In Python geschriebener Backdoor-Trojaner

Die Meldung stammt von Ende Oktober, ist aber weiterhin aktuell. Es wurde ein Backdoor-Trojaner entdeckt, der auf Basis von Phyton geschrieben ist. Hier einige Informationen.


Anzeige

Als Backdoor bezeichnet man gemeinhin Schadsoftware, die Befehle von Cyber-Kriminellen erhält und diesen einen unerlaubten Zugang zum infizierten Gerät ermöglicht. Die in Python geschriebene Backdoor wurde von Sicherheitsexperten von Doctor Web entdeckt. Die analysierte Backdoor ist in der Lage, Passwörter und eingegebene Daten auszulesen sowie Befehle per Fernzugriff auszuführen. Der Schädling wurde unter dem Namen Python.BackDoor.33 in die Dr.Web Virendefinitionsdatei aufgenommen.

Python.BackDoor.33 speichert ihre Kopie auf der Festplatte, passt die Registry von Windows an und führt böswillige Funktionen nach dem Neustart des Rechners aus. So erstellt sie ein verstecktes Verzeichnis, speichert dort eine Kopie ihrer ausführbaren Datei ab und erstellt einen Link <volume name>.lnk, der zu einer böswilligen Datei weiterleitet.

Daraufhin versucht die Backdoor, eine IP-Adresse sowie einen Port des Verwaltungsservers zu identifizieren, indem sie Anfragen an Services wie pastebin.com, docs.google.com und notes.io versendet (Screenshot im Anhang).

Nachdem die Backdoor die IP-Adresse und den Port identifiziert hat, versendet sie eine Anfrage an einen Verwaltungsserver. Anschließend lädt sie das auf Python geschriebene Programm vom Verwaltungsserver herunter, um Passwörter und eingegebene Daten abzugreifen und Befehle per Fernzugriff auszuführen.

Der Trojaner kann außerdem verbundene Datenträger prüfen und diese infizieren. Python.BackDoor.35 ermöglicht somit Folgendes:

  • Daten aus Browsern Chrome, Opera, Yandex, Amigo, Torch, Spark stehlen
  • Tastatureingaben und Bildschirmaufnahmen auslesen
  • Zusätzliche Module herunterladen und ausführen
  • Dateien herunterladen und diese auf dem infizierten Gerät abspeichern
  • Inhalte aus einem Verzeichnis abrufen
  • Sich über verschiedene Verzeichnisse verbreiten
  • Informationen zum System anfordern

Zudem verfügt Python.BackDoor.35 über eine Selbstaktualisierungsfunktion. Signaturen für alle erwähnten böswilligen Programme wurden in die Dr.Web Virendefinitionsdatei eingetragen. Die entdeckte Malware stellt für Dr.Web Nutzer somit keine Gefahr dar. Mehr zum Trojaner finden Sie hier.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu In Python geschriebener Backdoor-Trojaner

  1. Holger sagt:

    Diese Meldung finde ich etwas seltsam, denn es wird der genaue Infektionsmechanismus bei Dr. Web nirgends beschrieben. Python ist eine Skriptsprache, d. h. es muss ein Interpreter vorhanden sein, damit ein Skript zur Ausführung gebracht werden kann. Solch ein Interpreter ist bei Windows nicht Standard, sondern muss installiert werden. Es gibt von Python auch eine Variante namens Cython, welche dann einen Compiler enthält. Aber auch hier sind Komponenten für eine Laufzeitumgebung notwendig, die nicht standardmäßig unter Windows vorhanden sind.

    Nun wäre es ja theoretisch möglich, dass ein unwissentlich zur Ausführung gebrachtes Executable einen Interpreter installiert, welcher dann Python-Skripte ausführen kann. Dann würde aber immer noch das Skript mit den Rechten des Nutzers ausgeführt werden. Sollten diese Rechte eingeschränkt sein, wäre nicht all das möglich, was auf der Dr. Web Seite beschrieben ist.

    Unter Linux und den BSD-Derivaten kann ich mir solch einen Schädling viel eher vorstellen, dort ist Python Standard. Jedoch dürfte wohl jeder erfahrene Benutzer seinem normalen Account keine vollen root-Rechte geben. Im Augenblick halte ich diese Meldung von Dr. Web für eher unglaubwürdig.

    • Günter Born sagt:

      Du sprichst einige Gedanken an, die mir auch durch den Kopf gingen. Ich hatte diverse Male Python auf meinen Windows 7 Testmaschinen – habe die aber immer wieder zurückgesetzt. Was ich nicht beurteilen kann: Es gibt ja Server, die den IIS nutzen. Ich könnte mir vorstellen, dass da auch Python installiert sein könnte. Und in Entwickungsumgebungen. Ganz von der Hand weisen würde ich den Fund nicht – obwohl in der Fläche die Leute eher kein Python installieren.

      • Holger sagt:

        Genau, weil in der Fläche Python eher nicht auf den Systemen installiert ist und damit eine Massenverbreitung wohl ziemlich ausgeschlossen ist. Jedoch könnte ich mir vorstellen, dass für eine zielgerichtete Attacke solch eine Angriffsart eher in Frage käme. Aber weshalb dann Python nutzen und nicht gleich in C++ oder C# entwickeln?

        Eine Allegorie wäre, dass der eine Einbrecher das Schloss zur Eingangstür des Hauses mit professionellem Werkzeug knackt und der andere amateurhafte Einbrecher mit einer Leiter ankommt, diese anlehnt, um auf das Dach zu steigen, damit er über den Kamin einsteigen kann und hofft, dass da keine Gas- oder Ölheizung ihm einen Strich durch die Rechnung macht. ;-)

  2. Aleku sagt:

    Beschreibung bei Dr. Web: "Contains a packed tool py2exe"
    Da wird dann wahrscheinlich zur Laufzeit das Script in eine EXE umgewandelt.

Schreibe einen Kommentar zu Holger Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.