Abo
  • Services:
Anzeige
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows.
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows. (Bild: Gdata)

Poweliks: Malware, die sich in der Registry versteckt

Datenexperten haben eine ungewöhnliche Malware entdeckt, die sich in der Windows-Registry versteckt und Payloads über die Powershell installiert. Dadurch sei sie von Antivirensoftware nur schwer aufzuspüren.

Anzeige

Der Trojaner Poweliks versteckt sich in der Windows-Registry und nutzt zahlreiche Verschleierungstaktiken, um Payloads auszuführen oder zu installieren. Durch seine Vielschichtigkeit ist er nur sehr schwer von Antivirensoftware aufzuspüren und entsprechend schwer zu analysieren gewesen. Dabei wurde nicht einmal eine Datei auf Speichermedien geschrieben. Bislang erfolgte der Angriff über eine Schwachstelle in Microsoft Word. Er könnte aber auch über andere Exploits eingeschleust werden, schreiben Datenexperten von Gdata.

Damit der Trojaner einen Neustart überlebt, nistet er sich zunächst in die Registry ein. Dort wird unter \CurrentVersion\Run ein neuer Schlüssel erstellt, der aus einem Nicht-Ascii-Zeichen besteht. Dadurch schützt sich der dort enthaltene Code, da Regedit.exe eine Fehlermeldung beim Zugriff auf den Schlüssel generiert und das Löschen verweigert. Auch der Inhalt des Schlüssels bleibt damit verborgen.

Verschleierungstaktiken

Dort wurde Javascript-Code abgelegt, der mit dem Microsoft-eigenen Jscript.Encode verschlüsselt wird. Der Encoder wurde aber bereits geknackt. Zunächst überprüft der Javascript-Code, ob auf dem betroffenen System die Powershell installiert ist. Falls nicht, holt er sich den Befehlsinterpreter und installiert ihn. Danach wird dort weiterer Code gestartet, der mit Base64 verschlüsselt ist und mit Parameter -EncodedCommand ausgeführt wird. Um die Sicherheitseinschränkungen beim Ausführen von Code zu umgehen, werden Benutzereingaben ausgeschaltet.

Der mit Base64 kodierte Code greift mit Virtualprotect() und CallWindowProcA() auf den Speicher zu, um dort weiteren Shellcode, in diesem Fall in Assembler geschrieben, auszuführen. Zunächst wird Speicher über Virtualalloc() alloziiert. Dann kopiert sich der Shellcode und weiteren Code dorthin und führt ihn aus.

Bei dem von Gdata analysierten Code handelte es sich um eine ausführbare Datei, die versuchte, sich mit zwei inzwischen abgeschalteten C&C-Servern zu verbinden. Möglich wäre allerdings ein beliebiger Payload, so die Sicherheitsexperten.


eye home zur Startseite
nille02 06. Aug 2014

Nur um auf einen entfernten Rechner zugreifen zu können. Lokal gehst du einfach auf...

FreiGeistler 06. Aug 2014

Vieleicht merkst du nur nichts davon. : ) Das sind ziemlich schlechte Viren, die sich...

ives.laaf 05. Aug 2014

Laut http://www.virusradar.com/en/Win32_Poweliks.A/description ist das schon seit Anfang...

Der... 05. Aug 2014

"der mit Base64 verschlüsselt ist"



Anzeige

Stellenmarkt
  1. enercity, Hannover
  2. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Böblingen
  3. OSRAM GmbH, München
  4. Vertec GmbH, Hamburg, Zürich (Schweiz)


Anzeige
Blu-ray-Angebote
  1. 6,99€
  2. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  2. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  3. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  4. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  5. Raspberry Pi

    Compute Module 3 ist verfügbar

  6. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  7. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  8. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  9. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  10. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

Taps im Test: Aufsatz versagt bei den meisten Fingerabdrucksensoren
Taps im Test
Aufsatz versagt bei den meisten Fingerabdrucksensoren
  1. Glas Der Wunderwerkstoff
  2. Smartphone-Prognosen Das Scheitern der Marktforscher
  3. Studie Smartphones und Tablets können den Körper belasten

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Für Konvertierungen akzeptabel

    cry88 | 16:08

  2. Re: ob das klappt?

    salty | 16:07

  3. Re: Es wird schwer für Nintendo

    Dwalinn | 16:06

  4. Re: Selbst Landungen

    Rulf | 16:05

  5. Re: Zweifel an der Objektivität

    Nikolai | 16:05


  1. 14:17

  2. 13:21

  3. 12:30

  4. 12:08

  5. 12:01

  6. 11:58

  7. 11:48

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel