Shark3 unter der Lupe

Dancho Danchev hat in seinem Weblog vor kurzem auf die Veröffentlichung einer neuen Version des „Remote Administrations Tools“ (RAT) Shark3 hingewiesen. Shark3 nennt sich zwar RAT, im Prinzip ist es aber nichts anderes als ein Tool, um einen Trojaner zu erstellen. Da können die Autoren beim Start des Hauptprogramms so oft auf die Eigenverantwortung hinweisen, wie sie wollen:

Shark3 bietet ein umfangreiches Konfigurations-Tool, um neue ausführbare Dateien zu erstellen, mit denen sich dann andere Computer in einen „Server“ verwandeln lassen – allerdings meist vermutlich nicht freiwillig, wie die Vielzahl an spezialisierten Optionen beweist. Diese „Server“ können dann von Shark3 aus kontrolliert werden.

Im Vergleich zu seriösen Fernsteuerungsprogrammen wie PCAnywhere oder VNC ist Shark3 eindeutig auf einen heimlichen Betrieb ausgelegt. So fällt zuerst einmal natürlich der integrierte Keylogger auf, der alle Tastatureingaben auch offline aufzeichnet. Dann bietet Shark3 die Möglichkeit, störende Prozesse und Dienste (zum Beispiel Virenscanner) zu definieren und diese dann abzuschießen oder den Server auch zu pausieren.

Außerdem lässt sich das Tool „analyse-unfreundlich“ konfigurieren. Das heißt, wenn die Server-Datei in einem virtuellen PC gestartet werden soll, erkennt dies der Server und beendet sich umgehend. So soll die Analyse in den Labors der Antivirenhersteller verhindert werden. Die angebotene Liste enthält Vmware, Norman Sandbox, Sandboxie, Virtual PC, Altiris SVS und Virtual Box. Noch nicht dabei ist interessanterweise Parallels Desktop.

Shark3 bietet zudem mehrere Möglichkeiten, den Server zu verstecken. Das fängt bei der Konfiguration des Drop-Verzeichnisses an und reicht bis zu einem „Hidden Server“, der unsichtbar im Hintergrund läuft. Rootkit-Funktionen scheinen aber noch nicht eingebaut zu sein. Dafür kann der Server seine Autostart-Keys immer wieder in der Registry eintragen, falls der Besitzer des PCs ihm doch auf die Schliche gekommen ist und versucht, das „RAT“ zu entfernen. Die Autoren nennen das zurecht den „agressiven Modus“.

Bemerkenswert sind die Funktionen, eine Applikations-Firewall zu umgehen, indem der Server seine gesammelten Daten nicht direkt versendet, sondern dafür beispielsweise den auf dem PC installierten Standard-Browser oder einen Instant Messenger verwendet. Wer sich hinter seiner Desktop-Firewall immer noch sicher glaubt, kann sich von diesem Irrglauben nun endlich getrost verabschieden.

Das war nur ein kurzer Überblick über das „Remote Administrations Tool“ Shark3, das noch weitaus mehr Funktionen bietet, aber definitiv kein Programm ist, das ein seriöser Administrator in seinem Netzwerk einsetzen will. Das Tool ist eindeutig auf den illegalen Einsatz auf fremden Computern ausgerichtet. Wenig verständlich ist allerdings, dass nur 17 von 32 Scannern bei Virustotal das Hauptprogramm derzeit als schädlich einstufen. Von den erstellten Server-Dateien ganz zu schweigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.