Menü
Security

Perfider Schädling haust in der Registry

Viren sind typischerweise in Dateien Zuhause, die mal besser und mal schlechter auf dem System versteckt sind. Ein neuer Trojaner kommt ohne Dateien aus, wodurch man ihn schwer aufspüren kann. Er wird seit kurzem auch über ein Exploit-Kit verteilt.

Von
vorlesen Drucken Kommentare lesen 470 Beiträge

Das Waffenarsenal des Exploit-Kits Angler wurde um den kürzlich entdeckten Windows-Schädling Poweliks erweitert. Dies berichtet ein Virenforscher mit dem Pseudonym kafeine, der auch den Blog Malware don't need Coffee betreibt. Damit können nun auch durchschnittlich begabte Cyber-Kriminelle Angriffe mit der perfiden Malware fahren, wenn sie in Untergrund-Foren genügend Geld bezahlen. Poweliks ist schwer zu entdecken, weil er nicht als Datei auf dem System gespeichert wird, sondern komplett in der Registry.

Der Registry-Wert dekodiert den Inhalt eines anderen Werts und führt ihn aus.

(Bild: G Data)

Der Schädlingen ist in einem Schlüssel unterhalb von \HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ gespeichert. Dessen Name ist ein Schriftzeichen, das nicht zu den ASCII-Zeichen gehört. Das bringt den Registrierungseditor von Windows zum Stolpern, weshalb man die darin gespeicherten Werte nicht damit inspizieren kann. Der Schädling besteht aus zwei Registry-Werten: Einer davon beinhaltet die eigentliche, kodierte Payload, der andere – welcher bei jedem Systemstart ausgeführt wird – nutzt rundll32.exe, um die Payload zu dekodieren und zur Ausführung zu bringen. Dabei kommt zunächst ein PowerShell-Skript heraus, das schließlich den in Assembler geschriebenen Shellcode startet.

Einer Analyse von G Data zufolge soll Poweliks sogar die Powershell nachinstallieren können, sofern er sie nicht auf dem System vorfindet. Aktuell handelt es sich bei dem Shellcode anscheinend um einen Bot, der sich mit einem Command-and-Control-Server verbindet und von dort Befehle entgegennimmt. Der Bot soll vornehmlich für Clickfraud genutzt werden, also unsichtbar im Namen des Opfers auf Werbebanner klicken, um Anzeigenkunden zu schaden.

Durch die Integration in das Exploit-Kit Angler steigt die Chance, dass man früher oder später mit Poweliks konfrontiert wird. Angler versucht Sicherheitslücken in diversen Browser-Plug-ins wie Java und Flash auszunutzen, um die eigentliche Malware auf das System zu schleusen. Sind diese nicht auf dem aktuellen Stand, genügt es, eine infizierte Website aufzurufen, um sich einen Trojaner wie Poweliks einzufangen. Findet das Exploit-Kit keine Lücken, versucht es den Schadcode unter Umständen als Datei-Download mit einem verlockenden Namen auszuliefern. Online-Ganoven verteilen Poweliks außerdem über gefälschte Zustellbenachrichtigungs-Mails diverser Paketdienste. (rei)