Start Empfohlen TI-double-guh-Er…Der einzigartige und heftige Tigger-Trojaner stürzt sich

TI-double-guh-Er…Der einzigartige und heftige Tigger-Trojaner stürzt sich

15
0


Eine Malware, die abwechselnd als Syzor und Tigger.A bekannt ist, stößt aufgrund ihres ungewöhnlichen Verhaltens bei Sicherheitsforschern und bei Aktien- und Optionshandelsfirmen auf Interesse, da sie Kunden und Mitarbeiter in diesem Sektor anspricht.

Tigger nutzt eine Schwachstelle in der Rechteerweiterungsfunktion von Windows aus, die in MS08-066 gemeldet und im Oktober gepatcht wurde. Der Exploit zur Rechteausweitung ermöglicht es der Malware, alle Einschränkungen des Kontos zu überschreiben. Mit anderen Worten, wenn Sie vernünftig genug sind, Ihren Computer nicht im Administratormodus zu betreiben, umgeht diese Malware Ihren mickrigen Versuch, sichere Computer zu betreiben. Aber warten Sie, es gibt noch mehr!

Bei der Ankunft reinigt es das Haus und löscht fast zwei Dutzend Sonstiges Malware aus dem System, wenn sie entdeckt werden. Das ist das Letzte, was Sie über Tigger hören werden. Forscher vermuten, dass die Malware versucht, sich so normal wie möglich zu verhalten, um nicht auf eine Maschine aufmerksam zu machen, die großen Schaden erleiden wird.

Es installiert ein Rootkit, das im abgesicherten Modus läuft. Das Rootkit kompromittiert FAT- und NTFS-Dateisystemtreiber, deaktiviert Kernel-Debugger und blockiert andere Prozesse am Zugriff auf den Speicher des Kernel-Treibers – mit anderen Worten, es stellt sicher, dass ein Neustart im abgesicherten Modus nichts bringt.

Tigger richtet seine Aufmerksamkeit dann auf Anti-Malware-Software und deaktiviert viele der gängigsten Schutzmaßnahmen – Produkte von AVG, Avira, CA, Kaspersky und Outpost zusätzlich zu den Windows-eigenen Defender- und Firewall-Optionen. (Zufälligerweise hat der Conficker-Virus – das andere große Debüt der Saison – in den letzten Tagen die gefundene Anti-Malware-Software abgeschaltet. nach Symantec.) Und jetzt, da die Ablenkungen gedämpft und die Wachhunde erschossen sind, wird es belebt.

Die Malware überwacht Browserereignisse; ergreift Passwörter für IM, E-Mail, Fernzugriff, Speicher und Netzwerk; schnüffelt FTP- und POP3-Authentifizierungsinformationen und stiehlt Cookies und Zertifikate. Es sammelt Screenshots und protokolliert Tastenanschläge, nur für den Fall, dass Sie sich etwas Interessantes ansehen. Dann erfasst es Systeminformationen, richtet eine Hintertür ein und versucht, nach Hause zu telefonieren, um weitere Anweisungen zu erhalten.

Der ganze Aufwand wofür genau? Es wird angenommen, dass Tigger auf Aktien- und Handelsunternehmen abzielt, darunter Ameritrade, e-Trade, ING Direct, Options XPressScottrade, ShareBuilder und Vanguard. Machen Sie weiter und versuchen Sie, wie der Markt Ihr Portfolio schneller leert, als es heutzutage jeder Dieb könnte, aber Hinweise im Code machen deutlich, dass jemand da draußen bereit war, einen sehr ausgefallenen Trojaner in Auftrag zu geben, um diese Daten zu erhalten.

Michael Hale Ligh, ein Sicherheitsanalyst bei iDefense, der Tiggers Eingeweide genau untersucht hat, sagt, dass ein Schlüsselcode, der bei der Rootkit-Installation verwendet wird, stark mit dem Code des im November geschlagenen Srizbi-Botnets ähnelt. Verwandt? Es wäre nicht undenkbar; das in Russland geborene Srizbi-Botnetz war einst für fast 50 % des weltweiten Spams verantwortlich, und man vermutet, dass seine Bewahrer immer noch mit allen Mitteln von dem Code profitieren möchten.

Lighs MNIN-Sicherheitsblog lobt die scheußliche Sache mit seiner schieren Kreativität – „einer der vielfältigsten Trojaner, die ich je gesehen habe“, wie Ligh es ausdrückt. Er hat sich Ende letzten Monats zum ersten Mal mit Tigger angelegt und amüsiert sich seitdem damit Entwicklung einer Nachweismethode das ohne bootfähige Rettungsdiskette funktioniert und im Benutzermodus arbeitet.



Vorheriger ArtikelMicrosoft-Manager wird DHS beitreten, da CIO-Kandidat in FBI-Razzia verwickelt wird
Nächster ArtikelMicrosoft veröffentlicht Windows 11 Build 2200.282 mit einer langen Liste von Fixes, einschließlich der Behebung von Leistungsproblemen mit AMD Ryzen-Prozessoren

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein