Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Poweliks: Malware, die sich in der Registry versteckt

Datenexperten haben eine ungewöhnliche Malware entdeckt, die sich in der Windows-Registry versteckt und Payloads über die Powershell installiert. Dadurch sei sie von Antivirensoftware nur schwer aufzuspüren.
/ Jörg Thoma
41 Kommentare News folgen (öffnet im neuen Fenster)
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows. (Bild: Gdata)
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows. Bild: Gdata

Der Trojaner Poweliks versteckt sich in der Windows-Registry und nutzt zahlreiche Verschleierungstaktiken, um Payloads auszuführen oder zu installieren. Durch seine Vielschichtigkeit ist er nur sehr schwer von Antivirensoftware aufzuspüren und entsprechend schwer zu analysieren gewesen. Dabei wurde nicht einmal eine Datei auf Speichermedien geschrieben. Bislang erfolgte der Angriff über eine Schwachstelle in Microsoft Word. Er könnte aber auch über andere Exploits eingeschleust werden, schreiben Datenexperten von Gdata(öffnet im neuen Fenster) .

Damit der Trojaner einen Neustart überlebt, nistet er sich zunächst in die Registry ein. Dort wird unter \CurrentVersion\Run ein neuer Schlüssel erstellt, der aus einem Nicht-Ascii-Zeichen besteht. Dadurch schützt sich der dort enthaltene Code, da Regedit.exe eine Fehlermeldung beim Zugriff auf den Schlüssel generiert und das Löschen verweigert. Auch der Inhalt des Schlüssels bleibt damit verborgen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Professur für Hard- und Software Digitaler Systeme Hochschule Osnabrück, Osnabrück (öffnet im neuen Fenster)
Java Backend Developer (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Ausbildung Fachinformatiker/-in Anwendungsentwicklung oder Fachinformatiker/-in Systemintegration (m/w/d) uhb Software GmbH, Sankt Wolfgang (öffnet im neuen Fenster)
Softwareentwickler/-in C# .NET (m/w/d) Berufsgenossenschaft Holz und Metall, Mainz (öffnet im neuen Fenster)
(Junior) Business Consultant Digital Signage Hardware (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker (m/w/d) Anwendungsentwicklung DRK-Blutspendedienst NSTOB gGmbH, Springe (öffnet im neuen Fenster)
Senior Consultant (m/w/d) - Supply Chain & Einkauf valantic Supply Chain & Procurement Consulting GmbH, Düsseldorf (öffnet im neuen Fenster)
Repair Administrator - Luftfahrt / MRO (m/w/d) Nord-Micro GmbH & Co. KG, Frankfurt am Main (öffnet im neuen Fenster)

Verschleierungstaktiken

Dort wurde Javascript-Code abgelegt, der mit dem Microsoft-eigenen Jscript.Encode verschlüsselt wird. Der Encoder wurde aber bereits geknackt(öffnet im neuen Fenster) . Zunächst überprüft der Javascript-Code, ob auf dem betroffenen System die Powershell installiert ist. Falls nicht, holt er sich den Befehlsinterpreter und installiert ihn. Danach wird dort weiterer Code gestartet, der mit Base64 verschlüsselt ist und mit Parameter -EncodedCommand ausgeführt wird. Um die Sicherheitseinschränkungen beim Ausführen von Code zu umgehen, werden Benutzereingaben ausgeschaltet.

Der mit Base64 kodierte Code greift mit Virtualprotect() und CallWindowProcA() auf den Speicher zu, um dort weiteren Shellcode, in diesem Fall in Assembler geschrieben, auszuführen. Zunächst wird Speicher über Virtualalloc() alloziiert. Dann kopiert sich der Shellcode und weiteren Code dorthin und führt ihn aus.

Bei dem von Gdata analysierten Code handelte es sich um eine ausführbare Datei, die versuchte, sich mit zwei inzwischen abgeschalteten C&C-Servern zu verbinden. Möglich wäre allerdings ein beliebiger Payload, so die Sicherheitsexperten.

Zur Startseite 41 Kommentare

Relevante Themen

SoftwareProgrammiersprachenToolsSecurityCybercrimeWirtschaftOnlinehandelDatensicherheitVirus