Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Security Neuer Bot nistet sich im Speicher ein

Ein neu entdeckter Bot arbeitet im Arbeitsspeicher und ist damit weitaus schwerer aufzuspüren. Die Infizierung erfolgt aber auf herkömmliche Weise. Noch handelt es sich um einen Prototyp.

Anzeige

Eine neuartige Malware lädt bösartigen Programmcode in den Arbeitsspeicher und führt ihn dort aus. Das macht es ungleich schwieriger, ihn aufzuspüren, da er verschlüsselt übertragen und nicht auf der Festplatte abgelegt wird. Noch handelt es sich um einen Prototyp, sagen die Sicherheitsexperten von Sophos Labs.

Bei ihren Recherchen zu einem Angriff, der ihnen gemeldet wurde, stießen die Sophos-Forscher auf einen offensichtlich experimentellen Schadcode, den Malware-Entwickler in einem Feldversuch prüfen, samt Debugging-Informationen. Die dort enthaltene digitale Signatur wurde bereits in einem anderen Zero-Day-Exploit verwendet, den Experten bei Kaspersky Labs aufgedeckt hatten.

Infektion über Flash

Die neue Malware infiziert einen Rechner auf einem herkömmlichen Weg - nämlich über einen Link in einer Spam-E-Mail. Dieser führte auf einen Server in der Türkei, auf dem die Schadsoftware liegt. Sie nutzt eine Schwachstelle in Adobe Flash aus. Gegenwärtig zielt die Malware auf den Firefox-Browser ab. Erst nachdem die Sicherheitsexperten nachgeholfen hatten, konnten sie die experimentelle Schadsoftware ausführen.

Die landet unter dem Namen Scode.dll samt den Shellcode-Dateien Scodeexp.txt und Scode.txt auf dem Rechner eines Opfers. Die Shellcode-Dateien sind entweder an Windows XP oder an andere Windows-Versionen angepasst. Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter, die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart.

Bot entdeckt

Hier stießen die Forscher auf Links zu zwei Debug-Dateien. Die Dateien seien ein Hinweis darauf, dass es sich um experimentelle Malware handele, schreiben die Sicherheitsexperten.

Die umbenannte Explorer.exe ist mit einem gültigen Zertifikat signiert, mit dem bereits andere Malware signiert ist. Sophos' Antivirensoftware erkennt diese unter dem Namen Troj/FSBSpy-B. IAStorIcon.exe entpuppte sich als Bot, der sich mit einem Command-and-Control-Server in den Niederlanden verbindet.

Der Bot hat drei grundlegende Funktionen: Er liest Systeminformationen aus und kann aus der Ferne gesteuert werden, um Screenshots aufzunehmen und herunterzuladen sowie weiteren Schadcode zu beziehen und auszuführen. Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt nach AES. Der Schlüssel ist in der Datei IAStorIcon.exe eingebettet. Der Bot überträgt Auskünfte über die CPU, den Arbeitsspeicher, den Festplattenspeicher sowie eine Liste installierter Software.

Verschlüsselte Übertragung

Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt. Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet - ohne eigenen Prozess oder Thread. Das sei nicht nur ungewöhnlich, so die Experten, sondern erschwere auch die Erkennung der Malware.

Noch ist die Malware aber mit Debug-Nachrichten versehen. Wenn die Datei IAStorIcon.exe über den Systemprozess mit der ID 4 gestartet werde, sei sie ziemlich mitteilsam, schreiben die Forscher.


Endwickler 17. Feb 2013

Nein. Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht...

DylanD09 15. Feb 2013

@EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer...

DylanD09 15. Feb 2013

Genau das meinte ich. Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann...

Endwickler 15. Feb 2013

Soweit ich das erkennen kann, ist diese von dir gemeinte Kasperskymeldung schon fast ein...

ck2k 15. Feb 2013

Steam fragt mich vorher.

Kommentieren



Anzeige

  1. Mitarbeiter/in Beauftragtenwesen / Informations­sicherheits­bea- uftragte/r
    PSD Bank Karlsruhe-Neustadt eG, Karlsruhe
  2. Webentwickler (m/w)
    ipoque GmbH, Leipzig
  3. Technischer Projektleiter (m/w) Softwareentwicklung / Funktionsentwicklung
    TKI Automotive GmbH, Gaimersheim/Ingolstadt
  4. Projektleiter/in - Software für webbasierte Fahrzeugdiagnose
    Robert Bosch GmbH, Plochingen

 

Detailsuche


Top-Angebote
  1. TIPP: Games-Downloads Angebote
    (u. a. Bioshock Infinite 7,49€, Xcom Enemy Unknown 4,99€, Boderlands 2 7,49€)
  2. NEU: Grand Budapest Hotel [Blu-ray]
    8,97€
  3. TIPP: PS4-Spiele reduziert
    (u. a. GTA V 42,33€, Project CARS 43,79€, Tamriel Unlimited 43,79€, Alien: Isolation Ripley...

 

Weitere Angebote


Folgen Sie uns
       


  1. Grüne

    Rechtsanspruch auf Breitband soll 12 Milliarden Euro kosten

  2. Überwachung

    BND-Akten zeigen die Sorglosigkeit deutscher Diplomaten

  3. Management

    Intel-Präsidentin tritt zurück und Mobile-Chef muss gehen

  4. Digital

    Paypal-Käuferschutz auch für Downloads

  5. UI-Framework

    Qt 5.5 vereinfacht 3D-Darstellungen

  6. Security

    Viele VPN-Dienste sind unsicher

  7. Anna's Quest im Test

    Mit Telekinese gegen die böse Hexe

  8. Österreich

    Provider müssen illegale Filmportale sperren

  9. Snapdragon 810 v2.1

    Oneplus' Two nutzt verbesserte Chipsoftware

  10. Musik-Streaming-Dienste

    Apple Music klingt wie alle anderen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Anonymes Surfen: Die Tor-Zentrale für zu Hause
Anonymes Surfen
Die Tor-Zentrale für zu Hause
  1. Anonymisierung Zur Sicherheit den eigenen Tor-Knoten betreiben
  2. Tor Hidden Services leichter zu deanonymisieren
  3. Projekt Astoria Algorithmen gegen Schnüffler im Tor-Netzwerk

Batman Arkham Knight im Test: Es ist kompliziert ...
Batman Arkham Knight im Test
Es ist kompliziert ...
  1. Arkham Knight Erster PC-Patch für Batman
  2. Technische Probleme Batman Arkham Knight nicht mehr auf Steam erhältlich

Xperia Z4 Tablet im Test: Dünn, leicht und heiß
Xperia Z4 Tablet im Test
Dünn, leicht und heiß
  1. First Flight Sony stellt Crowdfunding-Plattform für eigene Ideen vor
  2. Android-Entwicklung Sony bietet Android-M-Vorschau für Xperia-Geräte an
  3. Android Recovery Mode jetzt offiziell für Sony-Smartphones verfügbar

  1. Billig und schnell gewinnt gegen teuer und sicher

    Favorite | 20:14

  2. Re: "Wir" haben uns auf gar nichts "geeinigt...

    plutoniumsulfat | 20:14

  3. Re: Das ist wirklich so selten?

    fluppsi | 20:13

  4. Das Urheberrecht gehört reformiert

    derdiedas | 20:13

  5. Re: Zockende Banken und ein desolates...

    dietzelmann | 20:12


  1. 18:34

  2. 17:58

  3. 16:50

  4. 15:30

  5. 15:24

  6. 15:18

  7. 14:00

  8. 12:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel