Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Security Neuer Bot nistet sich im Speicher ein

Ein neu entdeckter Bot arbeitet im Arbeitsspeicher und ist damit weitaus schwerer aufzuspüren. Die Infizierung erfolgt aber auf herkömmliche Weise. Noch handelt es sich um einen Prototyp.

Anzeige

Eine neuartige Malware lädt bösartigen Programmcode in den Arbeitsspeicher und führt ihn dort aus. Das macht es ungleich schwieriger, ihn aufzuspüren, da er verschlüsselt übertragen und nicht auf der Festplatte abgelegt wird. Noch handelt es sich um einen Prototyp, sagen die Sicherheitsexperten von Sophos Labs.

Bei ihren Recherchen zu einem Angriff, der ihnen gemeldet wurde, stießen die Sophos-Forscher auf einen offensichtlich experimentellen Schadcode, den Malware-Entwickler in einem Feldversuch prüfen, samt Debugging-Informationen. Die dort enthaltene digitale Signatur wurde bereits in einem anderen Zero-Day-Exploit verwendet, den Experten bei Kaspersky Labs aufgedeckt hatten.

Infektion über Flash

Die neue Malware infiziert einen Rechner auf einem herkömmlichen Weg - nämlich über einen Link in einer Spam-E-Mail. Dieser führte auf einen Server in der Türkei, auf dem die Schadsoftware liegt. Sie nutzt eine Schwachstelle in Adobe Flash aus. Gegenwärtig zielt die Malware auf den Firefox-Browser ab. Erst nachdem die Sicherheitsexperten nachgeholfen hatten, konnten sie die experimentelle Schadsoftware ausführen.

Die landet unter dem Namen Scode.dll samt den Shellcode-Dateien Scodeexp.txt und Scode.txt auf dem Rechner eines Opfers. Die Shellcode-Dateien sind entweder an Windows XP oder an andere Windows-Versionen angepasst. Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter, die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart.

Bot entdeckt

Hier stießen die Forscher auf Links zu zwei Debug-Dateien. Die Dateien seien ein Hinweis darauf, dass es sich um experimentelle Malware handele, schreiben die Sicherheitsexperten.

Die umbenannte Explorer.exe ist mit einem gültigen Zertifikat signiert, mit dem bereits andere Malware signiert ist. Sophos' Antivirensoftware erkennt diese unter dem Namen Troj/FSBSpy-B. IAStorIcon.exe entpuppte sich als Bot, der sich mit einem Command-and-Control-Server in den Niederlanden verbindet.

Der Bot hat drei grundlegende Funktionen: Er liest Systeminformationen aus und kann aus der Ferne gesteuert werden, um Screenshots aufzunehmen und herunterzuladen sowie weiteren Schadcode zu beziehen und auszuführen. Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt nach AES. Der Schlüssel ist in der Datei IAStorIcon.exe eingebettet. Der Bot überträgt Auskünfte über die CPU, den Arbeitsspeicher, den Festplattenspeicher sowie eine Liste installierter Software.

Verschlüsselte Übertragung

Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt. Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet - ohne eigenen Prozess oder Thread. Das sei nicht nur ungewöhnlich, so die Experten, sondern erschwere auch die Erkennung der Malware.

Noch ist die Malware aber mit Debug-Nachrichten versehen. Wenn die Datei IAStorIcon.exe über den Systemprozess mit der ID 4 gestartet werde, sei sie ziemlich mitteilsam, schreiben die Forscher.


Endwickler 17. Feb 2013

Nein. Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht...

DylanD09 15. Feb 2013

@EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer...

DylanD09 15. Feb 2013

Genau das meinte ich. Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann...

Endwickler 15. Feb 2013

Soweit ich das erkennen kann, ist diese von dir gemeinte Kasperskymeldung schon fast ein...

ck2k 15. Feb 2013

Steam fragt mich vorher.

Kommentieren



Anzeige

  1. Senior Software Developer (m/w)
    econda GmbH, Karlsruhe
  2. Verifikationsingenieur (m/w) System on Chip Design
    DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  3. SAP-Koordinator (m/w) SAP SD / SAP ECC 6.0
    DEUTZ AG, Köln-Porz
  4. Trainee IT (m/w) Schwerpunkt SAP-Applikation
    Müller Service GmbH, Aretsried, Freising, Leppersdorf, Dissen

 

Detailsuche


Hardware-Angebote
  1. Fire TV Stick
    39,00€
  2. TIPP: Alternate Schnäppchen Outlet
  3. MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)

 

Weitere Angebote


Folgen Sie uns
       


  1. Aerofoils

    Formel-1-Technik macht Supermarkt-Kühlregale effizienter

  2. Force Touch

    Apples Trackpad könnte künftig verschiedene Oberflächen simulieren

  3. Bodyprint

    Yahoo-Software verwandelt Touchscreen in Ohr-Scanner

  4. BKA

    Ab Herbst 2015 soll der Bundestrojaner einsetzbar sein

  5. Die Woche im Video

    Computerspiele, Whatsapp und Fire TV Stick

  6. Amtsgericht Hamburg

    Online-Partnervermittlungen dürfen kein Geld nehmen

  7. Elite Dangerous

    Powerplay im All

  8. Martin Gräßlin

    KDE Plasma läuft erstmals unter Wayland

  9. Canonical

    Ubuntus Desktop-Next soll auf DEB-Pakete verzichten

  10. Glass Chair

    Mit der Google Glass den Rollstuhl steuern



Haben wir etwas übersehen?

E-Mail an news@golem.de



P8 im Hands On: Huawei setzt auf die Kamera
P8 im Hands On
Huawei setzt auf die Kamera
  1. Lite Huaweis kleines P8 kostet 250 Euro
  2. Huawei P8 Max Riesen-Smartphone mit 6,8-Zoll-Display kostet 550 Euro
  3. Netzwerk und Smartphone Huawei verdient 4,5 Milliarden US-Dollar

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Hummingboard angetestet Heiß und anschlussfreudig
  2. Onion Omega Preiswertes Bastelboard für OpenWrt
  3. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster

  1. Re: Was macht ihr eigentlich mit Linux?

    freebyte | 03:01

  2. Re: ohne apt kein ubuntu

    Seitan-Sushi-Fan | 02:54

  3. Re: Stimme

    elitezocker | 02:17

  4. Re: Aufrüsten?

    Sander Cohen | 02:11

  5. Re: Überwachung der Normalsterblichen

    Danse Macabre | 01:54


  1. 15:17

  2. 10:05

  3. 09:50

  4. 09:34

  5. 09:01

  6. 18:41

  7. 16:27

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel