News : Schadsoftware kann Master Boot Record löschen

, 43 Kommentare

Eine Malware, die derzeit mit Hilfe von Spam-Mails verteilt wird, kann laut einem Bericht der Sicherheitsexperten von Trend Micro nicht nur dazu führen, dass Computer aus der Ferne übernommen werden, sondern kann auch den Bildschirm der betroffenen Geräte einfrieren oder den Master Boot Record (MBR) löschen.

Die derzeit in Deutschland per Spam-Mail verteilte Malware landet als Rechnung im Zip-Format getarnt in den digitalen Briefkästen. Die Einzelheiten der vermeintlichen Zahlungsverpflichtung sind angeblich im Anhang der E-Mail enthalten. Das Öffnen dieses Anhangs setzt die Schadroutine in Gang und installiert eine Backdoor auf dem Rechner, der dann von „Command and Control Servern“ (C&C) Befehle und weitere Schadroutinen erhält.

Die als BKDR_MATSNU.MCB bekannte Backdoor sammelt zunächst einmal relevante Informationen vom betroffenen Rechner und sendet diese an die C&C-Server. Nach welchen Kriterien und/oder in welcher Reihenfolge die folgenden Szenarien gestartet werden ist noch nicht ganz klar.

Ein Szenario führt dazu, dass der Bildschirm eingefroren wird und im bekannten Stil von Ransomware ein „Lösegeld“ gefordert wird. In Deutschland geht die Schadsoftware etwas subtiler als in der Vergangenheit vor und verwendet als vermeintlichen Absender der auf dem Bildschirm eingeblendeten Zahlungsaufforderung deutsche Strafverfolgungsbehörden, um dem Betrug mehr Glaubwürdigkeit zu verleihen.

Das ging in den vergangenen Monaten bei ähnlichen Angriffen so weit, dass dem Nutzer vorher Material von dokumentiertem Kindesmissbrauch und urheberrechtlich geschützte Werke untergeschoben wurden, dessen er dann von der vermeintlichen Behörde beschuldigt und ein Bußgeld gefordert wurde, um den Rechner zu entsperren.

Spam-Mail mit Schadsoftware
Spam-Mail mit Schadsoftware (Bild: Trend Micro)

Eine weitere Variante weist den Computer an, seinen eigenen MBR zu löschen, was in der Folge zu einem nicht länger startfähigen Gerät führt. Diese Methode richtete im März in einem ähnlichen Fall in Südkorea großen Schaden durch Ausfallzeiten von Servern an. Auch hier wurden Spam-Mails, diesmal jedoch gezielt, an Institutionen versandt und Schadsoftware injiziert. Diese verharrte bis zu ihrer Aktivierung am 20. März still. Daraufhin wurden dann Verbindungen der betroffenen Rechner zu verbundenen Servern in den Applikationen mRemote und SecureCRT gesucht. Dort gefundene Zugangsdaten zu Root-Accounts wurden benutzt, um sich an entfernten AIS- HP-UX- und Solaris-Server anzumelden und den MBR zu löschen. Wenn das nicht funktionierte, wurden die Verzeichnisse /kernel/, /usr/, /etc/ und /home/ gelöscht. Abschließend wurde noch der MBR des Ursprungsrechners entfernt.

Aus welchem Grund die Löschung des MBR geschieht ist derzeit unklar, ein ersichtlicher Gewinn lässt sich damit nicht erzielen.