Frankfurt am Main, 23. März 2015

Die Analysten des IT-Sicherheitsspezialisten Doctor Web haben einen weiteren gefährlichen Backdoor-Trojaner BackDoor.Yebot entdeckt und analysiert. Die Schadsoftware infiziert Rechner mit dem Microsoft Windows Betriebssystem und ist in der Lage, vielfältige Funktionen zu übernehmen. Dazu gehören u.a.: Starten eines eigenen FTP- und Proxy-Servers, Datensuche basierend auf den Parametern von Cyber-Kriminellen, Protokollieren von Eingaben auf dem Keyboard (Keylogging) und das Anfertigen von Screenshots und deren Weiterleitung an einen Remote-Server.

BackDoor.Yebot nutzt zur Verbreitung einen anderen Trojaner, der in der Dr.Web Virendatenbank unter der Bezeichnung Trojan.Siggen6.31836 gelistet ist. Nachdem sich Letzterer gestartet hat, fügt er den Schadcode in Prozesse svchost.exe, csrss.exe, lsass.exe und explorer.exe ein. Anschließend wird eine Anfrage an den Remote-Server gesendet, der Trojaner BackDoor.Yebot heruntergeladen, installiert und automatisch gestartet. Danach wird BackDoor.Yebot entsprechend konfiguriert und übernimmt die Kontrolle über den infizierten Rechner. Besonderes Kennzeichen des Trojan.Siggen6.31836 ist, dass einige seiner Funktionen verschlüsselt sind. Diese werden nur bei der Installation entschlüsselt, wobei der Trojaner den Hauptspeicher blockiert und diesen danach wieder freigibt. Daneben prüft der Schädling, ob es im System eine virtuelle Workstation gibt, die mittels User Account Control (UAC) umgangen werden kann.

BackDoor.Yebot kann folgende Funktionen übernehmen:

• Starten eines FTP-Servers auf dem infizierten PC;
• Starten von Socks5 eines Proxy-Servers auf dem infizierten PC;
• Modifikation des RDP-Protokolls zur Sicherung eines Remotezugangs zum infizierten PC;
• Protokollierung der Eingaben auf dem Keyboard (Keylogging);
• Verbindungsaufbau zum infizierten PC für FTP, RDP und Socks5, sobald im Netz NAT verwendet wird;
• Abfangen von Daten nach PCRE (Perl Compatible Regular Expressions);
• Abfangen von Scard-Tokens;
• Einfügen fremder Inhalte in Webseiten;
• Abfangen von Systemfunktionen einstellen;
• Abhängig von der Konfigurationsdatei: Modifikation des Schadcodes des gestarteten Prozesses ;
• Interaktion mit anderen Modulen (Plug-Ins);
• Anfertigen von Screenshots;
• Nach privaten Schlüsseln im infizierten System suchen.

Zum Datenaustausch mit dem Verwaltungsserver verwendet BackDoor.Yebot sowohl das HTTP-Protokoll als auch ein proprietäres binäres Protokoll. Der Verwaltungsserver des Trojaners entwickelt ein unberechenbares Verhalten: er kann z.B. einerseits eine beliebige IP-Adresse in seine Blacklist aufnehmen, wenn über diese eine inkorrekte Anfrage gesendet wurde. Andererseits wird diese gesperrt, wenn die Anzahl von Anfragen von einer IP-Adresse übermäßig hoch ist.

Die Sicherheitsanalysten von Doctor Web nehmen an, dass Cyber-Kriminelle BackDoor.Yebot auch als Banken-Trojaner einsetzen, da er über universelle Funktionen verfügt und zu anderen Modulen kompatibel ist. Die Signaturen für BackDoor.Yebot und Trojan.Siggen6.31836 wurden bereits in die Virendefinitionsdatei aufgenommen. Deshalb sind alle Nutzer von Dr. Web Virenschutzlösungen optimal geschützt.