Mit einem Dropper in den Krieg ziehen

Wer schon immer mal seinen PC in einem Cyberkrieg zur Verfügung stellen wollte, hat nun die Gelegenheit dazu: Auf der Webseite http://help-israel-win.tk sucht eine angebliche Gruppe von Studenten nach Helfern im Kampf gegen die Hamas.

Nach eigenen Angaben bezweckt die Seite:

We created a project that unites the computer capabilities of many people around the world.
Our goal is to use this power in order to disrupt our enemy’s efforts to destroy the state of Israel.

Man müsse nur eine Datei herunterladen, ausführen und schon nehme man Teil am virtuellen Kampf.

Um was handelt es sich bei dem Download namens „PatriotInstaller.exe“ (MD5: f0afdb4d5450ff6e738c367331cafce0) wirklich? Bei Virustotal stufen vier Scanner die Datei als „suspicious“ beziehungsweise als „Dropper“ ein. Ein Dropper hat die Fähigkeit, beliebige weitere Dateien aus dem Internet herunterzuladen und auszuführen. Was man sich mit dem Download also einhandelt, ist völlig offen.

Eine Analyse mit CWSandbox liefert weitere Informationen. Auffällig ist, dass der Dropper versucht, mit der Microsoft-Webseite Kontakt aufzunehmen und das Dot-Net-Framework herunterzuladen. Außerdem tauchen in dem Report verdächtige Dateinamen wie „rasacd.sys“ auf. Das steht für „RAS Automatic Connection Driver“ und ist vermutlich die Komponente zur Fernsteuerung des PCs.

Ein anderer Dateiname in dem Report — „modern-wizard.bmp“ — taucht bei Google wiederholt im Zusammenhang mit Spyware-Infektionen auf. Vermutlich gehört die Datei zu einem Dropper-Baukasten, zu welchem ist allerdings nicht klar. Es hätte mich auch gewundert, wenn die „Studenten“ selbst eine Software programmiert und nicht nur einen Dropper zusammengeklickt hätten. Ich würde jedenfalls die Finger davon lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.