Trend Micro hat den Spambot "StealRat" in einem Forschungspapier analysiert und dabei insbesondere dessen ausgeklügelte Tarntechniken untersucht. Außerdem gibt der Security-Anbieter Tipps, wie sich der Schädling aufspüren und entfernen lässt. [...]
Der Spambot „StealRat“ ist an sich nicht neu und treibt wahrscheinlich bereits seit 2010 sein Unwesen, erläutert Trend Micro in einem Blog-Eintrag. Doch erst Ende 2012 gelang es den ersten Website-Betreibern zu entdecken, dass von ihren Sites aus Spam-Nachrichten verschickt wurden. Diese führen in den meisten Fällen direkt zu Porno-Seiten, enthalten manchmal aber auch kurze Auszüge aus der Science-Fiction-Serie „The Stainless Steel Rat“ von Harry Harrison und verdeckten damit den Bezug zu Porno- oder Potenzpillenangeboten – zumindest vorläufig. Die Nachrichten selbst werden in verschiedenen Sprachen wie Portugiesisch, Spanisch, Litauisch und Deutsch versendet.
Die für den Versand benötigten Spam-Daten wie Empfänger-Adresse, Name des Absenders, Vorlage der Spam-Nachricht und Backup-Mail-Server werden nicht direkt von der infizierten Website bei den Servern der Cyberkriminellen angefragt, sondern über infizierte Rechner, deren Anwender zuvor die kompromittierte Website besucht haben.
Website-Administratoren können die Infektion an den bösartigen PHP-Dateien erkennen, mit denen ihre Seiten infiziert wurden – und zwar über nicht geschlossene Sicherheitslücken in den verwendeten Content-Management-Systemen. Als besonders angreifbare und von „StealRat“ infizierte CMS-Systeme nennt Trend Micro nicht aktualisierte und gepatchte Versionen von „WordPress“, „Joomla“ und „Drupal“.
Prinzipiell gibt es zwei Möglichkeiten für die Website-Administratoren, die Infektion zu erkennen. Erstens können sie gezielt nach den bösartigen PHP-Dateien suchen, die in der Regel die Namen „sm13e.php“ und „sm14e.php“ aufweisen. Bei der letzteren handelt es sich um die aktuellste Version des Schädlings.
Da die PHP-Datei aber auch andere Bezeichnungen tragen kann, empfiehlt es sich, nach allen unbekannten und verdächtigen PHP-Dateien Ausschau zu halten und diese zu löschen. Um ganz sicher zu gehen, sollte aber auch nach den folgenden bösartigen Code-Elementen gefahndet werden:
- die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
- die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
Nach diesen Strings lässt sich laut Trend Micro unter Linux mit Hilfe des grep-Befehls grep „die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321“ /path/to/www/folder/ suchen, während unter Windows der Suchbegriff content:“die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″ lautet.
Trend Micro hat ein Forschungspapier zu dem Spambot „StealRat“ veröffentlicht (als PDF-Download), das die Funktionsweise sowie Einzelkomponenten dieser Bedrohung detailliert untersucht. (pi/rnf)
Be the first to comment