Schadcode: Talos-Experten warnen vor RAM-basiertem Netzwerk

Sicherheit, Malware, Virus Bildquelle: White Web Services
Sicherheits-Experten bei Talos haben auf eine neue Malware-Kampagne hingewiesen, bei der der Schadcode nicht auf Anhieb von Viren-Scannern entdeckt wird. Denn die Attacke vermied es weitgehend, auf den lokalen Festspeicher zuzugreifen. Die Malware selbst wird unter der Bezeichnung Divergent geführt. Auf die Rechner der Nutzer kam der Schadcode dabei über entsprechende Skripte, die entweder über Werbenetzwerke oder unsichere Backends in Webseiten eingebunden wurden. Der Code selbst nistet sich dann erst einmal im Arbeitsspeicher ein und vermeidet es, Dateien auf die Festplatte oder SSD zu schreiben - denn dies hätte zur Folge, dass vorhandene Virenscanner wohl schnell auf die unerwarteten Aktivitäten aufmerksam würden. Stattdessen wird der Schadcode aus dem RAM heraus aktiv und lädt von hier auch diverse Komponenten nach.

Darunter befindet sich unter anderem auch das Node.js-Framework, das es möglich macht, Javascript-Skripte außerhalb des Browsers zum Laufen zu bringen. Außerdem setzt die Malware auf WinDivert, ein Open Source-Tool zum Abfangen und Modifizieren von Datenpaketen in Netzwerken. Nachgeladene Bestandteile sorgen dann unter anderem dafür, dass aktive Virenscanner möglichst abgeschaltet werden, bevor man dann doch eventuell etwas ins Dateisystem schreibt.

Stets aktuell

Die Malware-Module auf dem Rechner sorgen dann dafür, dass der Rechner als Proxy-System für diverse Aufgaben dienen kann, die den Betreibern dann Geld einbringen. Unter anderem führen sie Klickbetrug durch. Allerdings dürften auch schon andere Aktivitäten stattgefunden haben - immerhin lassen sich Spuren der Malware bis zum letzten Februar zurückverfolgen.

Entsprechend ist es auch kein großer Nachteil für die Betreiber, dass der Schadcode nach dem Ausschalten des Computers nicht mehr vorhanden ist - denn so ist gewährleistet, dass im Grunde nur aktuelle Varianten zum Einsatz kommen, die stets die gerade anstehenden Aufgaben erledigen und nicht etwa einer Beschäftigung nachgehen, die längst nichts mehr einbringt. Die Analyse durch die Sicherheitsexperten macht es nun möglich, dass passende Signaturen in die AV-Datenbanken eingefügt werden konnten - doch dürfte es schnell zur Verteilung neuer Versionen kommen, die nicht mehr direkt erkannt werden.

Download SuperAntiSpyware - Malware aufspüren und entfernen Sicherheit, Malware, Virus Sicherheit, Malware, Virus White Web Services
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

Tipp einsenden