Wie arbeitet der Pushdo-Wurm?

Analyse einer Malware-Kampagne

"Trojan-Downloader", also Programme, die spezifischen Schadcode nachladen, gibt es viele. Besonders komplex und raffiniert ist aber die Pushdo-Familie. Pushdo-Varianten verbreiten sich unter anderem mit vorgeblichen Grußkarten-Mails. Wir geben Ihnen einen Einblick in die Malware.

Die Schädlingsfamilie "Pushdo" (so die Bezeichnung von Sophos) hat sich an der Spitze der weit verbreiteten Mail-Schädlinge etabliert, wie die neueste Malware-Hitliste von Sophos ausweist. Spam-artig verbreitete, vorgebliche Grußkarten-Mails sind neben Spam-Mails mit angeblichen Neuigkeiten über Britney Spears die wichtigsten Maschen, um diese Trojanischen Pferde unters Volk zu bringen. Joe Stewart von SecureWorks hat eine Analyse dieser Schädlingsfamilie veröffentlicht, in der er auf einige Besonderheiten eingeht.

Im Wesentlichen handelt es sich zunächst um einen so genannten "Trojan-Downloader", also um ein Programm, das weitere Malware aus dem Internet herunterlädt und installiert. Dazu kann auch ein "Wigon"-Rootkit zur Tarnung eines Spam-Bots aus der "Cutwail"-Familie gehören, der seinerseits von einem infizierten PC aus massenhaft Mails verschickt. Die Pushdo-Familie unterscheidet sich von den vielen anderen, oberflächlich ähnlichen Schädlingen vor allem durch eine ausgefeiltere Technik auf den Kontroll-Servern.

Ist ein Pushdo-Schädling (bei Symantec heißen sie "Pandex") aktiv, meldet er sich bei seinem Kontroll-Server an. Dies geschieht per HTTP auf Port 80, erscheint also in Firewall-Logs zunächst als normaler Webverkehr, wie er auch durch Browser verursacht wird. Die Anfrage an den Server enthält jedoch eine Reihe von speziellen Parametern, mit denen Informationen über den infizierten Rechner übertragen werden. Fehlen diese Parameter, stammt die Anfrage also nicht von der Malware, sondern von einem neugierigen Anwender oder Forscher, liefert der Server eine harmlose Webseite zurück.

Die Parameter geben Auskunft über die IP-Adresse des Rechners, die Seriennummer der Festplatte, das darauf gefundene Dateisystem (etwa NTFS bei Windows XP), die installierte Windows-Version und ob der Anwender als Administrator angemeldet ist. Der Server kann aus der IP-Adresse zumindest das Land ermitteln, in dem der befallene Computer steht. Je nach Land kann er dann unterschiedliche Malware ausliefern, etwa Trojanische Pferde, die auf bestimmte Banken spezialisiert sind.

Ferner erkennt er den Rechner an der Seriennummer der Festplatte ziemlich sicher wieder. Diese Seriennummer könnte jedoch auch, so Joe Stewarts Vermutung, zur Erkennung einer virtuellen Maschine dienen. Läuft der Schädling in einer VMware-Umgebung, lautet die Seriennummer der Festplatte etwa "00000000000000000001" oder einfach "00". Auf diese Weise fallen Rechner auf, die mutmaßlich in einem Antivirus-Labor stehen.

Ferner vergleicht der Pushdo-Schädling die Liste der laufenden Prozesse mit einer Liste ihm bekannter Prozessnamen von Antivirus-Programmen. Das Ergebnis sendet er an seinen Kontroll-Server, ohne jedoch wie andere Schädlinge diese Prozesse zu beenden. Fehlen in einer Statistik, die der Server führt, bestimmte Antivirus-Programme, kann der Programmierer daraus ableiten, welche Virenscanner seine Malware erkennen und stoppen. Er spart sich so den Aufwand eigener Scan-Durchläufe, um dies festzustellen.

Auf einem untersuchten Kontroll-Server hat Stewart über 400 Schädlinge aus diversen Malware-Familien gefunden. Daraus schließt er, dass die Macher von Pushdo, mutmaßlich gegen Entgelt, auch die Machwerke anderer Malware-Programmierer verbreiten. Das Cutwail-Botnet, das von den infizierten PCs gebildet wird, könnte bald dem des so genannten Sturm-Wurms Konkurrenz machen, der sich in diesem Jahr mehrere Monate lang ebenfalls mit Hilfe vorgeblicher Grußkarten-Mails ausgebreitet hat. (PC-Welt/mja)