Angriffe mit hybrider Malware im Kommen?

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Die Sicherheitsforscher bei Trend Micro finden immer häufiger hybride Schadsoftware-Dateien. Dabei handelt es sich um konventionelle Malware-Dateien, wie Würmer oder Trojaner, die sich selbst infiziert haben. Als Folge weisen sie beide Verhaltensweisen auf – sowohl die von Trojanern/Würmern als auch die von Dateiinfektoren.

Ein kürzlich gefundenes Sample dieser Art von Angriff umfasste einen IRC-Bot (Internet Relay Chat), den die Experten als WORM_LAMIN.AC identifiziert haben, und der zusätzlich auch von einem Mutter-Dateiinfektor PE_VIRUX.AA-O infiziert war.

Noch ist nicht klar, ob diese Art der Schadsoftware absichtlich erstellt wurde, oder ob sie das Ergebnis eines hochverseuchten Nutzersystems ist. Zum Einen betreffen diese Probleme die Malware-Analysten hinsichtlich ungenauer Namen beim Aufspüren, doch zum Anderen liegt das größere Problem bei den Nutzern in der Art, wie sie ihre betroffenen Systeme säubern. Wird die Säuberung nicht vollständig ausgeführt, so kann das dazu führen, dass eine beschädigte Variante der Malware entsteht, die dann von der Sicherheitssoftware nicht erkannt wird.

Sollten diese hybriden Varianten jedoch absichtlich entstehen, so wäre dies eine effektive Taktik, die die Cyberkriminellen anwenden, um ihre Effizienz zu erhöhen. Davon profitieren beide Gruppen – sowohl die hinter PE_VIRUX als auch die hinter WORM_LAMIN:

  • Denn PE_VIRUX ist polymorph und WORM_LAMIN-Varianten werden schwerer erkannt werden;
  • PE_VIRUX kann zusammen mit WORM_LAMIN verbreitet werden. Der Wurm agiert als ein dem Dateiinfektor „beigefügtes“ Programm;
  • Beide Schadsoftware-Familien verändern bestimmte Nutzereinstellungen so, dass die Sicherheitseinstellungen des Systems herunter gesetzt werden;
  • Die Payloads beider Malware-Familien werden sichtbar.

Zusammen führt das vollständigen Infektion eines Nutzer-PCs und damit zur Übernahme von dessen Kontrolle durch die Kriminellen. Es gibt verschiedene Szenarien zum Ablauf dieser Angriffe: Erstens lädt der Wurm den Dateiinfektor herunter, legt ihn ab und führt ihn aus (oder auch umgekehrt). Zweitens, könnte der Wurm bereits mit der Infektion durch den Dateiinfektor verbreitet werden.

Auch wenn diese Art der Gefahr noch nicht bewiesen ist, könnten angesichts der Vorteile für die Kriminellen künftig solche Attacken vorkommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*