URLzone räumt Konten ab

Infektion und Vorbereitung

Wie nahezu jede moderne Malware setzt auch URLzone auf ein Botnet mit zentralisierter Verwaltung. Um Teil des Netzes zu werden, wird ein neuer Client zunächst infiziert. Wie die digitalen Schädlinge auf den Rechner kommen, spielt dabei keine Rolle. Möglich ist etwa auch, dass ein bereits installiertes Schadprogramm die entsprechenden Daten nachlädt. Dazu gibt es einen richtiggehenden Servicemarkt in der Szene der Malware-Schreiber, wie Symantec in einem Underground-Report vom November 2008 beschreibt (PDF-Download)

Nach der Infektion kopiert sich die Malware nach c:\uninstall02.exe und erstellt eine ID-Nummer. Danach nimmt das Programm Kontakt zu einem Command & Controll (C&C)-Server auf. Hier meldet URLzone die neu infizierte Maschine und die ID an. Dadurch behält der Server den Überblick über infizierte Rechner und welche Version der Malware auf ihnen läuft. Auf dem Rechner erstellt URLzone anschließend einen neuen versteckten Prozess und kopiert die Daten in den System32-Ordner von Windows.

Die eigentliche Intelligenz steckt bei Bebloh im C&C-Server. Dieser erstellt Konfigurationsdateien, die anschließend an die infizierten Clients übertragen werden. Diese Dateien enthalten Anweisungen, wie sich die infizierte Maschine zu verhalten hat, und sind meist verschlüsselt.

Bebloh trägt sich anschließend in die Windows-Registry ein und erstellt einen Autostart-Eintrag. Doch damit nicht genug: Die Malware fügt sich noch mit einem Debugger-Wert in die Datei userinit.exe hinzu. Diese Datei ist Teil von Windows und regelt die Benutzeranmeldung. Sie wird automatisch beim Start von Windows ausgeführt. Hat URLzone die Datei erfolgreich infiziert, wird auch die Malware mit jedem Boot-Vorgang gestartet.

Um auf dem Laufenden zu bleiben, manipuliert Bebloh zusätzlich die Datei svchost.exe. Diese wird anschließend dazu genutzt, alle drei Stunden beim Kontroll-Server nachzufragen, ob neue Informationen oder Anweisungen vorliegen.