Backdoor.Lavandos - der Ultimative Keylogger?

[Christoph]

Zitat:

Ein Trojanisches Pferd namens Backdoor.Lavandos, das auf Bankkunden abzielt, erweist sich bei näherer Betrachtung als recht raffiniert. Es kann mit Internet Explorer, Firefox sowie Opera umgehen und speichert seinen Treiber nicht auf der Festplatte.

Trojanische Pferde, die sich als Keylogger betätigen, um an die Anmeldedaten von Bankkunden und FTP-Login-Daten zu gelangen, gibt es mittlerweile wie Sand am Meer. Wenn ein Antivirushersteller einem derartigen Schädling eine ausführliche Analyse widmet, muss dieser schon spezielle Qualitäten aufweisen. Dies ist bei Backdoor.Lavandos der Fall.

Loredana Botezatu vom Antivirushersteller Bitdefender beschreibt Backdoor.Lavandos im Malware City Blog des Unternehmens ausgiebig. Der Schädling zielt vorwiegend auf Bankkunden in Russland und der Ukraine, sein Programmierer hat sich jedoch sehr viel Mühe gegeben, um unabhängig vom Standort des Rechners an die gewünschten Daten zu gelangen.

Der Schädling bringt eine Treiberdatei und drei Programmbibliotheken mit. Je nach verwendetem Browser platziert Backdoor.Lavandos eine der DLLs als "setupapi.dll" im Programmverzeichnis des Internet Explorers, von Firefox oder Opera. Eine zweite DLL ersetzt eine vorhandene "sfcfiles.dll" im Verzeichnis C:\windows\system32\, wobei das Original verschlüsselt und in der Registry gespeichert wird. Original und Fälschung haben zudem die gleiche Dateigröße.

Den Treiber legt der Schädling zunächst als "sfc.sys" in C:\windows\system32\drivers\ ab. Doch dort bleibt er nicht länger als unbedingt nötig. Backdoor.Lavandos speichert ihn als Binärwert in der Registry, um nicht von einem Virenscanner entdeckt zu werden. Die Browser-DLLs dienen dazu den Treiber zu aktualisieren und bei Bedarf in den Speicher zu laden.

Der Schädling lädt außerdem weiter 15 DLLs aus dem Internet herunter, die alle "dll.dll" heißen und speichert sie ebenfalls in der Windows-Registry. Diese Programmbibliotheken dienen der Server-Kommunikation, als Keylogger und zur Manipulation von Transaktionen im Browser sowie in Banking-Software.

Backdoor.Lavandos installiert kein Rootkit, kann jedoch durch die beschriebenen Maßnahmen verschiedene Windows-Funktionen unterlaufen, um Web-Browser und FTP-Software zu kompromittieren. Der Schädling tarnt seine Aktivitäten, indem er möglichst wenige Dateien auf die Festplatte schreibt und keine Kommunikation auf das Nötigste reduziert. Eine detaillierte technische Analyse von Cristina Vatamanu stellt Bitdefender in seinem Sicherheitscenter bereit.

Quelle: http://www.magnus.de/news/backdoor-l...r-1049991.html