Zwei russische Anti-Crimeware-Experten aus dem Virenlabor von Kaspersky Lab haben eine Analyse veröffentlicht, die sich eingehend mit der neuen Modifikation des erstmals 2008 aufgetauchten Backdoor.Win32.Sinowal beschäftigt. Sergey Golovanov, Senior Malware Analyst und Vyacheslav Rusakov, Lead Developer der Threat Analysis Group, betrachten in dem Artikel den Werdegang und die Auswirkungen des schlimmsten Backdoors der vergangenen Zeit.
Die neue Version des Bootkits wurde Ende März 2009 im Virenlabor von Kaspersky Lab analysiert. Sie verbreitet sich über gefährliche Homepages mit pornographischen Inhalten oder Angeboten für Piraterie-Software. Die meisten Server, die mit den Infektionen zusammenhängen, haben eine russische Verbindung. Sie sind Teil eines kriminellen Partnerprogramms, bei dem die Besitzer der Internetseiten mit den Crimeware-Autoren zusammenarbeiten.
Backdoor.Win32.Sinowal gilt als das derzeit fortschrittlichste Schadprogramm, da es sich erfolgreich vor den meisten modernen Antiviren-Programmen verbirgt. Zu den relativ neuen Technologien zählt auch das Verfahren zum Generieren eines Domain-Namens für eine Website, von der Exploits verbreitet werden. Besucht der Anwender eine infizierte Site, startet ein spezielles Skript, das anhand des PC-Datums den Namen einer Webseite erstellt. Dorthin wird der Anwender gelenkt, um das auf seinen Rechner zugeschnittene Exploit empfangen zu können. Diese Technologie macht klassische Blacklists zur Blockierung infizierter Websites praktisch nutzlos. Durch Analyse des Namens-Algorithmus können Experten allerdings herausfinden, welche Namen in Frage kommen und sie entsprechend blockieren.
Rusakov und Golovanov plädieren dafür, dass die Arbeitsmethoden dieses raffinierten Bootkits die Antiviren-Industrie dazu animieren sollten, die von den Bootkit-Autoren eingesetzten Technologien äußerst wachsam zu verfolgen, da sie schon sehr bald von vielen anderen Virenautoren genutzt werden könnten.