Chinesische PUP kommt mit Backdoor

Publiziert am 2. April 2017 von Günter Born

Sicherheitsforscher haben eine chinesische Software (WiFi-Hotspot-Software) entdeckt, die auf Windows-Maschinen zielt und im Beifang eine Backdoor installiert, mit der sich allerlei anstellen ließe.

Anzeige

PUP ist das Kürzel für Potentially Unwanted Programs (also potentiell unerwünschte Programme), die im Bündel mit anderer Software daher kommen. Flash oder Java sind solche Beispiele, wo über den Webinstaller plötzlich irgend eine weitere Software installiert wird. Auch viele andere Freeware-Programme kommen mit solcher Software – die Entwickler finanzieren sich teilweise damit. Das ist nicht nur nervig, sondern bietet auch Risiken.

Die Sicherheitsforscher von Malwarebytes haben in ihrem Blog jetzt einen kritischen Fall beschrieben. Eine in China entwickelte WiFi Hotspot-Anwendung (die ist mit englischer Bedienoberfläche erhältlich), enthält Code eines größeren PUP-Bundler-Netzwerks. Der PUP-Installer benutzt einen /silent-Schalter, um die Beigabe heimlich zu installieren. Da die Beigabe einen Treiber enthielt, haben die Sicherheitsforscher sich das genauer angesehen. Der Treiber wird nur installiert, wenn eines der folgenden Windows-Systeme gefunden wird.

  • Kernel major version 5
    • Windows 2000
    • Windows XP
    • Windows Server 2003
    • Windows XP x64
  • Kernel major version 6
    • Windows Vista / Server 2008
    • Windows 7 / Server 2008 R2
    • Windows 8 / Server 2012
    • Windows 8.1 / Server 2012 R2
    • Early Windows 10 builds (up to build 988x)
  • Kernel major version 10, minor version 0, build number less than or equal to 14393
    • Windows 10 (build 10240 / v1507)
    • Windows 10 v1511
    • Windows 10 v1607 / Server 2016

Also alle Windows-Versionen seit 200 sind mit an Bord – nur neue Windows 10 V1703 Builds sind noch nicht berücksichtigt. Die mit dem Treiber eingeschleuste Backdoor ist mit Absicht platziert worden, da es Versuche gibt, deren Anwesenheit zu verschleiern und vor einer Analyse zu schützen. Die Sicherheitsforscher schreiben, dass Anzeichen für diese Backdoor bereits seit 2013 in diversen chinesischen Programmen:

  • Chinesisches Android Rooting Toolkit
  • Chinesischese WiFi Hotspot-Software
  • Ein chinesischer USB Drive-Hilfs-Tool
  • Eine chinesische Kalender-Software
  • Ein chinesischer Driver-Updater (die englische Version enthält die Backdoor nicht)

gefunden wurden. Das wirft natürlich die Frage auf, wie weit man nun noch chinesischer Software trauen kann – denn hier im Blog habe ich ja häufiger über Trojaner und Backdoors in chinesischen Produkten berichtet. Weitere Informationen finden sich im MalwareBytes-Blog sowie bei BleepingComputer.com.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.