Die Forscher Franklin Zhao und Jason Zhou des Sicherheitsunternehmens AVG berichten auf ihrem Blog von einer Begegnung der besonderen Art. [...]
Während der Analyse eines Trojaners wurden sie per Chatfenster von dessen Entwickler überrascht, berichten sie auf http://blogs.avg.com/news-threats/chatted-hacker-virus/. Dieser ließ sich nicht lange narren und drehte den Schnüfflern schließlich Kraft seiner eigenen Erfindung das System ab.
Eigentlich hätte es ein Tag wie viele andere werden sollen. Im Battle.net – die Online-Plattform des Spieleentwicklers Blizzard Entertainment – entdeckten sie einen Forumsbeitrag eines Hackers, der Hilfe dabei versprach, möglichst viele Gegenstände beim Besiegen eines Diablo-3-Zwischengegners namens“ Izual“ zu erhalten. Ein Link sollte zu einem vermeintlichen Demonstrationsvideo führen.
Statt der Bewegtbild-Anleitung fanden sie freilich ein Archiv mit zwei ausführbaren Dateien, die unvorsichtige Mitspieler mit falschen Icons zum Doppelklick animieren sollten. Auf einer virtuellen Maschine ließen die Antiviren-Experten die Malware schließlich laufen. Das heruntergeladene Programm stellte Verbindung zu einem unbekannten Server her und lud weitere Schadsoftware nach.
Die Forscher begannen den Trojaner und seine Tätigkeit zu inspizieren. Sie wollten prüfen, ob das Programm als Keylogger fungiert und durch das Überwachen der Tastaturanschläge versucht, Username und Passwörter von anderen Battle.net-Mitgliedern abzugreifen. Mittendrin öffnete sich unerwarteterweise ein Chatfenster, das vom Virus selbst erzeugt wurde. Zu Wort meldete sich der Hacker, der das Treiben der Sicherheitsexperten live mitverfolgt hatte.
„Was machst du da? Warum erforschst du meinen Trojaner? Was willst du damit?“, fragte der Cyberkriminelle am anderen Ende der Leitung. Zhao und Zhou beschlossen, sich als Grünschnäbel auszugeben und antworteten: „Ich wusste nicht, dass du meinen Bildschirm sehen kannst.“ „Ich würde gerne dein Gesicht sehen, aber leider hast du keine Kamera“, entgegnete der offenbar chinesische Hacker.
Wie die AVG-Mitarbeiter entdeckten, hatte der Trojaner tatsächlich die Kapazitäten, nicht nur den Bildschirminhalt abzufragen, sondern auch Benutzeraktionen auf dem fremden System auszuführen und auch eine etwaige, angeschlossene Webcam zu verwenden. Die Forscher versuchten, sich als Szene-Neulinge auszugeben und suggerierten Kauf-Interesse für die Malware. Der Hacker jedoch ließ sich nicht auf tiefergehende Konversationen ein und schaltete seinen vermeintlichen Opfern schließlich den virtuellen PC ab.
Die Malware, die von AVG als eines von vielen generischen, trojanischen Pferden eingestuft wird, scheint es vor allem auf asiatische Opfer in Regionen mit veralteter IT-Infrastruktur abgesehen zu haben. Denn er versucht die Login-Daten von Einwahlverbindungen abzugreifen, die in Folge für die Verwendung mit Dialern manipuliert werden können. Die User-Accounts von Diablo-3-Spielern lässt er unbehelligt. Für Computernutzer mit aktuellem Virenscanner droht keine Gefahr, denn der Virus wird schon seit längerem über die Sicherheitssignaturen verschiedener Hersteller aufgespürt. (pte)
Be the first to comment