• IT-Karriere:
  • Services:

Security: Neuer Bot nistet sich im Speicher ein

Ein neu entdeckter Bot arbeitet im Arbeitsspeicher und ist damit weitaus schwerer aufzuspüren. Die Infizierung erfolgt aber auf herkömmliche Weise. Noch handelt es sich um einen Prototyp.

Artikel veröffentlicht am ,
Security: Neuer Bot nistet sich im Speicher ein
(Bild: Sophos)

Eine neuartige Malware lädt bösartigen Programmcode in den Arbeitsspeicher und führt ihn dort aus. Das macht es ungleich schwieriger, ihn aufzuspüren, da er verschlüsselt übertragen und nicht auf der Festplatte abgelegt wird. Noch handelt es sich um einen Prototyp, sagen die Sicherheitsexperten von Sophos Labs.

Stellenmarkt
  1. L-Bank, Karlsruhe
  2. MADELEINE Mode GmbH, Zirndorf (bei Nürnberg / Fürth)

Bei ihren Recherchen zu einem Angriff, der ihnen gemeldet wurde, stießen die Sophos-Forscher auf einen offensichtlich experimentellen Schadcode, den Malware-Entwickler in einem Feldversuch prüfen, samt Debugging-Informationen. Die dort enthaltene digitale Signatur wurde bereits in einem anderen Zero-Day-Exploit verwendet, den Experten bei Kaspersky Labs aufgedeckt hatten.

Infektion über Flash

Die neue Malware infiziert einen Rechner auf einem herkömmlichen Weg - nämlich über einen Link in einer Spam-E-Mail. Dieser führte auf einen Server in der Türkei, auf dem die Schadsoftware liegt. Sie nutzt eine Schwachstelle in Adobe Flash aus. Gegenwärtig zielt die Malware auf den Firefox-Browser ab. Erst nachdem die Sicherheitsexperten nachgeholfen hatten, konnten sie die experimentelle Schadsoftware ausführen.

Die landet unter dem Namen Scode.dll samt den Shellcode-Dateien Scodeexp.txt und Scode.txt auf dem Rechner eines Opfers. Die Shellcode-Dateien sind entweder an Windows XP oder an andere Windows-Versionen angepasst. Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter, die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart.

Bot entdeckt

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Hier stießen die Forscher auf Links zu zwei Debug-Dateien. Die Dateien seien ein Hinweis darauf, dass es sich um experimentelle Malware handele, schreiben die Sicherheitsexperten.

Die umbenannte Explorer.exe ist mit einem gültigen Zertifikat signiert, mit dem bereits andere Malware signiert ist. Sophos' Antivirensoftware erkennt diese unter dem Namen Troj/FSBSpy-B. IAStorIcon.exe entpuppte sich als Bot, der sich mit einem Command-and-Control-Server in den Niederlanden verbindet.

Der Bot hat drei grundlegende Funktionen: Er liest Systeminformationen aus und kann aus der Ferne gesteuert werden, um Screenshots aufzunehmen und herunterzuladen sowie weiteren Schadcode zu beziehen und auszuführen. Die Kommunikation mit dem Command-and-Control-Server erfolgt verschlüsselt nach AES. Der Schlüssel ist in der Datei IAStorIcon.exe eingebettet. Der Bot überträgt Auskünfte über die CPU, den Arbeitsspeicher, den Festplattenspeicher sowie eine Liste installierter Software.

Verschlüsselte Übertragung

Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt. Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet - ohne eigenen Prozess oder Thread. Das sei nicht nur ungewöhnlich, so die Experten, sondern erschwere auch die Erkennung der Malware.

Noch ist die Malware aber mit Debug-Nachrichten versehen. Wenn die Datei IAStorIcon.exe über den Systemprozess mit der ID 4 gestartet werde, sei sie ziemlich mitteilsam, schreiben die Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)
  2. (u. a. Mad Games Tycoon für 6,50€, Transport Fever 2 für 21€, Shadow Tactics: Blades of the...
  3. 759€ (Bestpreis)
  4. (u. a. be quiet! Straight Power 11 Platinum 850Watt PC-Netzteil für 154,90€, Heitronic...

rajan1 12. Sep 2018

Das Problem sehe ich, was ist der eigentliche bösartige Code, es ist nicht ein großes...

Endwickler 17. Feb 2013

Nein. Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht...

DylanD09 15. Feb 2013

@EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer...

Endwickler 15. Feb 2013

Soweit ich das erkennen kann, ist diese von dir gemeinte Kasperskymeldung schon fast ein...

ck2k 15. Feb 2013

Steam fragt mich vorher.


Folgen Sie uns
       


Govecs Elmoto Loop - Test

Das Elmoto Loop von Govecs wiegt nur 59 Kilogramm, hat einen guten Elektromotor und fährt sich ganz anders als ein klassischer E-Roller.

Govecs Elmoto Loop - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /