Parasitärer IRCBot im Umlauf

In den aktuellen Statistiken haben noch immer die Trojaner das Sagen: Backdoors, Trojan-Downloader, Trojan-Dropper, etc.

Und auch wenn viele Viren heute immer noch mit den gleichen Methoden arbeiten wie jene, die vor 10 Jahren von Cyber Hooligans in die Welt gesetzt wurden, gibt es immer wieder auch Exemplare die alte Ansätze mit heutiger Technik verbinden.

Vor fast einem Jahr berichteten wir bereits über Tenga, einen klassischen, Dateien infizierenden Schädling mit typischer Wurm- und Trojaner-Downloader-Funktionalität.

Vor kurzem haben wir nun die Erkennung für einen ähnlichen Fall in unsere Datenbank aufgenommen: Virus.Win32.Virut.4960. Auch wenn es der eher uninteressante Name nicht vermuten lässt, handelt es sich doch um ein ziemlich interessantes Exemplar.

Ebenso wie Tenga hängt sich auch Virut.4960 ganz klassisch an andere Dateien an. Der (verschlüsselte) Code wird dabei an .exe und .src-Dateien angefügt.

Das Interessante daran ist, dass der verschlüsselte Code IRCBot-Funktionalität enthält. Wird eine infizierte Datei ausgeführt versucht der Bot, Verbindung zu einem IRC Server aufzunehmen.

Die IRCBot-Funktionalität ist sehr einfach gehalten – letztlich geht es nur darum eine vom Angreifer bereitgestellte Datei herunterzuladen. Doch das reicht völlig aus um immer weitere Malware auf den Rechner des Opfers herunterzuladen.

Der hier verwendete Ansatz bietet einige klare Vorteile: Allen voran steht die Tatsache, dass nur Virenscanner in der Lange sind so einen Schädling zu erkennen. Antispyware-Lösungen hingegen werden mit dieser Technik umgangen, sofern sie nicht selbst mit einer Antivirenengine ausgestattet sind.

Auch wenn das Infizieren von ausführbaren Dateien noch lange nicht die Regel darstellt, beobachten wir hier einen bemerkenswerten Trend – und explizite Antispyware-Lösungen haben solch einer Bedrohung nichts entgegen zu setzen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.