WIRed-Net

Kriminelle haben durch das Ausspähen von Login-Daten für Online-Spiele in chinesischen Internet-Cafes und dem anschließenden Weiterverkauf der Daten einen Schaden von umgerechnet 1,2 Milliarden US-Dollar angerichtet. Das hat der Microsoft-Virenspezialist Chun Feng nun auf der Malware-Konferenz Virus Bulletin in Genf berichtet. Zum Einsatz kommt dabei der Trojaner Dogrobot, der sich im System versteckt und sogar eine System-Wiederherstellung unter Windows überlebt.

Dabei macht sich der Schädling laut Feng eine "Hintertür" in der Windows-System-Wiederherstellung und offenbar eine Schwachstelle in der in vielen PCs in chinesischen Internet-Cafés verbauten "Hard Disk Recovery Cards" zunutze. Die Karten sollen das Schreiben auf die Festplatte vermeiden und etwa Virusinfektionen verhindern beziehungsweise das Wiederherstellen des alten Zustands ermöglichen. Eine Festplatte mit einer ähnlichen Funktion bietet etwa Excelstor mit seiner GStor-Plus an. Bislang haben sich solche System aber hierzulande nicht durchgesetzt.

Dogrobot soll mittlerweile in der fünften Generation kursieren und diverse Rootkit-Techniken einsetzen. Während er in der ersten Variante nur den Windows Volume Management Layer manipulierte, klinkt er sich laut Bericht in der neuesten Fassung in den Windows IDE/ATAPI Port Driver Layer ein, um sich zu verstecken. Genauere Angaben macht Feng nicht, seine neueste Präsentation ist noch nicht zum Download verfügbar. Bereits auf der Virus Bulletin 2008 hatte er darauf hingewiesen, dass Dogrobot Hard Disk Recovery Cards umgehen kann.

Dogrobot gelangt unter anderem über Browser-Lücken auf einen PC. Zusätzlich versucht er über ARP-Cache-Poisoning weitere Windows-PCs im LAN auf präparierte Webseiten umzuleiten und sie auf diesem Weg ebenfalls zu infizieren. Zudem verbreitet er sich über USB-Sticks. (dab/c't)