Malware UULoader: Erkennung entgehen durch .msi-Installer

IT-Forscher haben die Malware UULoader entdeckt, die der Erkennung durch Virenscanner durch Nutzung des .msi-Installer-Formats entgeht.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Viren tarnen sich mit HĂĽten und Sonnenbrillen

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Kriminelle Akteure versuchen, Malware vor der Erkennung zu verstecken. IT-Forscher von Cyberint haben eine Malware namens UULoader entdeckt, die versucht, der Erkennung durch Virenscanner oder Virustotal zu entgehen, indem sie als .msi-Installer daherkommt.

Laut der Cyberint-Analyse trat diese Malware im Juli vermehrt in Asien, konkret China und Korea, auf. Die zahlreichen entdeckten Samples in freier Wildbahn waren als reguläre Anwendung oder Update-Installer im .msi-Installer-Format getarnt. Dieses komme häufiger zum Einsatz, um einer Erkennung zu entgehen, erläutern die IT-Forscher.

Die weitere Analyse hätte ergeben, dass die Malware von einem chinesisch sprechenden Menschen entwickelt wurde und von den meisten IT-Sicherheitsanbietern bei der ersten Untersuchung unerkannt blieben. Die Malware-Analysten haben die Schadsoftware UULoader genannt. Als erste effektive Maßnahme gegen die Erkennung haben die Programmierer die Datei-Header entfernt, konkret die ersten oftmals deskriptiven Bytes (die sogenannten Magic Bytes) einer Datei wie "%PDF-" in PDF-Dateien. Ausführbare Dateien haben dort in der Regel etwa "MZ" oder "PE" stehen, durch das Entfernen erfolge Cyberint zufolge jedoch oftmals lediglich eine Klassifizierung als Daten durch Malware-Scanner.

Die UULoader-Kerndateien enthalten ein .cab-Archiv, in dem ausführbare Dateien als .exe und .dll liegen, die um die Magic Bytes erleichtert wurden. Eine der ausführbaren Dateien enthalte eine alte, jedoch legitime Realtek-Datei, die als Lade-Vehikel für die .dll-Bibliothek diene. Zudem enthält die .cab-Datei eine stark verschleierte weitere Datei, die finale Schadsoftware, die als XamlHost.sys im System gespeichert wird. Zwei kleine zusätzliche Dateien enthalten die Zeichen M und Z, mit denen die "bereinigten" ausführbaren Dateien wieder korrigiert werden, wenn UULoader ausgeführt wird.

Bei der Ausführung richtet ein parallel ausgeführtes .vbs-Skript eine Ausnahme für das Verzeichnis mit den Malware-Dateien für den Microsoft Defender ein. Dadurch untersucht der Defender die wiederhergestellten ausführbaren Dateien dann nicht und kann sie nicht als bösartig erkennen. Einige UULoader-Varianten enthalten eine weitere Datei zur Tarnung, die ausgeführt wird, um von den bösartigen Funktionen abzulenken. Üblicherweise stimmt die Datei mit dem vom .msi-Installer vorgegebenen Namen auch funktional überein. Ein Sample kam etwa als vermeintliches Chrome-Update daher, zur Tarnung war tatsächlich auch ein Update für den Browser enthalten.

Es gibt viele Ansätze, wie Malware-Schreiber versuchen, der Erkennung durch Virenscanner zu entgehen. Manchmal helfen die Antivirenprogramme sogar ungewollt mit. Im Februar wurde etwa bekannt, dass sich die Erkennung durch Microsofts Defender mit einem simplen Komma austricksen ließ.

(dmk)