Kaum zu löschen

Malware-Duo wehrt sich gemeinsam gegen Virenscanner

(Bild: thinkstockphotos.de)

Ein Microsoft-Sicherheitsexperte hat zwei Schadprogramme entdeckt, die bei der Infektion von Computern offenbar zusammenarbeiten und sich so gegen die Löschung durch Antiviren-Programme zur Wehr setzen. Die Malware "Vobfus" und ihr Kompagnon "Beebone" laden sich gegenseitig ständig in leicht veränderter Form auf infizierte Rechner, um dem Virenschutz ein Schnippchen zu schlagen. Haben sie sich erst im System eingenistet, laden sie noch mehr gefährliche Malware wie den "Zeus"-Bankentrojaner herunter.

"Vobfus" und "Beebone" zeigen, mit welchen ausgeklügelten Methoden sich Cyberkriminelle heute gegen die Entfernung ihrer Schadprogramme durch Virenscanner zur Wehr setzen. Wie der Microsoft-Sicherheitsforscher Hyun Choi in einem Technet-Blogeintrag ausführt, lädt die bereits im September 2009 entdeckte "Vobfus"-Malware nach der Infektion eines Rechners automatisch das Tool "Beebone" herunter. Beide bösartigen Tools fungieren als Downloader und laden weitere Malware auf den Computer.

Beide Schadprogramme arbeiten dabei zusammen. "Vobfus" lädt immer wieder neue Varianten von "Beebone" auf den Rechner, während "Beebone" laufend neue "Vobfus"-Versionen herunterlädt. Erkennt ein Virenscanner eines der beiden Schadprogramme und löscht es, lädt das andere automatisch eine neue Version des Gegenstücks herunter.

Viren-Duo extrem widerstandsfähig gegen Scanner
"Diese zyklische Beziehung zwischen 'Beebone' und 'Vobfus', die sich ständig gegenseitig herunterladen, ist der Grund, wieso 'Vobfus' so widerstandsfähig gegen Antivirenprogramme ist", schreibt Microsoft-Forscher Choi. Aktualisierte Antivirensoftware könne zwar eine auf dem System installierte Variante der Malware aufspüren, neuere Versionen würden aber oft nicht gleich entdeckt – und würden derweil unbehelligt weiter Malware herunterladen.

Dass sich Malware auf einem infizierten Rechner selbstständig aktualisiert, sei grundsätzlich keine Neuheit, berichtet das IT-Magazin "PC World". Allerdings konnten selbst aktualisierende Schadprogramme bisher nach ihrer Löschung nur durch die Neuinfektion des Systems wieder aufgespielt werden. Durch die Zusammenarbeit des Malware-Duos wird die Wahrscheinlichkeit, dass ein Rechner nach dem Entfernen eines Schadprogrammes infiziert bleibt, drastisch erhöht. Schließlich kann die verbliebene Malware die gelöschte einfach wieder neu installieren.

"Vobfus" infiziert Rechner auch über USB-Sticks
Pikantes Detail: Den Virus "Vobfus" holt man sich nicht nur im Internet, sondern auch über infizierte Datenträger. Die Malware kopiert sich selbstständig auf USB-Sticks und externe Festplatten und nutzt die AutoRun-Funktion, um über diese Wechseldatenträger weitere Rechner zu infizieren. "In freier Wildbahn haben wir beobachtet, dass 'Vobfus' immer noch eine sehr hohe Erfolgsrate bei Infektionen über Wechseldatenträger hat", schreibt Choi.

Weil "Vobfus" und "Beebone" für Virenscanner so schwer zu erkennen sind, wissen Besitzer infizierter Rechner oft gar nichts von der Malware. Es gibt allerdings Indizien, die darauf hindeuten, dass im Hintergrund unerwünschte Software Daten aus dem Internet lädt. Langsame Internetverbindungen können etwa mit saugender Malware in Zusammenhang stehen. Und wenn die Firewall immer wieder verdächtigen Internetverkehr meldet, sollte man ebenfalls stutzig werden.