Licht aus, Spot an für Malware: Blackbeard & Pigeon

  • 28. Januar 2014
  • 4 min Lesezeit


pigeon

Das unabhängige IT-Sicherheit-Institut AV-TEST verzeichnet jeden Tag mehr als 220.000 Signaturen neuer Malware-Programme.  Das ist einiges.  Vieler dieser neuen Programme sind einfach neue Kombinationen älterer Programme.  Jedoch gibt es immer wieder eine neue Variante, die aus der Masse heraussticht.  In diesem Januar ist das Blackbeard und sein Kumpan Pigeon, der auch als Zekos bekannt ist.

Als Downloader und Clickbot definiert

Blackbird & Pigeon sind eine Kombination aus Downloader und Clickbot, die Computer um den 1. Januar 2014 zu befallen begann.  Ein Downloader ist genau, was Sie denken: ein Programm, das sich auf Ihrem PC breitmacht und schädliche Inhalte aus dem Internet herunterlädt.  Blackbeard lässt Ihren PC den gefährlichen Clickbot Pigeon herunterladen.  Ein Clickbot ist ein Programm, das Ihren Computer in einen Roboter verwandelt, der auf PPC-Werbeanzeigen klickt.

Was ist PPC?  Angenommen, Sie haben eine Website, die Werbeanzeigen anderer Firmen enthält.  Gemäß dem Pay-Per-Click (PPC)-Werbemodell erhalten Sie jedes Mal ein paar Cent von diesen anderen Firmen, dass jemand Ihre Website besucht und auf einer der Anzeigen klickt.

Ein Clickbot macht sich dieses Modell zu Nutze und übernimmt Ihren Computer, der dann auf eine Anzeige ein paar Tausend Mal klickt.  Autoren von Clickbots verwenden diese, um Computer zu Anzeigen auf Websites zu führen, die ihnen gehören, um so bezahlt zu werden.

Das Trojaner-Team Blackbeard & Pigeon

Downloader und Clickbots sind beileibe nichts Neues.  Ihre Kombination stellt in der Tat heutzutage die am häufigsten anzutreffenden Trojaner des Internets heute dar.

Als Downloader ist Blackbeard effizient, da er sowohl unter der 32- als auch der 64-Bit-Version von Windows läuft.  Meistens sind Downloader nur für eine Version konzipiert.  In diesem Sinne kann sich Blackbeard weiter verbreiten als traditionelle Downloader.  Blackbeard kann sich in praktisch jedem heutzutage laufenden Windows-Computer festsetzen und Pigeon herunterladen.  Genau wie der legendäre Pirat, dessen Namen er trägt, ist er ein versierter Kidnapper.

Hat Blackbeard erst einmal das Betriebssystem erkannt, auf dem er sich befindet, weist er den Computer an, Pigeon von einer fest programmierten Website herunterzuladen.  Ihr Computer speichert dann Pigeon als eine zufällig benannte, verschlüsselte Datei im Verzeichnis %SYSTEM32 von Windows.  An diesem Punkt verändert Blackbeard ebenso eine im Windows-Systemdatei namens rpcss.dll, damit das Pigeon-Modul bei jedem Windows-Start geladen wird und seine unheilvollen Tätigkeiten verrichten kann.

Neuere Varianten verändern ebenso alle im Cache gelagerten Kopien von rpcss.dll auf dem Computer, um das Ersetzen und Entfernen der Infektion zu erschweren.

SHA1-Hashes des Droppers:

95fe0ae549a228a3baa46e97eb37a4d013a74827

e458c21818be55bd94bbb49d96c56ce2e438e5d5

 

Symptome von Blackbeard & Pigeon

Nach dem Herunterladen von Pigeon startet Ihr Computer neu.  Es finden sich ein paar mehr Hintergrundprozesse, darunter weitere Malware-Downloads, damit Ihr Computer auch ganz sicher zu einem Clickbot wird.  Die Hauptsymptome für eine Diagnose waren Audio-Werbeanzeigen, die im Hintergrund abgespielt werden, und ein Audiogerät mit Namen „name not available” oder „Name nicht verfügbar“ unter den Audiogeräten in der Windows-Taskleiste.

pigeon1

Zusätzlich werden Sie feststellen, dass svchost.exe viele CPU-Ressourcen abzieht, was von der aktiven Clickbot-Komponente der Infektion herrührt. Man beachte, dass die tatsächliche Datei svchost.exe nicht von der Infektion betroffen ist und man daher die Finger von ihr lassen sollte.

 

Entfernung von Blackbeard/Pigeon

Falls Sie meinen, ein Opfer von Blackbeard/Pigeon geworden zu sein, drehen Sie die Lautstärke auf, um zu sehen, ob Ihr Computer den symptomatischen „Clickbot-Husten“ aufweist.  Falls ja, nutzt jemand Ihren PC dazu, um mit PPC-Werbeanzeigen Geld zu verdienen.

Zur Entfernung von Blackbeard/Pigeon müssen Sie in die Registrierdatenbank gehen und die veränderte Datei rpcss.dll mit einer sauberen Version ersetzen.  Sie müssen auch die zufällig benannten Dateien entfernen, die erstellt wurden.  Der Emsisoft-Support kann Ihnen bei beidem behilflich sein.  Ebenso können unsere Angestellten Ihnen bei der Installation der Vollversion von Emsisoft Anti-Malware zur Hand gehen und sie so in Zukunft gegen Bedrohungen wie Blackbeard & Pigeon schützen sowie weitere technische Informationen zu diesem besonderen Trojaner liefern, falls es Sie interessiert.

 

Die Verhaltensanalyse von Emsisoft Anti-Malware blockiert diese Malware mit einem Alarm, der sie darauf hinweist, dass ein Programm andere Prozesse zu manipulieren versucht. Bitte beachten Sie, dass es Hinweise darauf gibt, dass diese Malware allgemein manipulierte Anwendungen wie Java nutzt, weshalb Sie alle installierten Programme stets auf dem neuesten Stand halten sollten.

Wir wünschen Ihnen eine weiterhin gute (malware-freie) Zeit!

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft > Blog > Malware-Labor > Sicherheitswarnungen > Licht aus, Spot an für Malware: Blackbeard & Pigeon