auf dem Keyboard (Keylogging) und das Anfertigen von Screenshots und deren Weiterleitung an einen Remote-Server.
BackDoor.Yebot nutzt zur Verbreitung einen anderen Trojaner, der in der Dr.Web Virendatenbank unter der Bezeichnung Trojan.Siggen6.31836 gelistet ist. Nachdem sich Letzterer gestartet hat, fügt er den Schadcode in die Prozesse svchost.exe, csrss.exe, lsass.exe und explorer.exe ein. Anschließend wird eine Anfrage an den Remote-Server gesendet, der Trojaner BackDoor.Yebot heruntergeladen, installiert und automatisch gestartet.
Danach wird BackDoor.Yebot entsprechend konfiguriert und übernimmt die Kontrolle über den infizierten Rechner. Besonderes Kennzeichen des Trojan.Siggen6.31836 ist, dass einige seiner Funktionen verschlüsselt sind. Diese werden nur bei der Installation entschlüsselt, wobei der Trojaner den Hauptspeicher blockiert und diesen danach wieder freigibt. Daneben prüft der Schädling, ob es im System eine virtuelle Workstation gibt, die mittels User Account Control (UAC) umgangen werden kann.
BackDoor.Yebot kann folgende Funktionen übernehmen:
Starten eines FTP-Servers auf dem infizierten PC;
Starten des SOCKS-5-Protokolls eines Proxy-Servers auf dem infizierten Computer;
Modifikation des RDP-Protokolls zur Sicherung eines Remotezugangs zum infizierten PC;
Protokollierung der Eingaben auf dem Keyboard (Keylogging);
Verbindungsaufbau zum infizierten PC für FTP, RDP und SOCKS5, sobald im Netz NAT verwendet wird;
Abfangen von Daten nach PCRE (Perl Compatible Regular Expressions);
Abfangen von Scard-Tokens;
Einfügen fremder Inhalte in Webseiten;
Abfangen von Systemfunktionen einstellen;
Abhängig von der Konfigurationsdatei: Modifikation des Schadcodes des gestarteten Prozesses;
Interaktion mit anderen Modulen (Plug-Ins);
Anfertigen von Screenshots;
Nach privaten Schlüsseln im infizierten System suchen.
Zum Datenaustausch mit dem Verwaltungsserver verwendet BackDoor.Yebot sowohl das HTTP-Protokoll als auch ein proprietäres binäres Protokoll. Der Verwaltungsserver des Trojaners verfügt über diverse inkonsistente Konfigurationen: Er kann beispielsweise eine beliebige IP-Adresse in seine Blacklist aufnehmen, wenn über diese eine inkorrekte Anfrage gesendet wurde.
Die Sicherheitsanalysten sind der Ansicht, dass Cyber-Kriminelle BackDoor.Yebot auch als Banken-Trojaner einsetzen, da er über eine große Bandbreite an Funktionen verfügt und mit anderen Modulen kompatibel ist.
BackDoor.Yebot nutzt zur Verbreitung einen anderen Trojaner, der in der Dr.Web Virendatenbank unter der Bezeichnung Trojan.Siggen6.31836 gelistet ist. Nachdem sich Letzterer gestartet hat, fügt er den Schadcode in die Prozesse svchost.exe, csrss.exe, lsass.exe und explorer.exe ein. Anschließend wird eine Anfrage an den Remote-Server gesendet, der Trojaner BackDoor.Yebot heruntergeladen, installiert und automatisch gestartet.
Danach wird BackDoor.Yebot entsprechend konfiguriert und übernimmt die Kontrolle über den infizierten Rechner. Besonderes Kennzeichen des Trojan.Siggen6.31836 ist, dass einige seiner Funktionen verschlüsselt sind. Diese werden nur bei der Installation entschlüsselt, wobei der Trojaner den Hauptspeicher blockiert und diesen danach wieder freigibt. Daneben prüft der Schädling, ob es im System eine virtuelle Workstation gibt, die mittels User Account Control (UAC) umgangen werden kann.
BackDoor.Yebot kann folgende Funktionen übernehmen:
Starten eines FTP-Servers auf dem infizierten PC;
Starten des SOCKS-5-Protokolls eines Proxy-Servers auf dem infizierten Computer;
Modifikation des RDP-Protokolls zur Sicherung eines Remotezugangs zum infizierten PC;
Protokollierung der Eingaben auf dem Keyboard (Keylogging);
Verbindungsaufbau zum infizierten PC für FTP, RDP und SOCKS5, sobald im Netz NAT verwendet wird;
Abfangen von Daten nach PCRE (Perl Compatible Regular Expressions);
Abfangen von Scard-Tokens;
Einfügen fremder Inhalte in Webseiten;
Abfangen von Systemfunktionen einstellen;
Abhängig von der Konfigurationsdatei: Modifikation des Schadcodes des gestarteten Prozesses;
Interaktion mit anderen Modulen (Plug-Ins);
Anfertigen von Screenshots;
Nach privaten Schlüsseln im infizierten System suchen.
Zum Datenaustausch mit dem Verwaltungsserver verwendet BackDoor.Yebot sowohl das HTTP-Protokoll als auch ein proprietäres binäres Protokoll. Der Verwaltungsserver des Trojaners verfügt über diverse inkonsistente Konfigurationen: Er kann beispielsweise eine beliebige IP-Adresse in seine Blacklist aufnehmen, wenn über diese eine inkorrekte Anfrage gesendet wurde.
Die Sicherheitsanalysten sind der Ansicht, dass Cyber-Kriminelle BackDoor.Yebot auch als Banken-Trojaner einsetzen, da er über eine große Bandbreite an Funktionen verfügt und mit anderen Modulen kompatibel ist.
