Abo
  • Services:
Anzeige
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows.
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows. (Bild: Gdata)

Poweliks: Malware, die sich in der Registry versteckt

Datenexperten haben eine ungewöhnliche Malware entdeckt, die sich in der Windows-Registry versteckt und Payloads über die Powershell installiert. Dadurch sei sie von Antivirensoftware nur schwer aufzuspüren.

Anzeige

Der Trojaner Poweliks versteckt sich in der Windows-Registry und nutzt zahlreiche Verschleierungstaktiken, um Payloads auszuführen oder zu installieren. Durch seine Vielschichtigkeit ist er nur sehr schwer von Antivirensoftware aufzuspüren und entsprechend schwer zu analysieren gewesen. Dabei wurde nicht einmal eine Datei auf Speichermedien geschrieben. Bislang erfolgte der Angriff über eine Schwachstelle in Microsoft Word. Er könnte aber auch über andere Exploits eingeschleust werden, schreiben Datenexperten von Gdata.

Damit der Trojaner einen Neustart überlebt, nistet er sich zunächst in die Registry ein. Dort wird unter \CurrentVersion\Run ein neuer Schlüssel erstellt, der aus einem Nicht-Ascii-Zeichen besteht. Dadurch schützt sich der dort enthaltene Code, da Regedit.exe eine Fehlermeldung beim Zugriff auf den Schlüssel generiert und das Löschen verweigert. Auch der Inhalt des Schlüssels bleibt damit verborgen.

Verschleierungstaktiken

Dort wurde Javascript-Code abgelegt, der mit dem Microsoft-eigenen Jscript.Encode verschlüsselt wird. Der Encoder wurde aber bereits geknackt. Zunächst überprüft der Javascript-Code, ob auf dem betroffenen System die Powershell installiert ist. Falls nicht, holt er sich den Befehlsinterpreter und installiert ihn. Danach wird dort weiterer Code gestartet, der mit Base64 verschlüsselt ist und mit Parameter -EncodedCommand ausgeführt wird. Um die Sicherheitseinschränkungen beim Ausführen von Code zu umgehen, werden Benutzereingaben ausgeschaltet.

Der mit Base64 kodierte Code greift mit Virtualprotect() und CallWindowProcA() auf den Speicher zu, um dort weiteren Shellcode, in diesem Fall in Assembler geschrieben, auszuführen. Zunächst wird Speicher über Virtualalloc() alloziiert. Dann kopiert sich der Shellcode und weiteren Code dorthin und führt ihn aus.

Bei dem von Gdata analysierten Code handelte es sich um eine ausführbare Datei, die versuchte, sich mit zwei inzwischen abgeschalteten C&C-Servern zu verbinden. Möglich wäre allerdings ein beliebiger Payload, so die Sicherheitsexperten.


eye home zur Startseite
nille02 06. Aug 2014

Nur um auf einen entfernten Rechner zugreifen zu können. Lokal gehst du einfach auf...

FreiGeistler 06. Aug 2014

Vieleicht merkst du nur nichts davon. : ) Das sind ziemlich schlechte Viren, die sich...

ives.laaf 05. Aug 2014

Laut http://www.virusradar.com/en/Win32_Poweliks.A/description ist das schon seit Anfang...

Der... 05. Aug 2014

"der mit Base64 verschlüsselt ist"



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Forschungszentrum Jülich GmbH, Jülich
  3. mps public solutions gmbh, Koblenz
  4. Zühlke Engineering GmbH, Hannover, Eschborn (Frankfurt am Main), München


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. 3 Blu-rays für 18 EUR, TV-Serien reduziert, Box-Sets reduziert)

Folgen Sie uns
       


  1. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  2. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  3. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  4. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  5. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  6. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland

  7. Node.js

    Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

  8. E-Mail

    Private Mails von Topmanagern Ziel von Phishing-Kampagne

  9. OLED

    LG entwickelt aufrollbares transparentes 77-Zoll-Display

  10. Vorratsdatenspeicherung

    Bundesnetzagentur prüft Auswirkung der OVG-Entscheidung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: Neues GTA = neue Konsole

    genussge | 14:06

  2. Re: Mehrwertsteuer?

    px | 14:06

  3. Müssen sie nichtmal

    Eisklaue | 14:06

  4. Re: Vodafone und Telefónica

    Sinnfrei | 14:03

  5. Die Preise sind ja auch fair

    genussge | 14:01


  1. 13:44

  2. 13:16

  3. 12:40

  4. 12:04

  5. 12:01

  6. 11:59

  7. 11:44

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel