Virtumonde/Vundo als File-Infector

In den letzten Tagen habe ich mich ein wenig genauer mit den neuesten Tricks auseinandergesetzt, die die Autoren der Adware Virtuemonde alias Vundo aus dem Hut gezaubert haben. Virtumonde ist hartnäckig und lässt sich nur äußerst schwer von einem infizierten Computer entfernen. Durch die Ergänzung eines neuen Infektionsvektors wird das Programm nun noch raffinierter.

Die Autoren setzen nun Datei-Infektion ein, indem Virtumonde die Dateien beim Windows-Startup überprüft und versucht, diese zu infizieren. Das bedeutet unterm Strich, dass Virtumonde die Original-Hostdatei in einen Trojan-Dropper verwandelt.

Der Dropper-Code ist der Original-Hostdatei zusammen mit einer Kopie von Virtumonde vorangestellt, die derselben Datei angehängt wird. Wird die infizierte Datei gestartet, wird die Original-Hostdatei in den temporären Ordner und die Virtumonde-Datei in das System-Verzeichnis verschoben.

Obgleich Virtumonde einen Infektionsmarker benutzt, um ein und dieselbe Datei nicht immer und immer wieder zu infizieren, funktioniert dieses System nicht immer. Es gibt Samples von bereits infizierten Dateien, die reinfiziert werden, so dass die Hostdatei daraufhin nicht mehr läuft. Die Reinfektion führt allerdings nicht dazu, dass Virtumonde selbst nicht mehr läuft.

Da der Code sich selbst reproduziert, haben wir es mit einem klassischen Prepending Virus zu tun. Im Gegensatz zu anderer Adware, die wir auch an dieser Stelle beschrieben haben und die einen ähnlichen Ansatz verwendet, handelt es sich hierbei nicht um einen Patcher Trojan.

Diese neue Finte der Virtumonde-Autoren ist leicht zu durchschauen und auch die Desinfektion bereitet keine Probleme (wir haben ihn als Virus.Win32.Trats.a klassifiziert). Auch wenn diese Variante uns vom technischen Standpunkt her keine Kopfschmerzen bereitet, erwarten wir doch einige interessante Herausforderungen, wenn Virtumonde sich auch zukünftig weiterentwickelt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.