Abo
  • Services:
Anzeige
Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Security: Neuer Bot nistet sich im Speicher ein

Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Ein neu entdeckter Bot arbeitet im Arbeitsspeicher und ist damit weitaus schwerer aufzuspüren. Die Infizierung erfolgt aber auf herkömmliche Weise. Noch handelt es sich um einen Prototyp.

Eine neuartige Malware lädt bösartigen Programmcode in den Arbeitsspeicher und führt ihn dort aus. Das macht es ungleich schwieriger, ihn aufzuspüren, da er verschlüsselt übertragen und nicht auf der Festplatte abgelegt wird. Noch handelt es sich um einen Prototyp, sagen die Sicherheitsexperten von Sophos Labs.

Anzeige

Bei ihren Recherchen zu einem Angriff, der ihnen gemeldet wurde, stießen die Sophos-Forscher auf einen offensichtlich experimentellen Schadcode, den Malware-Entwickler in einem Feldversuch prüfen, samt Debugging-Informationen. Die dort enthaltene digitale Signatur wurde bereits in einem anderen Zero-Day-Exploit verwendet, den Experten bei Kaspersky Labs aufgedeckt hatten.

Infektion über Flash

Die neue Malware infiziert einen Rechner auf einem herkömmlichen Weg - nämlich über einen Link in einer Spam-E-Mail. Dieser führte auf einen Server in der Türkei, auf dem die Schadsoftware liegt. Sie nutzt eine Schwachstelle in Adobe Flash aus. Gegenwärtig zielt die Malware auf den Firefox-Browser ab. Erst nachdem die Sicherheitsexperten nachgeholfen hatten, konnten sie die experimentelle Schadsoftware ausführen.

Die landet unter dem Namen Scode.dll samt den Shellcode-Dateien Scodeexp.txt und Scode.txt auf dem Rechner eines Opfers. Die Shellcode-Dateien sind entweder an Windows XP oder an andere Windows-Versionen angepasst. Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter, die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart.

Bot entdeckt

Hier stießen die Forscher auf Links zu zwei Debug-Dateien. Die Dateien seien ein Hinweis darauf, dass es sich um experimentelle Malware handele, schreiben die Sicherheitsexperten.

Die umbenannte Explorer.exe ist mit einem gültigen Zertifikat signiert, mit dem bereits andere Malware signiert ist. Sophos' Antivirensoftware erkennt diese unter dem Namen Troj/FSBSpy-B. IAStorIcon.exe entpuppte sich als Bot, der sich mit einem Command-and-Control-Server in den Niederlanden verbindet.

Der Bot hat drei grundlegende Funktionen: Er liest Systeminformationen aus und kann aus der Ferne gesteuert werden, um Screenshots aufzunehmen und herunterzuladen sowie weiteren Schadcode zu beziehen und auszuführen. Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt nach AES. Der Schlüssel ist in der Datei IAStorIcon.exe eingebettet. Der Bot überträgt Auskünfte über die CPU, den Arbeitsspeicher, den Festplattenspeicher sowie eine Liste installierter Software.

Verschlüsselte Übertragung

Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt. Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet - ohne eigenen Prozess oder Thread. Das sei nicht nur ungewöhnlich, so die Experten, sondern erschwere auch die Erkennung der Malware.

Noch ist die Malware aber mit Debug-Nachrichten versehen. Wenn die Datei IAStorIcon.exe über den Systemprozess mit der ID 4 gestartet werde, sei sie ziemlich mitteilsam, schreiben die Forscher.


eye home zur Startseite
Endwickler 17. Feb 2013

Nein. Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht...

DylanD09 15. Feb 2013

@EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer...

DylanD09 15. Feb 2013

Genau das meinte ich. Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann...

Endwickler 15. Feb 2013

Soweit ich das erkennen kann, ist diese von dir gemeinte Kasperskymeldung schon fast ein...

ck2k 15. Feb 2013

Steam fragt mich vorher.



Anzeige

Stellenmarkt
  1. PTV Group, Karlsruhe
  2. zooplus AG, München
  3. Robert Bosch GmbH, Schwieberdingen
  4. Seven2one Informationssysteme GmbH, Karlsruhe


Anzeige
Spiele-Angebote
  1. 39,99€
  2. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Sandscout

    Angriff auf Apples Sandkasten

  2. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  3. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  4. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig

  5. Urheberrecht

    Der Abmahnerabmahner

  6. Raumfahrt

    Raketenstufen als Wohnung im Weltraum

  7. F1 2016 im Test

    Balsam für die Rennfahrer-Seele

  8. Anti-Tracking-Tool

    Mozilla beteiligt sich an Burdas Browser Cliqz

  9. Displays

    120 Hz für Notebooks, weniger Rand für Smartphones und TVs

  10. Kritische Infrastrukturen

    Wenn die USV Kryptowährungen schürft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Künstliche Muskeln Skelettroboter klappert mit den Zähnen
  2. Cyborg Ein Roboter mit Herz
  3. Pleurobot Bewegungen verstehen mit einem Robo-Salamander

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Auswahl Nicht ganz schlüssig

    Drag_and_Drop | 23:02

  2. Re: MS hat das Programmieren verlernt....

    Spiritogre | 23:01

  3. Re: android das neue windows der mobilen welt.

    unbuntu | 23:00

  4. Re: Röhrenmonitor auf den Bildern

    t3st3rst3st | 23:00

  5. Re: Warum...

    unbuntu | 22:58


  1. 17:30

  2. 17:15

  3. 17:04

  4. 16:55

  5. 14:52

  6. 14:26

  7. 14:00

  8. 13:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel