Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Security Neuer Bot nistet sich im Speicher ein

Ein neu entdeckter Bot arbeitet im Arbeitsspeicher und ist damit weitaus schwerer aufzuspüren. Die Infizierung erfolgt aber auf herkömmliche Weise. Noch handelt es sich um einen Prototyp.

Anzeige

Eine neuartige Malware lädt bösartigen Programmcode in den Arbeitsspeicher und führt ihn dort aus. Das macht es ungleich schwieriger, ihn aufzuspüren, da er verschlüsselt übertragen und nicht auf der Festplatte abgelegt wird. Noch handelt es sich um einen Prototyp, sagen die Sicherheitsexperten von Sophos Labs.

Bei ihren Recherchen zu einem Angriff, der ihnen gemeldet wurde, stießen die Sophos-Forscher auf einen offensichtlich experimentellen Schadcode, den Malware-Entwickler in einem Feldversuch prüfen, samt Debugging-Informationen. Die dort enthaltene digitale Signatur wurde bereits in einem anderen Zero-Day-Exploit verwendet, den Experten bei Kaspersky Labs aufgedeckt hatten.

Infektion über Flash

Die neue Malware infiziert einen Rechner auf einem herkömmlichen Weg - nämlich über einen Link in einer Spam-E-Mail. Dieser führte auf einen Server in der Türkei, auf dem die Schadsoftware liegt. Sie nutzt eine Schwachstelle in Adobe Flash aus. Gegenwärtig zielt die Malware auf den Firefox-Browser ab. Erst nachdem die Sicherheitsexperten nachgeholfen hatten, konnten sie die experimentelle Schadsoftware ausführen.

Die landet unter dem Namen Scode.dll samt den Shellcode-Dateien Scodeexp.txt und Scode.txt auf dem Rechner eines Opfers. Die Shellcode-Dateien sind entweder an Windows XP oder an andere Windows-Versionen angepasst. Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter, die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart.

Bot entdeckt

Hier stießen die Forscher auf Links zu zwei Debug-Dateien. Die Dateien seien ein Hinweis darauf, dass es sich um experimentelle Malware handele, schreiben die Sicherheitsexperten.

Die umbenannte Explorer.exe ist mit einem gültigen Zertifikat signiert, mit dem bereits andere Malware signiert ist. Sophos' Antivirensoftware erkennt diese unter dem Namen Troj/FSBSpy-B. IAStorIcon.exe entpuppte sich als Bot, der sich mit einem Command-and-Control-Server in den Niederlanden verbindet.

Der Bot hat drei grundlegende Funktionen: Er liest Systeminformationen aus und kann aus der Ferne gesteuert werden, um Screenshots aufzunehmen und herunterzuladen sowie weiteren Schadcode zu beziehen und auszuführen. Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt nach AES. Der Schlüssel ist in der Datei IAStorIcon.exe eingebettet. Der Bot überträgt Auskünfte über die CPU, den Arbeitsspeicher, den Festplattenspeicher sowie eine Liste installierter Software.

Verschlüsselte Übertragung

Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt. Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet - ohne eigenen Prozess oder Thread. Das sei nicht nur ungewöhnlich, so die Experten, sondern erschwere auch die Erkennung der Malware.

Noch ist die Malware aber mit Debug-Nachrichten versehen. Wenn die Datei IAStorIcon.exe über den Systemprozess mit der ID 4 gestartet werde, sei sie ziemlich mitteilsam, schreiben die Forscher.


Endwickler 17. Feb 2013

Nein. Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht...

DylanD09 15. Feb 2013

@EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer...

DylanD09 15. Feb 2013

Genau das meinte ich. Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann...

Endwickler 15. Feb 2013

Soweit ich das erkennen kann, ist diese von dir gemeinte Kasperskymeldung schon fast ein...

ck2k 15. Feb 2013

Steam fragt mich vorher.

Kommentieren



Anzeige

  1. Direktor (m/w) Collaboration und Web Technologien
    BIOTRONIK SE & Co. KG, Berlin
  2. (Junior) Consultant (m/w) Big Data / Business Intelligence / Data Warehouse
    saracus consulting GmbH, Münster und Baden-Dättwil (Schweiz)
  3. Mobile Developer - Andriod / iOS (m/w)
    PAYBACK GmbH, München
  4. SAP CRM Berater (m/w)
    SPIRIT/21, Braunschweig

 

Detailsuche


Folgen Sie uns
       


  1. Verbraucherzentrale

    Auf Schreiben wegen Rundfunkbeitrag reagieren

  2. Filmstreaming

    Erste Preise für Netflix Deutschland sichtbar

  3. Alone in the Dark

    Atari setzt auf doppelten Horror

  4. LMDE

    Linux Mint wechselt zu Debian Stable neben Ubuntu

  5. Preisvergleich

    Ergebnisse in Preissuchmaschinen nicht zuverlässig

  6. Akoya P2213T

    Medion stellt Windows-Convertible für 400 Euro vor

  7. Hacker

    Lizard Squad offenbar verhaftet

  8. Lennart Poettering

    Systemd und Btrfs statt Linux-Distributionen mit Paketen

  9. Dircrypt

    Ransomware liefert Schlüssel mit

  10. Wegen Computerabstürzen

    Nasa will Speicher eines Marsroboters neu formatieren



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows on Devices: Großes Betriebssystem auf kleinem Rechner
Windows on Devices
Großes Betriebssystem auf kleinem Rechner
  1. Entwicklerboard Microsoft verteilt kostenloses Windows für Intels Galileo
  2. Intel Galileo Generation 2 im August
  3. Intel Galileo Gen 2 Verbesserte Version für die Maker-Szene

Test Bioshock für iOS: Unterwasserstadt für die Hosentasche
Test Bioshock für iOS
Unterwasserstadt für die Hosentasche
  1. Unter Wasser Bioshock auf iOS-Geräten

Überschall-U-Boot: Von Schanghai nach San Francisco in 100 Minuten
Überschall-U-Boot
Von Schanghai nach San Francisco in 100 Minuten

    •  / 
    Zum Artikel