Sehr erfolgreicher Oldie unter Malware-Schädlingen:
Ilomo: leise, unbemerkt und sehr gefährlich

von Werner Veith (werner.veith@networkcomputing.de)

Share
10.09.2009

Für manche Schadsoftware ist es am Besten, wenn sie gar nicht auffällt. Ilomo ist so eine Software, die sich auf Datendiebstahl spezialisiert hat. Trend Micro hat sich den gefährlichen Schädling genauer angesehen.

Ob Bankkonten, E-Mail-Postfächer, Server oder andere IT-Ressourcen: Der Schädling »Ilomo«, auch »Clampi«, »Ligats« oder »Rscan« genannt, hat sich auf den Diebstahl von Zugangsdaten spezialisiert. Für den Sicherheitsanbieter Trend Micro [1] ist Ilomo so ein Fall, bei dem Malware weitgehend unbeobachtet von der Öffentlichkeit sehr effizient ihr Unwesen treibt. Zudem kann Iloma bei Online-Banking-Sitzungen des Anwenders auch selbst unbemerkt Transfers zu den Cyber-Gangstern vornehmen. Experten von Trend Micro haben sich die Schadsoftware genauer angesehen [2].

Decodierter Shell-Code der Malware »Ilomo« (Quelle: Trend Micro)

Ilomo tauchte zum ersten Mal Ende 2005 auf. Seitdem hat sich Malware kontinuierlich verändert. Hauptziele dabei waren einmal ein Reverse-Engineering zu erschweren und möglichst unbemerkt zu bleiben. Für ersteres setzt der Schädling »VMProtect« ein. Dabei handelt sich um eine kommerziell verfügbare Software, die sich mit 200 Dollar eigentlich jeder Kriminelle leisten kann.

Jeder Ilomo-Knoten hat zwei »Command & Control«-Server (C&C), so genannte Gates, eingestellt, mit dem er Kontakt aufnimmt, um Updates, weitere Gate-Listen oder Instruktionen zu erhalten. Bei diesen Gates handelt sich meist um korrumpierte Web-Server.

Ilomo kommt als Binär-Datei. Die Malware besteht auf dem »Dropper« und dem »Main Executable«. Ersteres installiert Ilomo auf dem System. Dazu lädt Dropper bis zu sechs Module herunter: Socks, Prot, Loggertext, Spread, Info und Accounts. Socks erlaubt den Kriminellen, Verbindungen über die infizierte Maschine zu routen. Prot stiehlt Daten wie Website-Passwörter. Logger zeichnet alle Http-Post/-Get-Anfragen auf, die zu einer bestimmten Liste von Websites gehen.

Spread verwendet das Sysinternal-Werkzeug »PSExec«, um sich über das Netzwerk auszubreiten. Loggertext fügt gefälschten Content auf Bank-Login-Seiten ein, um vom Nutzer zusätzliche Login-Daten und Informationen zu erhalten.

Über Info erhalten die Cyber-Gangster Basis-Netzwerk-Informationen des befallenen Rechners, inklusive Informationen zu installierter Sicherheitssoftware wie Anti-Virus oder Firewall. Hinter Accounts verbirgt sich ein Download-Programm für das kommerzielle Programm »SpotAuditor«. Dieses ermittelt die Passwörter von einer großen Reihe von Applikationen.

Die meisten Aktionen erledigt Ilomo, indem es Code in ein verborgenes Internet-Explorer-Fenster injiziert. Alle Netzwerk-Kommunikation führt die Malware über verschlüsselten Http-Verkehr aus.

Um sich auf andere Maschinen zu kopieren und installieren, nutzt die Malware PsExec und die Login-Daten eines Domain-Administrators. Diese hat Illomo entweder über einen Trojaner oder es hat sich jemand mit solchen Rechten auf dem infizierten Rechner angemeldet. Da Ilomo als Proxy-Server arbeitet, kann es Verbindungen über den infizierten Rechner leiten, um weniger aufzufallen, wenn es sich an gestohlenen Accounts anmeldet.

[1] http://de.trendmicro.com/de/home/
[2] http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/ilomo_external.pdf

Verwandte Artikel