Trojaner mit Maske: Bitdefender warnt vor arglistigem DLL-Klon
Archivmeldung vom 02.03.2012
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 02.03.2012 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittAntivirenspezialist Bitdefender hat eine neue Malware namens Trojan.Dropper.UAJ erkannt. Der Trojaner nutzt Sicherheitslücken in Windows-Codes clever aus, indem er sich entgegen bisher bekannter E-Threats mit dem identischen Namen der originalen DLL-Datei quasi maskiert. DLL-Dateien sind Programmbibliotheken in Windows und enthalten unter anderem Codes, Daten und Ressourcen. Internetkriminelle können somit die Daten des Nutzers unbemerkt manipulieren und dessen Kontrollverlust herbeiführen.
Bisher wurden Viren, Würmer und Trojaner, die sich in den Startup-Listen einnisteten, von Antiviren-Lösungen schnell erkannt, da sie lediglich eine Kopie von sich selbst erstellten. Der aktuelle Schädling Trojan.Dropper.UAJ kopiert jedoch die Original-Datei und setzt sich somit eine Art Maske auf. Somit führt er unbemerkt den Absturz des Windows-Betriebssystems herbei. Der Code der übernommenen DLL-Datei kann im System Benutzer hinzufügen oder löschen, Passwörter ändern sowie Berechtigungen und Dateien entfernen. Eine weitreichende Plattform erhält der Dropper dabei durch das Hijacking der Code-Bibliothek „comres.dll“ – verwendet in gängigen Internetbrowsern, Communicate Apps oder Netzwerk-Tools.
Die Vorgehensweise des Trojaners
Der Trojaner ergänzt den DLL-Klon mit einer zerstörerischen Funktion, die zu einem Malware-Befall im System führen kann. Die Malware legt das DLL-Plagiat im entsprechenden Windows- Ordner ab. Anschließend importiert der Trojaner die DLL-Datei in die feindlich übernommene Quellcode-Archivierung „comres.dll“. Dort droppt der Schädling die von Bitdefender als Backdoor Zxshell B identifizierte Datei “prfn0305.dat“. Mit diesem Schritt beginnt er die Kompromittierung, da durch das Verändern der Codes sämtliche Anwendungen zum Ausführen der E-Threats quasi gezwungen werden. Die Malware befällt das System ganzheitlich, sobald comres.dll aufgerufen wird.
Die vom Trojan.Dropper.UAJ betroffenen Betriebssysteme sind Windows 7, Windows Vista, Windows 2003 oder Windows NT in 32- und 64-Bit-Umgebungen.
Quelle: Bitdefender GmbH