Windows_BugEin neuer Trojaner kommt ohne Dateien aus, wodurch man ihn schwer aufspüren kann. Er wird seit kurzem auch über ein Exploit-Kit verteilt. Der Schädlingen ist in einem Schlüssel unterhalb von \HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ gespeichert. Dessen Name ist ein Schriftzeichen, das nicht zu den ASCII-Zeichen gehört. Das bringt den Registrierungseditor von Windows zum Stolpern, weshalb man die darin gespeicherten Werte nicht damit inspizieren kann. Der Schädling besteht aus zwei Registry-Werten: Einer davon beinhaltet die eigentliche, kodierte Payload, der andere – welcher bei jedem Systemstart ausgeführt wird – nutzt rundll32.exe, um die Payload zu dekodieren und zur Ausführung zu bringen. Dabei kommt zunächst ein PowerShell-Skript heraus, das schließlich den in Assembler geschriebenen Shellcode startet.

Durch die Integration in das Exploit-Kit Angler steigt die Chance, dass man früher oder später mit Poweliks konfrontiert wird. Angler versucht Sicherheitslücken in diversen Browser-Plug-ins wie Java und Flash auszunutzen, um die eigentliche Malware auf das System zu schleusen. Sind diese nicht auf dem aktuellen Stand, genügt es, eine infizierte Website aufzurufen, um sich einen Trojaner wie Poweliks einzufangen. Findet das Exploit-Kit keine Lücken, versucht es den Schadcode unter Umständen als Datei-Download mit einem verlockenden Namen auszuliefern. Online-Ganoven verteilen Poweliks außerdem über gefälschte Zustellbenachrichtigungs-Mails diverser Paketdienste.

 

(Quelle:heise)

 

%d Bloggern gefällt das: