Bot-Netz benutzt Twitter
Offenbar geht der aktuelle Twitter-Hype auch an den Malware-Schreibern nicht spurlos vorbei. Jose Nazario von Arbor hat jetzt offenbar ein Bot-Netz entdeckt, das den Micro-Blogging-Dienst für seine Kommunikation benutzt.
Offenbar geht der aktuelle Twitter-Hype auch an den Malware-Schreibern nicht spurlos vorbei. Jose Nazario von Arbor hat jetzt offenbar ein Bot-Netz entdeckt, das den Micro-Blogging-Dienst Twitter für seine Kommunikation benutzt.
In seinem Blog-Eintrag berichtet er über den Twitter-Accounts „upd4t3“ (Leet-Speek für "update"), dessen Nachrichten offensichtlich Base64-kodiert sind. Nazario vermutet, dass sie zur Steuerung eines Bot-Netzes dienen, dessen Clients sich dort Befehle abholen. Das Konzept ist nicht ganz neu; bereits 2007 berichtete heise Security über Trojaner, die Web-2.0-Sites wie Myspace zur Kommunikation nutzen.
Ob über den mittlerweile stillgelegten Twitter-Account tatsächlich ein Bot-Netz gesteuert wird, konnten wir nicht verifizieren. Zumindest aber ist eindeutig Unrat im Spiel. Eine von heise Security dekodierte Nachricht verwies über den URL-Verkürzungsdienst bit.ly auf die Pastezone der Debian-Community. Dort kann man Nachrichten hochladen, die dann für jeden unter einer bestimmten URL abrufbar sind. Die dort hinterlegte Nachricht war wiederum Base64-kodiert und ergab beim Auspacken ein ZIP-Archiv mit zwei UPX-komprimierten Dateien. Eine erste Analyse deutet auf einen Phishing-Trojaner hin, der es auf eine brasilianische Bank abgesehen hat.
Die Erkennung durch AV-Programme ist bislang sehr schlecht, die gepackten Binaries erzeugten nur ein paar allgemeine Warnungen durch heuristische Verfahren. Lediglich Sophos konnte zumindest bei der ausgepackten Version mit einer spezifischen Erkennung als "Mal/Banc-A" aufwarten. (ju)