Ilomo: leise, unbemerkt und sehr gefährlich

Für manche Schadsoftware ist es am Besten, wenn sie gar nicht auffällt. Ilomo ist so eine Software, die sich auf Datendiebstahl spezialisiert hat. Trend Micro hat sich den gefährlichen Schädling genauer angesehen.

Ob Bankkonten, E-Mail-Postfächer, Server oder andere IT-Ressourcen: Der Schädling »Ilomo«, auch »Clampi«, »Ligats« oder »Rscan« genannt, hat sich auf den Diebstahl von Zugangsdaten spezialisiert. Für den Sicherheitsanbieter Trend Micro ist Ilomo so ein Fall, bei dem Malware weitgehend unbeobachtet von der Öffentlichkeit sehr effizient ihr Unwesen treibt. Zudem kann Iloma bei Online-Banking-Sitzungen des Anwenders auch selbst unbemerkt Transfers zu den Cyber-Gangstern vornehmen. Experten von Trend Micro haben sich die Schadsoftware genauer angesehen.

Ilomo tauchte zum ersten Mal Ende 2005 auf. Seitdem hat sich Malware kontinuierlich verändert. Hauptziele dabei waren einmal ein Reverse-Engineering zu erschweren und möglichst unbemerkt zu bleiben. Für ersteres setzt der Schädling »VMProtect« ein. Dabei handelt sich um eine kommerziell verfügbare Software, die sich mit 200 Dollar eigentlich jeder Kriminelle leisten kann.

Jeder Ilomo-Knoten hat zwei »Command & Control«-Server (C&C), so genannte Gates, eingestellt, mit dem er Kontakt aufnimmt, um Updates, weitere Gate-Listen oder Instruktionen zu erhalten. Bei diesen Gates handelt sich meist um korrumpierte Web-Server.

Ilomo kommt als Binär-Datei. Die Malware besteht auf dem »Dropper« und dem »Main Executable«. Ersteres installiert Ilomo auf dem System. Dazu lädt Dropper bis zu sechs Module herunter: Socks, Prot, Loggertext, Spread, Info und Accounts. Socks erlaubt den Kriminellen, Verbindungen über die infizierte Maschine zu routen. Prot stiehlt Daten wie Website-Passwörter. Logger zeichnet alle Http-Post/-Get-Anfragen auf, die zu einer bestimmten Liste von Websites gehen.

1. Ilomo: leise, unbemerkt und sehr gefährlich
2. Ilomo: leise, unbemerkt und sehr gefährlich (Fortsetzung)