22.03.2012, 11:24 Uhr
«Datei-lose» Malware entdeckt
Beängstigend: Virenjäger haben eine Malware aufgespürt, die komplett im Zwischenspeicher ausgeführt wird und keinerlei Files auf der Festplatte des befallenen PC hinterlässt.
Die IT-Security-Firma Kaspersky Lab hat Berichte von einer Malware-Attacke erhalten, die auf russischen Webseiten eine bekannte Java-Lücke ausnützt, aber keine Dateien absetzt, um einen herkömlichen Trojanerangriff anzustossen. Konkret wurde beim Angriff ein Javascript in einem iFrame auf der betroffenen Webseite ausgeführt. Dabei wurde eine verschlüsselte .dll-Payload direkt in den Javaw.exe-Prozess injektiert.
Der Sinn dieser ungewöhnlichen Art der Malwareattacke hat zwei Aspekte. Zum einen soll die Benutzerkontenschutz (User Account Control; UAC) von Windows ausgehebelt werden. Zum anderen soll die Malware als eine Art «Pfadfinder» fungieren, der einen Bot einrichtet. Dieser kommuniziert dann mit einem Kommandoserver und wartet auf weitere Instruktionen, um dann schlussendlich den Trojaner Lurk zu installieren. Letzterer dient dem Datenklau.
Da sich die Malware nur im Memory aufhält und weder Files speichert noch verändert, ist sie schlecht zu erkennen. Immerhin: Wird der PC abgeschaltet, ist man auch die Malware los, es sei denn, man surft die selbe, infizierte Webseite erneut an.
Eine weitere Gefahr ist laut Kaspersky die Tatsache, dass die Malware Java verwendet. Dadurch seien grundsätzlich neben Windows-PC auch Macs und Linux-Rechner angreifbar. Allerdings sind bislang nur Angriffe auf Windows-PC dokumentiert.
Der Sinn dieser ungewöhnlichen Art der Malwareattacke hat zwei Aspekte. Zum einen soll die Benutzerkontenschutz (User Account Control; UAC) von Windows ausgehebelt werden. Zum anderen soll die Malware als eine Art «Pfadfinder» fungieren, der einen Bot einrichtet. Dieser kommuniziert dann mit einem Kommandoserver und wartet auf weitere Instruktionen, um dann schlussendlich den Trojaner Lurk zu installieren. Letzterer dient dem Datenklau.
Da sich die Malware nur im Memory aufhält und weder Files speichert noch verändert, ist sie schlecht zu erkennen. Immerhin: Wird der PC abgeschaltet, ist man auch die Malware los, es sei denn, man surft die selbe, infizierte Webseite erneut an.
Eine weitere Gefahr ist laut Kaspersky die Tatsache, dass die Malware Java verwendet. Dadurch seien grundsätzlich neben Windows-PC auch Macs und Linux-Rechner angreifbar. Allerdings sind bislang nur Angriffe auf Windows-PC dokumentiert.
