Trojaner-Downloader macht es Virenscannern schwer
Das Microsoft Malware Protection Center hat einen Trojaner-Downloader entdeckt, der den Schadcode lediglich in den Arbeitsspeicher lädt und ausführt. Dadurch ist er schwer zu entdecken.
- Ronald Eikenberg
Das Microsoft Malware Protection Center hat einen Trojaner-Downloader entdeckt, der im Ursprungszustand keine verdächtigen Routinen enthält und somit nur schwer von Virenscannern entdeckt werden kann. Das kleine Visual-Basic-Programm ruft nach dem Start die Webseite eines tibetanischen Restaurants auf, in deren HTML-Quelltext Shellcode versteckt ist, den das Programm in den Arbeitsspeicher lädt und ausführt.
Während die ausführbare Datei, die Microsoft inzwischen als TrojanDownloader:Win32/Poison.A identifiziert, auf einem Rechner ohne Internetverbindung lediglich eine Fehlermeldung produziert, kopiert sie sich nach dem erfolgreichen Abruf des Schadcodes in einen Systemordner und beginnt dort mit der Aufzeichnung von Tastatureingaben.
Spätestens an dieser Stelle sollte die Verhaltenserkennung eines modernen Virenscanners jedoch anspringen. Die nachgeladenen Spionagefunktionen stammen aus dem frei erhältlichen Trojaner-Baukasten Posion Ivy, der die Payload auf Wunsch direkt als Shellcode ausgibt.
Normalerweise lädt ein Downloader eine ausführbare Datei aus dem Internet, speichert sie auf der Festplatte und führt sie anschließend aus – ein Verhalten, auf das die Verhaltenserkennung von Virenscannern anspringen sollte. Dieses Beispiel zeigt erneut, wie wichtig die Installation eines Virenscanners mit Verhaltensüberwachung ist. Wenn der installierte Virenscanner keine Verhaltensüberwachung mitbringt, kann man sich etwa mit der Freeware ThreatFire behelfen. (rei)