scaryBITS

Ein Hauch von Sicherheit und Datenschutz im digitalen Alltag

Gozi ist scharf auf Passwörter

Posted by Urs Meile on 09.06.2010

Seit etwa 2007 verbreiten sich Varianten von Gozi auf Windows Rechnern und sammeln dort Account Informationen. Der professionell designte Trojaner zielt auf Bankkunden, taucht aber in den letzten Wochen auch häufiger an Hochschulen auf.

Gozi kann vor allem den Anwendern und Admins richtig wehtun. Den Usern können eBanking- und andere Konten ausser Kontrolle geraten. Admins sind mit einer Malware auf dem Stand der Technik konfrontiert, die auf dem System schwierig zu anaylsieren und unter Kontrolle zu bekommen ist.

Gozi kann verschieden Versionen von Windows befallen. Unter XP betrieben unter Admin-Rechten installiert er sich auf Ebene des Systems. Unter Windows7  wo der User out of the Box mit Standarduserrechten arbeitet, im Userkontext respektive Userprofil, ohne dass der Kern des Systems kompromittiert wird. Diese und weitere Infos sind rein indikativ, solange keine konsistente technische Analyse der Malware inklusive Versionshistory greifbar ist!

Ansehen…

Um eine Befallshypothese zu prüfen, kann unter XP etwa der folgende Registry-Eintrag angesehen werden, der auf ein Gozi DLL zeigt – zumindest bei einzelnen momentan aktuellen Varianten: Ein Fehlen dieses Eintrags bedeutet nicht dass ein System Gozi-frei ist!
HKLM\System\CurrentControlSet\Control\SessionManager\AppCertDlls

Unter Vista/W7 kann der der Autostart-Pfad lauten:
HKU\{UserSID}\Software\Microsoft\Windows\CurrentVersion\Run\lsasasrv:
„rundll32″C:\Users\{UserName}\AppData\Local\Temp\fontnatt.dll“,DllEntryPoint“

Detektion mit AV: Auch führende Produkte wie Avira von der Rescue CD erkennen aktuelle Mitglieder der Gozi-Familie nicht (immer). 

… und Aufräumen

Eine befallene Box sauber zu bekommen heisst: Neuinstallation. Ausnahmen können sich nur qualifizierte Profis genehmigen – unter ein paar Bedingungen:

  • Es sind tiefe Systemkenntnisse verfügbar, um versteckte Systemmechanismen detektieren
  • Es ist klar, welche Malwareversion vorliegt, sodass entsprechende Removal-Tips wirklich zutreffen
  • Es kann analysiert werden, dass keine weitere Malware auf dem System existiert

Kurz und gut: Weder ein Virenscan noch das Abarbeiten eines Removal Tips garantieren ein porentief reines System.

Prävention

Mögen die Wege von Gozi in das System noch so raffiniert sein – sie nützen Verletzlichkeiten aus. Waren das in früheren Jahren solche des Internet Explorer, sind das nun zB ungepatchte Löcher des Adobe Readers: „We witnessed a number of Gozi Trojans distributed via malicious PDF versions.“ Stellt eine Analyse der TrustDefender Labs fest.

Gozi Prävention heisst wie immer: Nicht nur Windows, sondern auch Anwendungen und Plugins ständig auf die neueste Version upgraden und alle Patches einspielen.

Ein Virenschutz mit aktuellen Definitionen ist hilfreich, kann aber Patchen nicht ersetzen. Gerade Gozi Varianten bleibt durch die Verwendung neuer Techniken häufig wochenlang durch verschiedene Virenscanner unentdeckt. Das gilt auch für HiEnd Produkte von Symantec oder Avira, welche eine neuere Version unter dem Label TR/Spy.Banker.Germ.A führt.

Informationen

Einen guten neueren Überblick bietet Gozi – a perfect example of an “older” trojan re-inventing itself der bereits erwähnten TrustDefender Labs.

Historische Analyse von SecureWorks  2007.

Beispiel für die Beschreibung einer bestimmten Instanz durch eine AV-Firma ist TR/Spy.Banker.Germ.A – Trojan von Avira. Etwas müde Sophos, letzte Update im Januar – hier heisst der Trojaner Troj/Gozi-Gen und es werden Aliases aufgeführt: Trojan.Win32.Agent.cbr und Generic PWS.o .

Leave a Reply



XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>