News

Virtumonde/Vundo als File-Infector

In den letzten Tagen habe ich mich ein wenig genauer mit den neuesten Tricks auseinandergesetzt, die die Autoren der Adware Virtuemonde alias Vundo aus dem Hut gezaubert haben. Virtumonde ist hartnäckig und lässt sich nur äußerst schwer von einem infizierten Computer entfernen. Durch die Ergänzung eines neuen Infektionsvektors wird das Programm nun noch raffinierter.

Die Autoren setzen nun Datei-Infektion ein, indem Virtumonde die Dateien beim Windows-Startup überprüft und versucht, diese zu infizieren. Das bedeutet unterm Strich, dass Virtumonde die Original-Hostdatei in einen Trojan-Dropper verwandelt.

Der Dropper-Code ist der Original-Hostdatei zusammen mit einer Kopie von Virtumonde vorangestellt, die derselben Datei angehängt wird. Wird die infizierte Datei gestartet, wird die Original-Hostdatei in den temporären Ordner und die Virtumonde-Datei in das System-Verzeichnis verschoben.

Obgleich Virtumonde einen Infektionsmarker benutzt, um ein und dieselbe Datei nicht immer und immer wieder zu infizieren, funktioniert dieses System nicht immer. Es gibt Samples von bereits infizierten Dateien, die reinfiziert werden, so dass die Hostdatei daraufhin nicht mehr läuft. Die Reinfektion führt allerdings nicht dazu, dass Virtumonde selbst nicht mehr läuft.

Da der Code sich selbst reproduziert, haben wir es mit einem klassischen Prepending Virus zu tun. Im Gegensatz zu anderer Adware, die wir auch an dieser Stelle beschrieben haben und die einen ähnlichen Ansatz verwendet, handelt es sich hierbei nicht um einen Patcher Trojan.

Diese neue Finte der Virtumonde-Autoren ist leicht zu durchschauen und auch die Desinfektion bereitet keine Probleme (wir haben ihn als Virus.Win32.Trats.a klassifiziert). Auch wenn diese Variante uns vom technischen Standpunkt her keine Kopfschmerzen bereitet, erwarten wir doch einige interessante Herausforderungen, wenn Virtumonde sich auch zukünftig weiterentwickelt.

Virtumonde/Vundo als File-Infector

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach