Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum

Ihre Anfragen

  • Alle:
  • Offen:
  • Letzte Anfrage: -

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Dr.Web entdeckt neuen Trojaner für Windows-Benutzer: BackDoor.Yebot

Frankfurt am Main, 23. März 2015

Die Analysten des IT-Sicherheitsspezialisten Doctor Web haben einen weiteren gefährlichen Backdoor-Trojaner BackDoor.Yebot entdeckt und analysiert. Die Schadsoftware infiziert Rechner mit dem Microsoft Windows Betriebssystem und ist in der Lage, vielfältige Funktionen zu übernehmen. Dazu gehören u.a.: Starten eines eigenen FTP- und Proxy-Servers, Datensuche basierend auf den Parametern von Cyber-Kriminellen, Protokollieren von Eingaben auf dem Keyboard (Keylogging) und das Anfertigen von Screenshots und deren Weiterleitung an einen Remote-Server.

BackDoor.Yebot nutzt zur Verbreitung einen anderen Trojaner, der in der Dr.Web Virendatenbank unter der Bezeichnung Trojan.Siggen6.31836 gelistet ist. Nachdem sich Letzterer gestartet hat, fügt er den Schadcode in Prozesse svchost.exe, csrss.exe, lsass.exe und explorer.exe ein. Anschließend wird eine Anfrage an den Remote-Server gesendet, der Trojaner BackDoor.Yebot heruntergeladen, installiert und automatisch gestartet. Danach wird BackDoor.Yebot entsprechend konfiguriert und übernimmt die Kontrolle über den infizierten Rechner. Besonderes Kennzeichen des Trojan.Siggen6.31836 ist, dass einige seiner Funktionen verschlüsselt sind. Diese werden nur bei der Installation entschlüsselt, wobei der Trojaner den Hauptspeicher blockiert und diesen danach wieder freigibt. Daneben prüft der Schädling, ob es im System eine virtuelle Workstation gibt, die mittels User Account Control (UAC) umgangen werden kann.

BackDoor.Yebot kann folgende Funktionen übernehmen:

  • Starten eines FTP-Servers auf dem infizierten PC;
  • Starten von Socks5 eines Proxy-Servers auf dem infizierten PC;
  • Modifikation des RDP-Protokolls zur Sicherung eines Remotezugangs zum infizierten PC;
  • Protokollierung der Eingaben auf dem Keyboard (Keylogging);
  • Verbindungsaufbau zum infizierten PC für FTP, RDP und Socks5, sobald im Netz NAT verwendet wird;
  • Abfangen von Daten nach PCRE (Perl Compatible Regular Expressions);
  • Abfangen von Scard-Tokens;
  • Einfügen fremder Inhalte in Webseiten;
  • Abfangen von Systemfunktionen einstellen;
  • Abhängig von der Konfigurationsdatei: Modifikation des Schadcodes des gestarteten Prozesses ;
  • Interaktion mit anderen Modulen (Plug-Ins);
  • Anfertigen von Screenshots;
  • Nach privaten Schlüsseln im infizierten System suchen.

Zum Datenaustausch mit dem Verwaltungsserver verwendet BackDoor.Yebot sowohl das HTTP-Protokoll als auch ein proprietäres binäres Protokoll. Der Verwaltungsserver des Trojaners entwickelt ein unberechenbares Verhalten: er kann z.B. einerseits eine beliebige IP-Adresse in seine Blacklist aufnehmen, wenn über diese eine inkorrekte Anfrage gesendet wurde. Andererseits wird diese gesperrt, wenn die Anzahl von Anfragen von einer IP-Adresse übermäßig hoch ist.

Die Sicherheitsanalysten von Doctor Web nehmen an, dass Cyber-Kriminelle BackDoor.Yebot auch als Banken-Trojaner einsetzen, da er über universelle Funktionen verfügt und zu anderen Modulen kompatibel ist. Die Signaturen für BackDoor.Yebot und Trojan.Siggen6.31836 wurden bereits in die Virendefinitionsdatei aufgenommen. Deshalb sind alle Nutzer von Dr. Web Virenschutzlösungen optimal geschützt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt