Weiterentwicklung anspruchsvoller Spyware: von Agent.BTZ zu
ComRAT
By Paul Rascagnères
Published: 2025-02-12 · Archived: 2026-04-05 17:19:14 UTC
15.01.2015
Lesezeit: 8 min (2223 Wörter)
Im November 2014 veröffentlichten die Experten der G DATA SecurityLabs einen Artikel über ComRAT, den
Nachfolger von Agent.BTZ. Wie wir damals erläuterten, stand dieser Fall mit dem Uroburos-Rootkit in
Verbindung. Wir gehen davon aus, dass der Entwickler, der hinter diesen Kampagnen steht, verschiedene
Malware-Stämme nutzt, um die anzugreifende Infrastruktur zu kompromittieren: Uroburos, ein Rootkit;
Agent.BTZ/ComRAT, Fernsteuerungstool oder Linux-Malware und vielleicht sogar noch mehr.
Wir entschlossen uns dazu, Agent.BTZ und ComRAT noch einmal genauer unter die Lupe zu nehmen. Deshalb
haben wir die Entwicklung dieses Fernsteuerungstools über sieben Jahre untersucht. Die folgende Tabelle enthält
minimale Informationen über 46 verschiedene Samples:
Aus den Versionsbezeichnungen können wir ableiten, dass die ermittelten Kompilierungsdaten korrekt sind, mit
Ausnahme der letzten bekannten Version, bei der der Entwickler das Kompilierungsdatum modifiziert hat, um die
Analyse zu erschweren. Wir sehen, dass diese Malware in den Jahren 2007 und 2008 sehr aktiv war. Weniger neue
Versionen wurden im Jahr 2009 veröffentlicht; lediglich ein neues Sample wurde im Jahr 2010 erfasst. Ab dem
Jahr 2011 fanden wir keine neuen Samples, aber die Malware tauchte im Jahr 2012 wieder mit einer neuen
Hauptversion auf.
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 1 of 8

Die Entwicklung des Fernsteuerungstools in zehn Schritten
Um die Weiterentwicklung der Software zu beschreiben, haben wir zehn Hauptversionen verglichen:
Version Ch 1.0 (2007-06) im Vergleich zu Ch 1.5 (2008-03)
Version Ch 1.5 (2008-03) im Vergleich zu Ch 2.03 (2008-05)
Version Ch 2.03 (2008-05) im Vergleich zu Ch 2.11 (2009-09)
Version Ch 2.11 (2009-09) im Vergleich zu Ch 2.14.1 (2010-02)
Version Ch 2.14.1 (2010-02) im Vergleich zu Ch 3.00 (2012-01)
Version Ch 3.00 (2012-01) im Vergleich zu Ch 3.10 (2012-12)
Version Ch 3.10 (2012-12) im Vergleich zu Ch 3.20 (2013-06)
Version Ch 3.20 (2013-06) im Vergleich zu Ch 3.25 (2014-02)
Version Ch 3.25 (2014-02) im Vergleich zu Ch 3.26 (2013-01; Datum wurde modifiziert)
Im folgenden Kapitel werden die wesentlichen Unterschiede zwischen den oben genannten Versionen dargelegt.
Die folgende Tabelle zeigt die Ähnlichkeit der einzelnen Versionen in Prozent; verglichen werden jeweils nur die
direkt aufeinanderfolgenden Versionen unter Verwendung von BinDiff:
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 2 of 8

Die größten Code-Unterschiede sind zwischen Version 2.14.1 und Version 3.00 festzustellen. Dieser Sprung ergibt
sich aus dem Fehlen von Samples in den dazwischenliegenden zwei Jahren; diese grundlegende Veränderung
bezeichnen wir als das Ende von Agent.BTZ und den Beginn von ComRAT.
Unterschiede zwischen den Versionen Ch 1.0 (2007-06) und Ch 1.5 (2008-03)
Die analysierten Samples sind folgende:
Ch 1.0: b41fbdd02e4d54b4bc28eda99a8c1502  
Ch 1.5: bbf569176ec7ec611d8a000b50cdb754  
Ähnlichkeit des Codes: 90 %
Wir haben keine grundlegenden Unterschiede zwischen den beiden Samples feststellen können. Jedoch können
wir Folgendes festhalten:
Die Konfigurationsdatei (XML) in Version 1.5 ist nicht mehr im ASCII-Format, sondern in Unicode
gespeichert.
Beide Versionen implementieren einen Mechanismus, um neue Datenträger zu infizieren, die am infizierten
System angeschlossen werden. Weder die Implementierung noch das Protokoll der Datenträgerinfizierung
sind identisch.
Version 1.5 erstellt das neue Event „wowmgr_is_load“. Dieses Event wurde dann jahrelang verwendet.
Unterschiede zwischen den Versionen Ch 1.5 (2008-03) und Ch 2.03 (2008-05)
Die analysierten Muster sind folgende:
Ch 1.5: bbf569176ec7ec611d8a000b50cdb754  
Ch 2.03: 78d3f074b70788897ae7e20e5137bf47  
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 3 of 8

Ähnlichkeit des Codes: 83 %
In Version 2.03 von Agent.BTZ haben die Entwickler Folgendes geändert:
Sie führten eine Verschlüsselungstechnik ein, um kritische Zeichenketten zu verbergen.
Dem Kommunikationsprotokoll wurde das Flag „<CHCMD>“ hinzugefügt.
Wir gehen davon aus, dass „CH“ dieselbe Bedeutung wie „Ch“ vor der Versionsnummer hat und „CMD“ eine
Abkürzung für Command (Befehl) ist.
Von nun an unterstützt die Malware „Runas“, um Befehle als Administrator auszuführen. Dieser Befehl
wurde im Jahr 2007 von Microsoft in Windows Vista implementiert. Wir gehen davon aus, dass der
Entwickler diese Funktion implementiert hat, weil mehrere Zielcomputer im Jahr 2008 auf diese Windows-Version umstiegen.
Laut einem Bericht wurde Version 1.5 für einen Angriff gegen das US-Verteidigungsministerium (Pentagon)
eingesetzt. Wir gehen davon aus, dass die Zeichenfolgenverschlüsselung durchgeführt wurde, um
Sicherheitsmaßnahmen zu umgehen, die Angriffe erkennen sollen.
Unterschiede zwischen den Versionen Ch 2.03 (2008-05) und Ch 2.11 (2009-09)
Die analysierten Muster sind folgende:
Ch 2.03: 78d3f074b70788897ae7e20e5137bf47  
Ch 2.11: 162f415abad9708aa61db8e03bcf2f3c  
Ähnlichkeit des Codes: 96 %
Der Programmcode dieser beiden Versionen weist kaum Unterschiede auf. Wir konnten nur sehr geringe
Unterschiede feststellen:
Der Entwickler hat die Bezeichnung mehrerer Registry-Schlüssel geändert (vermutlich, um die Erkennung
durch bekannte IOCs zu vermeiden).
Auch die Bezeichnungen zweier exportierter Funktionen wurden geändert: Aus InstallM() wurde
AddAtomT() und aus InstallS() wurde AddAtomS(), wahrscheinlich aus denselben, bereits oben
dargelegten Gründen.
Unterschiede zwischen den Versionen Ch 2.11 (2009-09) und Ch 2.14.1 (2010-02)
Die analysierten Muster sind folgende:
Ch 2.11: 162f415abad9708aa61db8e03bcf2f3c  
Ch 2.14.1: 5121ce1f96d74076df1c39748e019f42  
Ähnlichkeit des Codes: 98 %
Auch bei diesen Versionen ist der Code sehr ähnlich. Wir konnten nur zwei Unterschiede feststellen:
Der Entwickler hat einige Fehler gepatcht.
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 4 of 8

Es sind vier neue Exporte vorhanden: DllCanUnLoadNow(), DllGetClassObject(), DllRegisterServer(),
DllUnregisterServer().
Die vier exportierten Bibliotheken zeigen, dass die Malware erstmalig das OLE Component Object Model (COM)
unterstützt. Diese Version ist die erste Version, die in der Lage ist, als COM-Objekt registriert zu werden. Drei der
vier Funktionen haben keinen Inhalt. Die vierte Funktion führt die Malware aus.
Unterschiede zwischen den Versionen 2.14.1 (2010-02) und Ch 3.00 (2012-01)
Die analysierten Muster sind folgende:
Ch 2.14.1: 5121ce1f96d74076df1c39748e019f42  
Ch 3.00: 28dc1ca683d6a14d0d1794a68c477604  
Ähnlichkeit des Codes: 60 %
Der Code dieser Versionen weist große Unterschiede auf, wenngleich einige Teile von Version 2.14.1 beibehalten
wurden. Außerdem haben die Entwickler einen anderen Compiler benutzt; sie sind von Visual Studio 6.0 auf
Visual Studio 9.0/10.0 umgestiegen, was ein bedeutender Indikator für die großen Unterschiede ist.
Version 3.00 ist die Version, die die Experten der G DATA SecurityLabs als „ComRAT“ bezeichnen. Damit ist
Version 2.14.1 die letzte Version von Agent.BTZ. Hier die wichtigsten Unterschiede zwischen Agent.BTZ und
ComRAT:
Die neue Malware sammelt mehr Informationen über das infizierte System (beispielsweise
Laufwerksinformationen, Volume-Informationen usw.)
Der Mechanismus zum Infizieren von Datenträger-Sticks wurde endgültig entfernt. Der Grund hierfür ist
vermutlich, dass Microsoft die automatische Ausführung bei externen Datenträgern deaktiviert hat. Für die
Angreifer ist dieser Infektionsvektor nicht mehr interessant.
Die Malware wird in jeden Prozess des infizierten Computers injiziert; die primäre Payload wird in
„explorer.exe“ ausgeführt, wie wir in unserem Bericht "Die Akte Uroburos: neues, ausgeklügeltes RAT
identifiziert" erläutert haben.
Der Kommunikationskanal zum Command & Control Server ist nicht mehr derselbe. In der neuen Version
nutzt die Malware POST-Anfragen nach folgendem Muster:
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 5 of 8

Da die Malware in jeden Prozess des infizierten Systems injiziert wird, erstellt sie eine sogenannte „Named
Pipe“ für die prozessübergreifende Kommunikation.
Bei mehreren Samples von Version 3.00 vergaß der Entwickler, den Kompilierungspfad zu entfernen. Hier einige
Beispiele:
c:\projects\ChinckSkx64\Debug\Chinch.pdb
c:\projects\ChinckSkx64\Release\libadcodec.pdb
C:\projects\ChinckSkx64\x64\Release\libadcodec.pdb
E:\old_comp\_Chinch\Chinch\trunk\Debug\Chinch.pdb
c:\projects\ChinchSk\Release\libadcodec.pdb
Aufgrund dieser Kompilierungspfade gehen wir davon aus, dass der ursprüngliche Name des Fernsteuerungstools
„Chinch“ ist. Dies führt uns zu der Annahme, dass die Zeichenfolge „CH“ in der Versionsbezeichnung und im
Flag „<CHCMD>“ für „Chinch“ steht. Das englische Wort „Chinch“ bezeichnet das kleine nordamerikanische
Insekt mit der wissenschaftlichen Bezeichnung Blissus leucopterus. Dieses Wort leitet sich vom spanischen Wort
„chinche“ ab, das Wanze bedeutet.
Unterschiede zwischen den Versionen Ch 3.00 (2012-01) und Ch 3.10 (2012-12)
Die analysierten Muster sind folgende:
Ch 3.00: 28dc1ca683d6a14d0d1794a68c477604  
Ch 3.10: b86137fa5a232c614ec5405be4d13b37  
Ähnlichkeit des Codes: 90 %
Der Code ist bei diesen Versionen ähnlich, doch die Entwickler haben einige neue Funktionen integriert:
Die Malware generiert mehr Protokolle.
Die Malware verfügt über einen Mutex-Handle.
Version 3.10 unterstützt mehrere Command & Control Server.
Diese letztgenannte neue Funktion ist sehr interessant: Wenn die kompromittierten Zielcomputer einen
bestimmten C&C-Server blockieren, funktioniert die Malware dennoch weiterhin über zwei alternative Command
& Control Server.
Unterschiede zwischen den Versionen Ch 3.10 (2012-12) und Ch 3.20 (2013-06)
Die analysierten Samples sind folgende:
Ch 3.10: b86137fa5a232c614ec5405be4d13b37  
Ch 3.20: 7872c1d88fe21d8a85f160a6666c76e8  
Ähnlichkeit des Codes: 93 %
Die wichtigste neue Funktion dieser Version ist die neue Exportfunktion InstallW(). Diese Exportfunktion wird
vom Dropper dazu verwendet, dauerhafte Registry-Einträge zu erstellen und – wie in unserem letzten Artikel
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 6 of 8

beschrieben – eine zweite Datei abzusetzen. Version 3.20 verwendet die folgende CLSID, um ein COM-Objekt zu
manipulieren: B196B286-BAB4-101A-B69C-00AA00341D07. Dieses Objekt ist die Schnittstelle
IConnectionPoint. Die CLSID wurde nur in dieser Version verwendet.
Wir gehen davon aus, dass die durchgeführte Manipulation des COM-Objekts einige Probleme auf dem infizierten
System erzeugt. Deshalb hat der Entwickler damit im Zusammenhang stehende Aspekte in der nächsten Version
geändert. Darüber hinaus wurde die CLSID im Sample in Klartext gespeichert.
Unterschiede zwischen den Versionen Ch 3.20 (2013-06) und Ch 3.25 (2014-02)
Die analysierten Samples sind folgende:
Ch 3.20: 7872c1d88fe21d8a85f160a6666c76e8  
Ch 3.25: ec7e3cfaeaac0401316d66e964be684e  
Ähnlichkeit des Codes: 91 %
In Version 3.25 ist der Entwickler auf folgende CLSID umgestiegen: 42aedc87-2188-41fd-b9a3-0c966feabec1.
Dies wird in unserem Bericht "Die Akte Uroburos: neues, ausgeklügeltes RAT identifiziert" beschrieben. Zudem
sind die Zeichenketten im Muster verschlüsselt. Die wichtigste Neuerung ist die Verschlüsselung – fast alle
Zeichenketten sind verschlüsselt, und das XML-Muster ist nicht mehr in Klartext geschrieben.
Unterschiede zwischen den Versionen 3.25 Ch (2014-02) und Ch 3.26 (2013-01;
Datum wurde modifiziert)
Die analysierten Samples sind folgende:
Ch 3.25: ec7e3cfaeaac0401316d66e964be684e  
Ch 3.26: b407b6e5b4046da226d6e189a67f62ca  
Ähnlichkeit des Codes: 95 %
Version 3.26 ist die jüngste bekannte Version. In dieser Version haben die Entwickler folgende Änderungen
vorgenommen:
Der bekannte, in Agent.BTZ und Uroburos genutzte, XOR-Schlüssel wurde entfernt. Wir gehen davon aus,
dass sich der Entwickler aufgrund der G DATA-Veröffentlichung im Februar 2014 dazu entschlossen hat,
möglichst viele Zusammenhänge zwischen Uroburos und Agent.BTZ/ComRAT/Chinch zu entfernen.
Die Entwickler generieren keine Protokolle mehr.
Das Kompilierungsdatum wurde geändert, um die Analyse und die Erstellung einer Zeitleiste zu
erschweren.
Fazit
Diese Analyse zeigt uns die Entwicklung eines Fernsteuerungstools über sieben Jahre. Es wird von einer Gruppe
genutzt, die Angriffe gegen sensible Organisationen wie etwa im Jahr 2008 gegen das US-https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 7 of 8

Verteidigungsministerium (Pentagon) oder im Jahr 2014 gegen das belgische Außenministerium sowie gegen das
finnische Außenministerium richtete.
Bis auf die Änderungen in Version 3.00 sind die vorgenommenen Änderungen eher marginal. Wir erkennen, dass
die Entwickler Funktionen an die Windows-Versionen angepasst, Fehler gepatcht, Verschlüsselungstechniken
integriert haben usw. Das größte Update auf Version 3.00 wurde nach zwei Jahren des Schweigens durchgeführt.
Offenbar wurde dieses Fernsteuerungstool parallel zum Uroburos-Rootkit eingesetzt. Dennoch ist nicht völlig
klar, wie und wann die Angreifer sich dazu entschieden haben, das Fernsteuerungstool oder das Rootkit
einzusetzen oder ob beide Tools parallel genutzt werden.
Unter Berücksichtigung aller Aspekte sind die Experten der G DATA SecurityLabs davon überzeugt, dass die
Gruppe, die hinter Uroburos/Agent.BTZ/ComRAT bzw. dem Linux-Tool steckt, auch weiterhin eine aktive Rolle
im Bereich Malware und APT spielen wird. Aufgrund der neuesten Analyseergebnisse und der daraus gezogenen
Schlussfolgerungen kommen wir zu der Ansicht, dass noch weitere Bedrohungen folgen werden.
Folgende Artikel könnten Sie auch interessieren:
Artikel teilen
 Wichtige IT-Security-News per E-Mail
Aktuelle IT-Gefahren
Schutz-Tipps für Privatkunden
15 % Willkommensgutschein
Source: https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
https://blog.gdata.de/2015/01/23779-weiterentwicklung-anspruchsvoller-spyware-von-agent-btz-zu-comrat
Page 8 of 8