Ramdo: Funktionsweise des Klickbetrug-Trojaners

Der Trojaner Ramdo infiziert Windows-Systeme. Dabei geht er raffinierter als vor als vergleichbare Malware und ist so schwieriger zu entdecken.

Ramdo ist eine Trojaner-Familie, die Klickbetrug begeht. Diese Art von Trojaner-Programm wird verwendet, um die Anzahl von Besuchen auf bestimmten Internetseiten zu erhöhen oder die Anzahl von Hits für Online-Anzeigen zu steigern.

Christine SchoenigChristine Schönig, Technical Managerin bei Check Point

Ramdo zielt auf Windows-Systeme. Der Trojaner installiert sich selbst per Exploit-Kit und kopiert sich dann selbst auf das System. Dort erstellt er eine verschlüsselte DLL-Datei, die den Payload des Trojaners enthält, der in einen neuen Systemablauf injiziert wird. 

Seine Konfigurationsdaten (Benutzeragent, C&C-bezogene Informationen und den für die Verschlüsselung der Daten aus dem C&C verwendeten RC4-Schlüssel) speichert er ebenfalls in der Systemregistrierung.

Netzwerk-Analyse

Zuerst erzeugt Ramdo eine „HTTP get“-Anforderung an Google, um die Konnektivität zu testen.

RamdoRamdo testet im ersten Schritt anhand der Erreichbarkeit von Google, ob eine Internetverbindung besteht.

Anschließend erstellt der Trojaner eine POST-Anforderung an seinen C&C-Server, die folgende Informationen zum System enthält:

  • Version des Betriebssystems
  • Name des Computers
  • Details zur Frage, ob der Computer als virtuelle Maschine läuft oder nicht
  • Flash-Player-Informationen
  • Globally Unique Identifier (GUID) des Computers
  • Details zur Frage, ob es sich bei dem Computer um 32-Bit- oder 64-Bit-System handelt.
  • RC4-Schlüssel

Diese Informationen sind mit einem anderen, eingebetteten, öffentlichen Schlüssel chiffriert.

RamdoRamdo übermittelt Informationen zum infizierten Computer an seinen C&C-Server.

Ramdo verwendet einen Domain Generation Algorithm (DGA), um die Domains zu erzeugen, die er kontaktiert. In den Proben, die Check Point untersuchte, hatten die Domain-Namen alle 16 Zeichen und das Suffix „.org“ am Ende. Die Internetseiten, die Ramdo anklickt, werden vom C&C-Server zurückgeschickt und in der Registry gespeichert. Im Anschluss an die Verschlüsselung führt Ramdo Klicks auf diese Internetseiten aus.

Schwierig zu erkennen

Bisher bekannte Malware wie Virut, Zeus oder Conficker, die DGA-Mechanismen nutzte, verwendete die aktuellen Daten als Initialisierungskeim für die DGA-Randomisierung. Ramdo unterstützt hingegen eine andere Initialisierungstechnik, indem er einen individuell vordefinierten Keim pro Variante nutzt. Somit reicht Reverse Engineering einer Ramdo-Probe in den meisten Fällen nicht aus, um die DGA-Domains vorauszusagen, da unterschiedliche Operatoren unterschiedliche Initialisierungskeime verwenden. Der oben erwähnte Datenverkehr könnte jedoch ungeachtet der verwendeten Domain mit Netzwerk-Signaturen beglaubigt sein.

RamdoVon Ramdo infizierte Länder. Noch ist der Trojaner hauptsächlich ein US-Problem.

Entdeckte Domains

Am Ende des Artikels finden Sie Beispiele für einige von Check Point gefundene C&C-Domains, die Ramdo nutzt. Bemerkenswert ist, dass alle Domains exakt 16 Zeichen lang sind und das Suffix “.org” aufweisen. Bitte beachten Sie, dass es sich hier nicht um eine vollstänige oder gar endgültige Auflistung der Ramdo-Domains handelt. Check Point ergänzt Domains für seinen eigenen Security-Produkte in der ThreatCloud.

Über die Autorin:

Christine Schönig ist seit 2009 als Technical Managerin bei Check Point tätig. Hier führt sie das technische Pre-Sales-Consultancy-Team in Deutschland. Zuvor war die 42-jährige Managerin bei Nokia im Geschäftsbereich Business Mobility für den Vertrieb von Mobility- und Security-Produkten des finnischen Herstellers in Deutschland zuständig. Bei Nokia war sie unter anderem mit der Leitung des Bereichs Pre-Sales SE-Manager für Zentraleuropa beauftragt. Als Technical Operations Managerin hatte sie zudem verschiedene Führungsaufgaben in Europa, dem Mittleren Osten und Afrika inne.

Beispiele für C&C-Domains von Ramdo

uosqmakeosgssquc.org
wsukoewkkisuieau.org
kuseseaywucqwkqk.org
eiuqwoiwkqqicmgm.org
kuawkswesmaaaqwm.org
wsqqusgiaayeseik.org
uoukqqyamggcssee.org
ywoekqumwmygouka.org
qgwccyckcsuyiuwo.org
skmggwaiuwuywgwy.org
gmaeesguiokeyqwo.org
eimqqakugeccgwak.org
kuqcuyqmaggguqum.org
skoqqgkoaymgmigi.org
mycsawomqiqkgqgu.org
gmykmcguecgigese.org
ywyoyicywkuuyuye.org
kucmcamaqsgmaiye.org
eiumggisguyauamu.org
eimsqyumcomkokoe.org
ocswikyocogewgmu.org
ocuasmoyesguksig.org
skaakuomwgacoqyg.org
ceqqqwwuigyuueso.org
occckkseyiwaqgqo.org
aaiwoisiaeygwwoo.org
ywkyogwycimaciua.org
iqguwmiwsmawceoc.org
uogwoigiuweyccsw.org
ceigqweqwaywiqgu.org
aacaeqieqoaiykws.org
cemkacimaqsyomam.org
kuqqqgskcsmkgyai.org
myiskosuiikykagi.org
gmgigoiogeosyawm.org
aaukqiooaseseuke.org
iqswksmkegumawkm.org
uoyksmyysmoeocwa.org
wskugoswmwomsciy.org
wsgggmmsciugqmsi.org
kukwweimqccqmgii.org
cemecwmgkyqayekw.org
wsosmywcwmocwusk.org
kuyuacgsiowawsqa.org
ceyueaeiogooemgq.org
skemauscmqiiakew.org
skmymmeiaoooigke.org
kuucswiqwwaiwgqw.org
ywywuqmswcyuqueg.org
aaimomuiqqqkikiy.org
skqgakcyowmwcomc.org
kucuyusiqsseqmso.org
qggeieyeemioyoym.org
cegauoqsykgqecqc.org

Artikel wurde zuletzt im August 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close