Malware-Analyse

Backdoor.Lavandos - der Ultimative Keylogger?

Ein Trojanisches Pferd namens Backdoor.Lavandos, das auf Bankkunden abzielt, erweist sich bei näherer Betrachtung als recht raffiniert. Es kann mit Internet Explorer, Firefox sowie Opera umgehen und speichert seinen Treiber nicht auf der Festplatte.

sicherheit, malware, angriff, internet, schutz

© Archiv

Malware-Bedrohung

Trojanische Pferde, die sich als Keylogger betätigen, um an die Anmeldedaten von Bankkunden und FTP-Login-Daten zu gelangen, gibt es mittlerweile wie Sand am Meer. Wenn ein Antivirushersteller einem derartigen Schädling eine ausführliche Analyse widmet, muss dieser schon spezielle Qualitäten aufweisen. Dies ist bei Backdoor.Lavandos der Fall.Loredana Botezatu vom Antivirushersteller Bitdefender beschreibt Backdoor.Lavandos im Malware City Blog des Unternehmens ausgiebig. Der Schädling zielt vorwiegend auf Bankkunden in Russland und der Ukraine, sein Programmierer hat sich jedoch sehr viel Mühe gegeben, um unabhängig vom Standort des Rechners an die gewünschten Daten zu gelangen.Der Schädling bringt eine Treiberdatei und drei Programmbibliotheken mit. Je nach verwendetem Browser platziert Backdoor.Lavandos eine der DLLs als "setupapi.dll" im Programmverzeichnis des Internet Explorers, von Firefox oder Opera. Eine zweite DLL ersetzt eine vorhandene "sfcfiles.dll" im Verzeichnis C:\windows\system32\, wobei das Original verschlüsselt und in der Registry gespeichert wird. Original und Fälschung haben zudem die gleiche Dateigröße.Den Treiber legt der Schädling zunächst als "sfc.sys" in C:\windows\system32\drivers\ ab. Doch dort bleibt er nicht länger als unbedingt nötig. Backdoor.Lavandos speichert ihn als Binärwert in der Registry, um nicht von einem Virenscanner entdeckt zu werden. Die Browser-DLLs dienen dazu den Treiber zu aktualisieren und bei Bedarf in den Speicher zu laden.Der Schädling lädt außerdem weiter 15 DLLs aus dem Internet herunter, die alle "dll.dll" heißen und speichert sie ebenfalls in der Windows-Registry. Diese Programmbibliotheken dienen der Server-Kommunikation, als Keylogger und zur Manipulation von Transaktionen im Browser sowie in Banking-Software.Backdoor.Lavandos installiert kein Rootkit, kann jedoch durch die beschriebenen Maßnahmen verschiedene Windows-Funktionen unterlaufen, um Web-Browser und FTP-Software zu kompromittieren. Der Schädling tarnt seine Aktivitäten, indem er möglichst wenige Dateien auf die Festplatte schreibt und keine Kommunikation auf das Nötigste reduziert. Eine detaillierte technische Analyse von Cristina Vatamanu stellt Bitdefender in seinem Sicherheitscenter bereit.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…