Wie die Schadsoftware Emotet Windows befällt

Inhaltsverzeichnis

Viele gewiefte Forensiker arbeiten sich an Schädlingen wie Emotet ab: Sie analysieren und dokumentieren im Detail die einzelnen Schritte, mit denen sich deren Entwickler Zutritt zum Innersten von Windows und somit den Computern anderer Leute verschaffen. Kaum ist der Bericht fertig, erscheint schon die nächste Generation, die neue Wege verwendet. Der folgende Blick auf die Wirkweisen kann deshalb nur ein Schnappschuss sein. Er ist dennoch lehrreich, weil er zeigt, wie gängige Schutzmechanismen ins Leere laufen.

Mehr zum Thema Emotet

• Raus aus dem Maßnahmensumpf: eine Anleitung zum Emotet-Selbsttest
• Wie sich Emotet durch Windows frisst
• Pragmatischer Schutz vor Emotet & Co.
• Incident Response: Was tun, wenn man betroffen ist?
• Wie Malware heimlich das Kommando übernimmt
• Emotet: Wie Cyber-Kriminelle von staatlichen Hackern lernen
• Dynamit-Phishing: So schützen Sie sich vor Emotet & Co.
• Erste Hilfe nach einem Hackereinbruch
• Notfall- und Krisenprävention gegen Hackerangriffe

Die Infektion beginnt bei Office

Die überlieferten Emotet-Infektionen fangen mit einem Office-Dokument an. Es enthält massiv verschleierten VBA-Makro-Code. Die einzige Gegenmaßnahme, nämlich das Verbot, Makros auszuführen, hebelt der Benutzer in dem Moment selbst aus – der sichtbare Teil des Office-Dokuments animiert ihn mit einem Hinweis zu einer vermeintlich technischen Einschränkung dazu. Der VBA-Code bringt es fertig, eine PowerShell zu öffnen. Die ruft er nicht direkt auf, sondern spannt die Windows Management Instrumentation (WMI) dazu ein. VBA-Code hat in Windows weitgehende Rechte. Er darf andere Programme starten, ohne dass irgendeine Instanz einschreitet.

Aus dem VBA-Code heraus wird letztlich ein "legales" Windows-Programm gestartet, die zum Betriebssystem gehörige PowerShell. Ebenso wie der VBA-Code ist der PowerShell-Code hochgradig verschleiert. Wenn man ihn genauer studiert, sieht man, dass er eine Liste von Servern durchgeht und versucht, von dort eine Datei herunterzuladen. Die angesprochenen Server sind häufig WordPress-Instanzen, weil die sich wegen fehlender Aktualisierung leicht übernehmen und dann als Ablageort für Malware-Komponenten missbrauchen lassen. Auf GitHub gibt es ein Projekt, das zeigt, was ein für Emotet übernommenes WordPress ausmacht.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

---

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

---

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

---

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

---

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

---

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

---

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.