Abo
  • Services:
Anzeige
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows.
Durch ein Nicht-Ascii-Zeichen verschleiert sich Malware in der Registry von Windows. (Bild: Gdata)

Poweliks: Malware, die sich in der Registry versteckt

Datenexperten haben eine ungewöhnliche Malware entdeckt, die sich in der Windows-Registry versteckt und Payloads über die Powershell installiert. Dadurch sei sie von Antivirensoftware nur schwer aufzuspüren.

Anzeige

Der Trojaner Poweliks versteckt sich in der Windows-Registry und nutzt zahlreiche Verschleierungstaktiken, um Payloads auszuführen oder zu installieren. Durch seine Vielschichtigkeit ist er nur sehr schwer von Antivirensoftware aufzuspüren und entsprechend schwer zu analysieren gewesen. Dabei wurde nicht einmal eine Datei auf Speichermedien geschrieben. Bislang erfolgte der Angriff über eine Schwachstelle in Microsoft Word. Er könnte aber auch über andere Exploits eingeschleust werden, schreiben Datenexperten von Gdata.

Damit der Trojaner einen Neustart überlebt, nistet er sich zunächst in die Registry ein. Dort wird unter \CurrentVersion\Run ein neuer Schlüssel erstellt, der aus einem Nicht-Ascii-Zeichen besteht. Dadurch schützt sich der dort enthaltene Code, da Regedit.exe eine Fehlermeldung beim Zugriff auf den Schlüssel generiert und das Löschen verweigert. Auch der Inhalt des Schlüssels bleibt damit verborgen.

Verschleierungstaktiken

Dort wurde Javascript-Code abgelegt, der mit dem Microsoft-eigenen Jscript.Encode verschlüsselt wird. Der Encoder wurde aber bereits geknackt. Zunächst überprüft der Javascript-Code, ob auf dem betroffenen System die Powershell installiert ist. Falls nicht, holt er sich den Befehlsinterpreter und installiert ihn. Danach wird dort weiterer Code gestartet, der mit Base64 verschlüsselt ist und mit Parameter -EncodedCommand ausgeführt wird. Um die Sicherheitseinschränkungen beim Ausführen von Code zu umgehen, werden Benutzereingaben ausgeschaltet.

Der mit Base64 kodierte Code greift mit Virtualprotect() und CallWindowProcA() auf den Speicher zu, um dort weiteren Shellcode, in diesem Fall in Assembler geschrieben, auszuführen. Zunächst wird Speicher über Virtualalloc() alloziiert. Dann kopiert sich der Shellcode und weiteren Code dorthin und führt ihn aus.

Bei dem von Gdata analysierten Code handelte es sich um eine ausführbare Datei, die versuchte, sich mit zwei inzwischen abgeschalteten C&C-Servern zu verbinden. Möglich wäre allerdings ein beliebiger Payload, so die Sicherheitsexperten.


eye home zur Startseite
nille02 06. Aug 2014

Nur um auf einen entfernten Rechner zugreifen zu können. Lokal gehst du einfach auf...

FreiGeistler 06. Aug 2014

Vieleicht merkst du nur nichts davon. : ) Das sind ziemlich schlechte Viren, die sich...

ives.laaf 05. Aug 2014

Laut http://www.virusradar.com/en/Win32_Poweliks.A/description ist das schon seit Anfang...

Der... 05. Aug 2014

"der mit Base64 verschlüsselt ist"



Anzeige

Stellenmarkt
  1. BAGHUS GmbH, München
  2. Landkreis Lörrach, Lörrach
  3. GIGATRONIK Stuttgart GmbH, Stuttgart
  4. Landeshauptstadt München, München


Anzeige
Hardware-Angebote
  1. 77,00€ (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Wie soll man das verstehen?

    GenXRoad | 04:23

  2. Wenn das Gerät wenigstens BlackberryOS hätte...

    janoP | 02:28

  3. Re: Und? Dafür sind sie da.

    bombinho | 02:06

  4. Re: sehr clever ... MS

    FreiGeistler | 01:33

  5. Re: Erklärung für einen Kryptodepp

    freebyte | 01:28


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel