- Starten eines FTP-Servers auf dem infizierten PC;
- Starten von Socks5 eines Proxy-Servers auf dem infizierten PC;
- Modifikation des RDP-Protokolls zur Sicherung eines Remotezugangs zum infizierten PC;
- Protokollierung der Eingaben auf dem Keyboard (Keylogging);
- Verbindungsaufbau zum infizierten PC für FTP, RDP und Socks5, sobald im Netz NAT verwendet wird;
- Abfangen von Daten nach PCRE (Perl Compatible Regular Expressions);
- Abfangen von Scard-Tokens;
- Einfügen fremder Inhalte in Webseiten;
- Abfangen von Systemfunktionen einstellen;
- Abhängig von der Konfigurationsdatei: Modifikation des Schadcodes des gestarteten Prozesses ;
- Interaktion mit anderen Modulen (Plug-Ins);
- Anfertigen von Screenshots;
- Nach privaten Schlüsseln im infizierten System suchen.
Zum Datenaustausch mit dem Verwaltungsserver verwendet BackDoor.Yebot sowohl das HTTP-Protokoll als auch ein proprietäres binäres Protokoll. Der Verwaltungsserver des Trojaners entwickelt ein unberechenbares Verhalten: er kann z.B. einerseits eine beliebige IP-Adresse in seine Blacklist aufnehmen, wenn über diese eine inkorrekte Anfrage gesendet wurde. Andererseits wird diese gesperrt, wenn die Anzahl von Anfragen von einer IP-Adresse übermäßig hoch ist.
Die Sicherheitsanalysten von Doctor Web nehmen an, dass Cyber-Kriminelle BackDoor.Yebot auch als Banken-Trojaner einsetzen, da er über universelle Funktionen verfügt und zu anderen Modulen kompatibel ist. Die Signaturen für BackDoor.Yebot und Trojan.Siggen6.31836 wurden bereits in die Virendefinitionsdatei aufgenommen. Deshalb sind alle Nutzer von Dr. Web Virenschutzlösungen optimal geschützt.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare