Kraken-Variante nutzt neueste Methoden, um eine Erkennung zu umgehen

Analyse und Algorithmus des Computerschädlings, der neue Verfahren nutzt, um seine Entdeckung zu vermeiden

(13.05.08) - Spezialisten des australischen Anbieters von Sicherheitssoftware PC Tools haben eine neue Variante des Kraken-Bots "Bobax" entdeckt und den Quellcode seiner Schlüsselkompo-nenten öffentlich zugänglich gemacht. Unter einem Bot versteht man eine weitgehend autonom arbeitende Computersoftware. Die Kraken-Variante nutzt neueste Methoden, um eine Erkennung zu umgehen. Daher schätzt PC Tools den Kraken als sehr gefährlich ein.

"Wir haben nicht nur sämtliche Details der Kraken-Variante entschlüsselt, sondern auch die neue Liste der Domain-Namen und den mathematischen Algorithmus", sagt Sergei Shevchenko, leitender Malware-Experte bei PC Tools. "Wir haben den Quellcode des Algorithmus, der Domain-Namen generiert, veröffentlicht, damit auch andere Sicherheitsspezialisten von diesem Wissen über den Bot profitieren. Je mehr Kenntnisse die Anbieter von Sicherheitssoftware über diesen Schädling haben, desto größer sind die Chancen, ihn zu bezwingen."

Den Malware-Forschern von PC Tools zufolge wird der Bot von traditioneller, signaturbasierter Sicherheitssoftware kaum erkannt. Der Schädling macht sich flexibel neue Techniken zunutze, die zum Beispiel "Zufallsfaktoren" nutzen, um sich unvorhersehbar ins Rechnersystem einzuschleichen - was seine Verbreitungsrate stark erhöht.

Erstmals abgefangen und blockiert wurde die aktuelle Kraken-Variante von ThreatFire, der verhaltensbasierten Sicherheitssoftware von PC Tools. ThreatFire leitete das Muster des Schädlings (Sample) zur genauen Untersuchung an das automatische Analysesystem ThreatExpert weiter. ThreatExpert erkannte das bösartige Verhalten und die neuartigen Funktionen des Schädlings und alarmierte die Malware-Forscher bei PC Tools.

Weitere Analysen ergaben, dass sich die Schädlingsvariante über "http" (die "Sprache", mit deren Hilfe Web Browser mit Webseiten kommunizieren) mit den Kontrollzentren "verständigt", um Sicherheitssysteme wie Firewalls umgehen zu können. Der Bot nutzt pseudo-zufällige dynamische DNS-Namen mit einer variablen Länge von sieben bis zwölf Zeichen, die mit einer Domain-Endung wie zum Beispiel dyndns.org, yi.org, mooo.com, dynserv.com, com, cc oder net versehen sind. Die Befehle und die Daten, die der Bot mit dem Kontrollzentrum austauscht, sind verschlüsselt. Der Schädling nutzt zudem wahllos ausgewählte Scheinnamen ("Bogus-Header"), um sich dem Firewall-Radar zu entziehen.

Die Besonderheit des Bots besteht in einem Zufalls-Wortgenerator, mit dem der Schädling Scheinnamen und zufällige URLs erstellt. Der Krake ist dadurch in der Lage, Worte mit exakt passenden Vokalen und Konsonanten zu bilden. Das interne Regelsystem diktiert dem Schädling, wann er zufällige Vokale und Konsonanten aussuchen soll. Das generierte Wort wird durch eine Endung vervollständigt, die der Bot aus einer Liste mit 33 bekannten englischen Substantiven, Verben, Adjektiven oder Adverben auswählt, wie beispielsweise -able, -dom, -hood, -ment, -ship, -ly oder -ency.

"Womit wir es hier zu tun haben, ist ein künstlicher englischsprachiger Wortgenerator, der grammatikalischen Regeln folgt und Wörter produziert, die der englischen Sprache ähneln", erklärt Sergei Shevchenko. "Der Zufalls-Generator wurde so programmiert, dass er selbst diejenigen Spam-Filter und Algorithmen umgehen kann, die zufällige Wortbildungen normalerweise anhand von ungewöhnlichen Zeichenkombinationen erkennen." Wenn ein Algorithmus zufällige Wörter nicht von "echten" unterscheiden kann, wird der Schädling weder erkannt noch blockiert.

Das automatische Analysesystem ThreatExpert lieferte auch Anhaltspunkte darüber, wie der Krake Computer infizieren kann: Die Untersuchungen durch ThreatExpert deuten darauf hin, dass der Schädling in manchen Fällen über den MSN-Messenger verbreitet wurde. Die Nachrichten beinhalteten einen angehängten ZIP- oder RAR-File mit einem Namen, der Zeichenfolgen beinhaltet wie "pic_[zufällige Nummer].jpeg", "picture_[zufällige Nummer]_.jpeg" oder "album[zufällige Nummer].jpeg". Die Malware-Experten von PC Tools verzeichneten allein in den letzten 24 Stunden Computerinfektionen durch den Kraken in folgenden Ländern: Italien, Türkei, Norwegen, Mazedonien, Puerto Rico, Thailand, Dominikanische Republik, Neuseeland, Rumänien, USA, Jamaika, Griechenland, Mexiko, Marokko, Panama, Großbritannien, Ecuador, Argentinien, Schweden, Serbien, Kasachstan, Algerien, Uruguay, Libanon, Jordanien, Antigua und Barbuda, Bosnien und Herzegowina. "Ihre neuen Techniken machen die Kraken-Variante zu einem sehr gefährlichen Schädling", sagt Shevchenko. "Einen solchen Bot kann man nur durch ein ausgefeiltes Analyse- und Sicherheitssystem ausschalten." (PC Tools: ra)