Kovter nun mit dateiloser Infektionsmethode

Laut Angaben von Symantec ist die neue Version des trojanischen Klicker-Programms Kovter in der Lage, im Arbeitsspeicher eines infizierten Rechners zu überleben. Für den Autostart nutzt er Windows-Systemdienste.

Kovter ist seit 2013 bekannt und wird in erster Linie für das Hochpushen von Klicks auf Werbebanner benutzt – ein solches Betrugsschema (Klickbetrug) bringt den Betreibern von Schädlingen dieses Typs verlässliche Einnahmen. Dieser Klicker wird ständig weiterentwickelt, testet neue Selbstschutzmethoden aus und tritt immer mal wieder bei verschiedenen Schadkampagnen in Erscheinung. So demonstrierte der Trojaner im vergangenen Juli beispielsweise seine Fähigkeit, den Flash Player des Opfers zu patchen – für eine korrektere Darstellung der Videowerbung, damit seine Herren keine Einbußen erleiden müssen. Im selben Monat entdeckten Forscher vom SANS Internet Storm Center eine Spam-Versendung in Großauflage, die auf die Verbreitung von Kovter im Paket mit einem anderen Klicker-Programm, Miuref, ausgerichtet war. Zudem ist ein Fall bekannt, in dem Kovter Ransomware geladen hat.

Die neue Version des Trojaners (2.0.3) beobachtet Symantec seit letztem Mai in freier Wildbahn. Nachdem der Schädling in den Computer eingedrungen ist, überprüft er zunächst, ob PowerShell vorhanden ist. Ist das nicht der Fall, so lädt Kovter diese Komponente aus dem Internet (gibt es im Moment der Infektion keine Internetverbindung, schreibt sich das Schadprogramm auf die übliche Weise ins System, indem es seine Datei auf der Festplatte speichert).

Der Schädling modifiziert außerdem Registry-Schlüssel, um den Download eines neuen Moduls in den Speicher bei jedem System-Neustart zu gewährleisten. Daraufhin löscht er die temporäre Datei von der Festplatte, die beim ersten Infektionsschritt geladen wurde. Die Experten weisen darauf hin, dass ein anderer bekannter, Klicker, der allerdings neueren Datums ist – nämlich Poweliks – eine ähnliche dateilose Infektionsmethode anwendet. Diese Technik hilft dem Schadprogramm, Antivirenlösungen zu umgehen, die die Dateien auf Signatur-Übereinstimmungen überprüfen. Zu Beginn des laufenden Jahres hat Microsoft diese Möglichkeit übrigens eingeschränkt, indem korrigiert wurde, wie Windows Dateipfade bereinigt.

Laut Daten von Symantec wird der aktualisierte Trojaner bisher nur für das Hochpushen von Klickzahlen eingesetzt. Er wird hauptsächlich über Werbebanner oder Anhänge in Spam-Mails verbreitet, normalerweise als .zip- oder .scr-Datei. Frühere Kovter-Versionen wurden auch mit Hilfe der Exploit-Packs Angler, Fiesta, Nuclear, Neutrino und Sweet Orange in Umlauf gebracht.

Gemäß der Statistik von Symantec greift der neue Kovter aktiv Nutzer in den USA (56% der Infektionen) und in Großbritannien (13%) an, in etwas geringeren Maße auch Deutsche und Kanadier (8 und 9% respektive).

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.