Clevere Spambots entdeckt

Das Malware-Analyseteam von Palo Alto Networks »Unit 42« hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen. So prüft der Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet er sich selbst ab.

Dieser Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hinterlässt bei der ersten Ausführung eine Kopie von sich selbst im Opfersys­tem, stößt einen neuen svchost.exe-Prozess an, initialisiert sich, indem er sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server. Die Malware enthält eine hartcodierte Liste von bekannten Blacklist-Servern.