Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Computervirus 2.0: Nostalgie trifft moderne Malware-Features in freier Wildbahn

Malware-Analysten haben einen ungewöhnlichen Schädling entdeckt, der eine alte Verbreitungstechnik aus der Mottenkiste holt.

In Pocket speichern vorlesen Druckansicht 104 Kommentare lesen
Ungewöhnlicher Fund: Forscher entdecken klassischen Computervirus in freier Wildbahn

(Bild: Shutterstock / Sergey Nivens)

Lesezeit: 4 Min.
Security
Von
Inhaltsverzeichnis

Klassische Computerviren, die ihren Schadcode in – bereits auf dem System befindliche – ausführbare Dateien schreiben, haben seit der Jahrtausendwende kontinuierlich an Bedeutung verloren. Mittlerweile spielen sie überhaupt keine nennenswerte Rolle mehr im täglichen Malware-Geschehen, und der Begriff "Virus" wird vorrangig als Synonym für Schadsoftware im Allgemeinen verwendet.

Nun haben Malware-Analysten der Sicherheitssoftware-Firma Kaspersky allerdings eine ungewöhnliche Entdeckung gemacht: Einen auf Windows-Systeme abzielenden Schädling, der in freier Wildbahn unterwegs ist und sich zur Weiterverbreitung klassischer Datei-Infektionstechniken bedient.

Allround-Talent mit Schwerpunkt auf Datenklau

Allerdings ist "KBOT", wenn auch von Kaspersky als Virus klassifiziert, ein ziemlich moderner Allrounder. Wie der Name bereits vermuten lässt, bindet er infizierte Rechner in ein Botnetz ein. Er kann von entfernten Command-and-Control-(C2)-Servern Befehle (etwa zum Löschen oder Senden von Dateien) empfangen und lädt Erweiterungsmodule und Aktualisierungen, aber auch eigenständige Malware (derzeit eine Spyware) nach. Die Ausführung einer infizierten EXE-Datei ist je System nur einmal notwendig, dient also nur der initialen Infektion.

Laut Kaspersky konzentriert sich KBOT derzeit vor allem auf den Diebstahl von Bank-, Kredit- und anderen sensiblen Daten. Dank eines (sehr zeitgemäßen) modularen Aufbaus und und der C2-Infrastruktur könnte sich KBOT aber auch problemlos auf andere "Spezialgebiete" verlegen.

Ein Überblick über KBOT-Infektionen zwischen März und Dezember 2019 zeigt, dass der Schädling schon viel herumgekommen ist. Die Infektionszahlen sind allerdings noch recht übersichtlich: Für Deutschland erfasste Kaspersky zwischen 900 und 1500 Infektionen.

(Bild: Kaspersky / securelist.com)

Polymorphie und Entschlüsselung zur Laufzeit

Wie aus einem Blogeintrag des Kaspersky-Teams mit dem passenden Titel "KBOT: sometimes they come back" hervorgeht, gelangt der Schädling initial über das Internet, das lokale Netzwerk oder externe Datenträger auf die Rechner. Anna Malina, Senior Malware Analyst bei Kaspersky, erläuterte auf Anfrage von heise Security, dass KBOT, anders als im Blogeintrag beschrieben, nicht etwa sämtliche EXE-Dateien, sondern nur Dateien auf Wechseldatenträgern und in freigegebenen Netzwerkordnern infiziere. Insbesondere spare er Dateien aus, deren Infektion das Betriebssystem beschädigen könnte.

Wie viele seiner "Vorfahren" nutzt KBOT teils polymorphen Code, der bei jeder infizierten Datei ein wenig anders aussieht, um signaturbasierte Erkennungsmechanismen zu sabotieren. Er überschreibt damit den Anfang der Code-Section der jeweiligen EXE-Datei und hängt außerdem – zunächst verschlüsselten – Code an weitere Sections an. Dann überschreibt er den Programmcode am Einsprungspunkt der .exe und baut einen Sprungbefehl zum Virencode in der Code-Section ein. Auf diese Weise wird KBOTs Code beim Start einer infizierten Datei ausgeführt.

Der verschlüsselte Code wird zur Laufzeit entschlüsselt; er umfasst unter anderem die Bot-Funktionalität und bildet das Hauptmodul des Schädlings. KBOT injiziert diesen Code in laufende Systemprozesse, um unter dem Radar diverser Erkennungsmechanismen zu fliegen. Zudem trifft er zahlreiche weitere Vorkehrungen, um sich dauerhaft im System zu verankern, bei jedem Systemstart wieder ausgeführt zu werden und sich selbst nebst nachgeladene Dateien vor dem Nutzer zu verstecken. Wie genau das funktioniert, können Interessierte Kasperskys detailliertem Blogeintrag entnehmen.

Ausbaufähige Technik oder pure Nostalgie?

Angesichts des vielschichtigen Versteckspiels, das der Schädling laut Kasperskys Blogeintrag betreibt, überrascht seine relativ plumpe Vorgehensweise bei der Dateiinfektion. Denn die von KBOT infizierten Dateien behalten ihre ursprüngliche Funktion nicht bei. "Nach dem Start der Datei sieht der Nutzer kein Ergebnis des Starts, [...] die schädliche Funktionalität wird für den Nutzer unsichtbar ausgeführt", erläuterte Malina gegenüber heise Security.

Dabei gibt es durchaus Infektionstechniken, die die ursprüngliche Funktionalität ausführbarer Dateien nicht beeinträchtigen. Frühere Viren lösten das etwa, indem sie ihren Code ans Ende der Datei hängten oder ihn in NULL-Bytes zwischen die Sections schrieben. Im ursprünglichen Programmcode genügten dann minimale Patches, um Schad- und ursprünglichen Code nacheinander ausführen zu können – unbemerkt vom Nutzer. Häufig war es gar möglich, die Dateien weitgehend wieder zu bereinigen. "Die Schöpfer von KBOT haben offenbar beschlossen, sich nicht auf diesen Aspekt zu konzentrieren", meint Malina dazu.

Angesichts der sonst gut durchdachten Vorgehensweise scheint es gut möglich, dass sich der Schädling in kommenden Varianten noch ein paar Tricks von seinen Vorfahren abgucken wird. Oder aber, dass seine Macher – wie so viele vor ihnen – von der Viren-Strategie wieder Abstand nehmen. Im derzeitigen Entwicklungsstadium dürften die scheinbar "kaputten" EXE-Dateien als Infektions-Relikte KBOTs Tarnung jedenfalls eher hinderlich als nützlich sein.

Mehr Infos

sddds

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten