De harde schijf rootkit die begin dit jaar in het wild werd gesignaleerd blijkt slechts een testversie te zijn, inmiddels zijn de auteurs de volgens fase van hun "project" ingegaan, het plunderen van online bankrekeningen. In januari verschenen er zo'n twintig exemplaren van de malware, maar de uitbraak kwam tot een abrupt einde, wat virusonderzoekers deed verbazen. De varianten werden, zoals nu blijkt, alleen ingezet ter "kwaliteitscontrole". Informatie van geïnfecteerde systemen, zoals hardware en software gegevens, waaronder crash dumps in het geval als de rootkit driver een blauw scherm veroorzaakte, werden naar de auteurs gestuurd.
Aan de hand van deze informatie konden de auteurs de rootkit verbeteren, en zijn er weer nieuwe varianten ontdekt. Die zijn verder ontwikkeld dan hun voorgangers en hebben ook een ander doel, namelijk het plunderen van online bankrekeningen. Onderzoekers hebben een connectie met de beruchte Sinowal banking Trojan ontdekt. Deze malware werd ook ingezet om de rekeningen van Postbankklanten te legen. De rootkit downloadt verschillende DLL modules die in andere processen worden geïnjecteerd, zoals winlogon.exe en services.exe. De geïnjecteerde DLL downloadt weer een bestand met informatie over de aan te vallen bank.
3x kloppen helpt niet
Aangezien de malware lokaal de bankrekening plundert hebben zowel de bank als het slachtoffer niets door. Sinowal kan ook de online afschriften manipuleren, zodat het slachtoffer denkt dat er niets aan de hand is, maar criminelen inmiddels over zijn of haar geld beschikken. Zelfs het 3x kloppen advies van de Nederlandse banken kan er niet voor zorgen dat criminelen de bankrekening plunderen.
De rootkit communiceert op precies dezelfde manier met de remote server als Sinowal, wat volgens Symantec teken is dat de malware alleen als springplank fungeert. "We kunnen zeggen dat de rootkit zich in een soort "release candidate" fase bevindt. Het aantal infecties is beperkt, en de bende wacht waarschijnlijk op de resultaten van deze test om te zien of ze doorgaan met het compromitteren van meer computers," zegt Elia Florio.
Volgens Florio zijn de auteurs zeer vaardige programmeurs, die ver boven de gemiddelde virusschrijver uitsteken. De rootkit, die zich verspreidt via iFrames en ongepatchte beveiligingslekken, infecteert de eerste 16 fysieke harde schijven van de computer, maar kan ook USB-sticks en externe schijven infecteren. De malware werkt probleemloos op Windows XP, Linux-gebruikers hoeven nog niet te vrezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.