Archive für Juli 19th, 2010
Quick-News 48
Neue Bredolab-Variante auf dem Vormarsch – Update 3
Über einen Eintrag auf malwaredomainlist.com bin ich auf eine neue Version des Bredolab-Trojaners aufmerksam geworden, welcher von China aus verteilt wird (IP 59.53.91.187).
Bei Bredolab handelt es sich um einen Trojan/Downloader, welcher weitere Malware aus dem Intenet auf das befallene System herunter ladet und das System nachhaltig kompromittiert.
malwaredomainlist.com hatte die neue Version am 13.07. festgestellt und ein Scan der Malware auf Virustotal.com lieferte am selben Tag ein erschreckendes Ergebnis – Kein Virenscanner hatte die Malware als solche erkannt.
Ich habe mir jene exe.exe mal selbst beschafft und am heutigen Tag einen erneuten Scan auf Virustotal.com durchgeführt. Auch hier ist das Ergebnis sehr ernüchternd – Gerade 8 von 42 Virenscannern waren in der Lage die Malware als solche (jedoch nicht immer als Trojan/Downloader) zu erkennen:
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2010.07.15.00 | 2010-Jul-14 | ASD.Prevention |
| CAT-QuickHeal | 11.00 | 2010-Jul-15 | (Suspicious) – DNAScan |
| Comodo | 5434 | 2010-Jul-15 | TrojWare.Win32.Trojan.Agent.Gen |
| Microsoft | 15902 | 2010-Jul-15 | TrojanDownloader:Win32/Bredolab.AC |
| Panda | 10.0.2.7 | 2010-Jul-15 | Suspicious file |
| Prevx | 3.0 | 2010-Jul-15 | Medium Risk Malware |
| Sunbelt | 6585 | 2010-Jul-15 | Trojan.Win32.Generic.pak!cobra |
| SUPERAntiSpyware | 4.40.0.1006 | 2010-Jul-15 | Trojan.Agent/Gen-Faldesc |
Lediglich der Virenscanner von Microsoft hat hier eine saubere Erkennung geleistet.
Die anderen Virenscanner bieten aktuell noch keinen Schutz vor diese Malware (das mag sich aber im Laufe der Zeit ändern).
Wie der Trojaner verbreitet wird und welche Länder auf dem “Radar” der Malware-Autoren stehen ist bislang noch nicht bekannt.
Eines zeigt diese Analyse auf jeden Fall – Der Virenscanner bietet keinen 100% Schutz vor Malware.
Insbesondere dann nicht, wenn eine neue Malware oder eine neue Version einer bekannten Malware auf die Internetnutzer losgelassen wird.
Wenn nach 2 Tagen mal gerade 19% der verfügbaren Virenscanner den Trojaner erkennen, dann ist das ein Wert, der für die Effizienz eines Virenscanners spricht.
Und sollte der installierte Virenscanner dann vielleicht im nach hinein die Malware erkennen, dann ist es meist zu spät, da diese weitere Schadprogramme herunter geladen hat, welche den Virenscanner unter Umständen für bestimmte Schadprogramme außer Gefecht setzen. De Rechner wurde dann z.B. in einem Botnet integriert – Daten und Passwörter wurden bereits ausgespäht.
Ich mache mir mal die Mühe und dokumentiere hier täglich die Erkennungsrate über Virustotal.com.
Update 17.07.:
Gestern bin ich nicht dazu gekommen die Datei einer erneuten Überprüfung zu unterziehen.
Stand heute: Ergebnis: 16/42 (38.1%)
Wobei hier anzumerken ist, das die meist verwendeten Virenscanner aus dem Hause Avira, BitDefender, F-Secure, Kaspersky, McAfee, Symantec und TrendMicro die Malware immer noch nicht erkennen.
Aktuell erkennen immer noch deutlich weniger als die Hälfte der verfügbaren Virenscanner den Trojaner.
Update 18.07.:
Ergebnis: 16/41 (39.03%)
Update 19.07.:
Ergebnis: 16/42 (38.1%)
Also aktuell immer noch keine Verbesserung der Erkennung der Virenscanner.
Obwohl das Wochenende vorbei ist und man annehmen könnte, das die einen oder anderen Hersteller von Antivirensoftware hier nach gebessert haben sollten.
Das hat mir etwas zu denken gegeben und daher habe ich überprüft, ob die Datei überhaupt noch auf den Servern der IP 59.53.91.187 verfügbar ist.
Diese nicht mehr, aber dafür eine andere.
Selber Name, andere Dateigröße, und stellt ebenfalls ein Trojan/Downloader dar.
Nach einer Recherche auf malwaredomainlist.com findet man diese Datei nicht nur in China, sondern mittlerweile auch in Russland:
Bild zum Vergrößern anklicken
Hier unter der IP Adresse 195.158.244.53.
Um diesen Artikel mal zum Abschluss zu bringen, ich habe beide Dateien (aus China und Russland) herunter geladen und noch mal via Virustotal.com einen Scan unterzogen.
exe.exe von Server 59.53.91.187:
Ergebnis: 20/42 (47.62%)
exe.exe von Server 195.158.244.53:
Ergebnis: 11/42 (26.2%)
Also kein Bredolab, sondern Mal/Hiloti-(X).
Ebenfalls ein Trojan/Downloader, der sicher nicht weniger gefähricher ist, als ein Bredolab.
Insbesondere, da die “russische Version” von wesentlich weniger Virenscanner erkannt wird, als die “chinesische Version”.
Was lernen wir daraus?
Malware Autoren sind schnell und flexibel. Sie sind in der Lage die Schutzfunktion eines Virenscanners durch angepasste Signaturen zu umgehen. Eine derartige Malware muss den Herstellern von Antiviren-Software erst mal in die Hände fallen, bevor diese vom jeweiligen Virenscanner zuverlässig erkannt wird. Somit die die Gefahr, sich das System mit Schadprogrammen zu kontaminieren in den ersten Lebenstagen eines Virus/Trojaners am größten.
