01.07.2013 12:07 |

Kaum zu löschen

Malware-Duo wehrt sich gemeinsam gegen Virenscanner

Ein Microsoft-Sicherheitsexperte hat zwei Schadprogramme entdeckt, die bei der Infektion von Computern offenbar zusammenarbeiten und sich so gegen die Löschung durch Antiviren-Programme zur Wehr setzen. Die Malware "Vobfus" und ihr Kompagnon "Beebone" laden sich gegenseitig ständig in leicht veränderter Form auf infizierte Rechner, um dem Virenschutz ein Schnippchen zu schlagen. Haben sie sich erst im System eingenistet, laden sie noch mehr gefährliche Malware wie den "Zeus"-Bankentrojaner herunter.

"Vobfus" und "Beebone" zeigen, mit welchen ausgeklügelten Methoden sich Cyberkriminelle heute gegen die Entfernung ihrer Schadprogramme durch Virenscanner zur Wehr setzen. Wie der Microsoft-Sicherheitsforscher Hyun Choi in einem Technet-Blogeintrag ausführt, lädt die bereits im September 2009 entdeckte "Vobfus"-Malware nach der Infektion eines Rechners automatisch das Tool "Beebone" herunter. Beide bösartigen Tools fungieren als Downloader und laden weitere Malware auf den Computer.

Beide Schadprogramme arbeiten dabei zusammen. "Vobfus" lädt immer wieder neue Varianten von "Beebone" auf den Rechner, während "Beebone" laufend neue "Vobfus"-Versionen herunterlädt. Erkennt ein Virenscanner eines der beiden Schadprogramme und löscht es, lädt das andere automatisch eine neue Version des Gegenstücks herunter.

Viren-Duo extrem widerstandsfähig gegen Scanner
"Diese zyklische Beziehung zwischen 'Beebone' und 'Vobfus', die sich ständig gegenseitig herunterladen, ist der Grund, wieso 'Vobfus' so widerstandsfähig gegen Antivirenprogramme ist", schreibt Microsoft-Forscher Choi. Aktualisierte Antivirensoftware könne zwar eine auf dem System installierte Variante der Malware aufspüren, neuere Versionen würden aber oft nicht gleich entdeckt – und würden derweil unbehelligt weiter Malware herunterladen.

Dass sich Malware auf einem infizierten Rechner selbstständig aktualisiert, sei grundsätzlich keine Neuheit, berichtet das IT-Magazin "PC World". Allerdings konnten selbst aktualisierende Schadprogramme bisher nach ihrer Löschung nur durch die Neuinfektion des Systems wieder aufgespielt werden. Durch die Zusammenarbeit des Malware-Duos wird die Wahrscheinlichkeit, dass ein Rechner nach dem Entfernen eines Schadprogrammes infiziert bleibt, drastisch erhöht. Schließlich kann die verbliebene Malware die gelöschte einfach wieder neu installieren.

"Vobfus" infiziert Rechner auch über USB-Sticks
Pikantes Detail: Den Virus "Vobfus" holt man sich nicht nur im Internet, sondern auch über infizierte Datenträger. Die Malware kopiert sich selbstständig auf USB-Sticks und externe Festplatten und nutzt die AutoRun-Funktion, um über diese Wechseldatenträger weitere Rechner zu infizieren. "In freier Wildbahn haben wir beobachtet, dass 'Vobfus' immer noch eine sehr hohe Erfolgsrate bei Infektionen über Wechseldatenträger hat", schreibt Choi.

Weil "Vobfus" und "Beebone" für Virenscanner so schwer zu erkennen sind, wissen Besitzer infizierter Rechner oft gar nichts von der Malware. Es gibt allerdings Indizien, die darauf hindeuten, dass im Hintergrund unerwünschte Software Daten aus dem Internet lädt. Langsame Internetverbindungen können etwa mit saugender Malware in Zusammenhang stehen. Und wenn die Firewall immer wieder verdächtigen Internetverkehr meldet, sollte man ebenfalls stutzig werden.

Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Sonntag, 07. März 2021
Wetter Symbol