Sicherheit
Neuartiger Bot arbeitet im Hauptspeicher
von
Thorsten
Eggeling - 15.02.2013
Mitarbeiter von Sophos haben einen neuartigen Bot entdeckt, der Schadcode in den Hauptspeicher einschleust und ausführt. Da der Schädling nicht auf der Festplatte gespeichert wird, ist er besonders schwierig zu entdecken.
Nach Angaben von Sophos handelt es sich bei dem Bot um einen experimentellen Prototypen, den die Malware-Autoren derzeit in einem Feldversuch testen und Debugging-Informationen sammeln. Die digitale Signatur des Bots ist nach der Analyse identisch mit einem Zero-Day-Exploit, den zuvor Experten bei Kaspersky Lab entdeckt haben.
Übertragen wird der Bot per Spam-E-Mail. Der darin enthaltene Link führt auf einen Server in die Türkei. Vor dort lädt der Schädling weiteren eine Datei namens Scode.dll mitsamt den Shellcode-Dateien Scodeexp.txt und Scode.txt nach. Er nutzt dafür eine nicht bekannte Sicherheitslücke in Adobes Flash Player und funktioniert bisher nur in Firefox. Die an Windows XP oder andere Windows-Versionen angepassten Shellcode-Dateien speichern die ausführbare Datei Taskmgr.exe, die in Scode.dll enthalten ist, in einem Temp-Ordner und laden die gültig zertifizierte Datei Explorer.exe nach. Diese wird als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Der Rechner bleibt so auch nach einem Neustart infiziert.
Der Antivirenscanner von Sophos identifiziert die Datei IAStorIcon.exe als Troj/FSBSpy-B. IAStorIcon.exe. Dabei handelt es ich um einen multifunktionalen Bot. Er kann Schadcode nachladen und ausführen, sämtliche Systeminformationen auslesen und aus der Ferne gesteuert Screenshots machen. Die Kommunikation mit einem Command-and-Control-Server in den Niederlanden erfolgt AES-verschlüsselt.
Das eigentlich Raffinierte ist, dass der Schadcode in Form einer ausführbaren Datei nicht auf der Festplatte, sondern im Arbeitsspeicher abgelegt wird. Dort wird er ohne eigenen Prozess oder Thread gestartet. Das ist laut den Experten ungewöhnlich und erschwert den Antivirenscannern, den nachgeladenen Schadcode zu erkennen.
Nutzer können dennoch beruhigt sein. Zumindest vorerst. Die Dateien, die zur Infektion führen, werden inzwischen von den meisten Virenscannern erkannt, nicht aber der nachgeladene Schadcode. Die Angreifer bessern jedoch sicher nach und werden neue Versionen ohne Debug-Code verbreiten. Dann ist es Glückssache bis der geänderte Schädling erneut entdeckt wird. Bleibt noch zu hoffen, dass bis dahin die ursächliche Sicherheitslücke im Flash Player gefunden und geschlossen ist - und Kriminelle keine neue Schwachstelle finden.
