Schwer zu entdecken

Die Techniken des Stealth-Trojaners Regin

von - 27.11.2014
Der verdeckt arbeitende Trojaner Regin ist im Internet unterwegs. Die Sicherheitsanbieter Trend Micro und Tenable Network Security haben bereits Hinweise zu den Techniken des Trojaners veröffentlicht.
Foto: Shutterstock - lolloj
Der verdeckt arbeitende Trojaner Regin ist im Internet unterwegs. Die Sicherheitsanbieter Trend Micro und Tenable Network Security haben bereits Hinweise zu den Techniken des Trojaners veröffentlicht.
Der Trojaner Regin ist eine fortschrittlicher Trojaner, der Computer infiziert und diese versucht so unauffällig wie möglich zu überwachen. Trend Micro, einer der größten Anbieter von Sicherheits-Software, hat nun eine Liste der Techniken veröffentlicht, die Regin vermutlich einsetzt, um unerkannt zu spionieren.
Bilderstrecke
8 Bilder
Mehrere Infektionsketten und Module - Die unterschiedlichen Module erschweren die Entdeckung des Trojaners, weil seine Routinen unter den Modulen aufgeteilt sind. Diese Backdoor-Technik ist aus gezielten Angriffen bekannt.
Unpartitionierte Festplattenbereiche - Unpartionierte Bereiche von Festplatten werden in Windows standardmäßig nicht angezeigt. Der Trojaner speichert Informationen daher dort, um einer Entdeckung durch Windows-Bordmittel und Sicherheits-Software zu entge
Einsatz einer 64-Bit Malware - 32-Bit- und 64-Bit-Betriebssysteme gehen unterschiedlich mit Prozessen und Diensten von Programmen um. Um eine maximale Erfolgsrate zu gewährleisten, ist also eine Entwicklung der Malware in 32- sowie 64-Bit gefragt.
Schad-Code in der Registry - Eine weitere Maßnahme, um Antivirenprogrammen zu entgehen und auch die forensische Analyse zu behindern, ist das Speichern von Schad-Code in der Registry. Die Schad-Software Poweliks etwa kann ihre codierten Dateien dort verst

Stuxnet-Nachfolger :

Die Techniken des Trojaners Regin

>>
Im Forum von Tenable Network Security – einem Spezialisten für Netwerküberwachung – wurden bereits Anzeichen für eine Regin-Infektion diskutiert. Demnach tarnt sich Regin, indem er eigene Programmdateien als Microsoft System-Dateien tarnt und dabei entsprechende Dateinamen nutzt. Außerdem modifiziere Regin verschiedene Registry-Einträge des Windows-PCs.
Anzeichen einer Regin-Infektion: Laut dem Forum von Tenable Network Security, erstellt Regin Dateien, die wie Systemdateien von Windows aussehen.
Anzeichen einer Regin-Infektion: Laut dem Forum von Tenable Network Security erstellt Regin Dateien, die wie Systemdateien von Windows aussehen.
Seit wann genau Regin im Internet wütet, ist bislang unbekannt: Laut Trend Micro weisen allerdings Datei-Zeitstempel im Zusammenhang mit Regin bereits auf Angriffe im Jahr 2003 hin. Andere Quellen datieren die Regin-Überwachungen hingegen auf das Jahr 2006, 2008 oder 2011. Klar ist jedoch, dass Regin entwickelt wurde, um unbemerkt Informationen aus den Systemen seiner Opfer zu stehlen.
Aufgrund seiner Programmarchitektur wird Regin auch als Stuxnet-Nachfolger beschrieben, einem bösartigen Computerwurm, der vor vier Jahren ebenfalls andere Computer überwacht hat.
Verwandte Themen

Mehr zum Thema