Dateischädling bringt Infektionen in eine neue Dimension

Original Artikel von Det Caraig (Technical Communications, Trend Micro)

Die Trend Micro Bedrohungsanalysten wurden wegen der Entdeckung eines eher ungewöhnlichen Dateischädlings alarmiert. Im Gegensatz zu herkömmlicher Malware , die an der betroffenen Datei nur einfache Veränderungen vornimt, sind die Modifikationen durch PE_XPAJ.A, um den bösartigen Code zu verbergen, komplex.

Obwohl der Schädling einige Merkmale anderer PE-Varianten aufweist, kann nicht von einem „normalen“ Dateischädling die Rede sein: Für Sicherheitsexperten beispielsweise wird das Aufspüren des bösartigen Codes schwieriger, da die betroffenen Dateien keine offensichtlichen Anzeichen einer Infektion aufweisen.

Infiziert werden .DLL-, .EXE-, .SCR- und .SYS-Dateien in den folgenden Ordnern:

  • %Programme%
  • %Windows%

Der Schädling verwendet eine Kombination aus den Verschleierungstypen EPO und Cavity, mit der er Codes in den Host-Dateien an andere Stellen verschieben kann. Die Malware verschlüsselt ihre Signatur bei jeder Ausführung anders – und ebenso die Anleitungen zur Umsetzung der Verschlüsselung. Um einer Entdeckung zu entgehen, verbirgt die Malware ihren Eintrittspunkt. Statt die Kontrolle zu übernehmen und seine Aktionen auszuführen, sobald eine Anwendung gestartet oder verwendet wird, wartet der Dateischädling eine Weile, bis er aktiv wird.

PE_XPAJ.A verbindet sich außerdem mit den folgenden URLs, um verschlüsselte Dateien herunterzuladen:

  • http://{GESPERRT}huy.com/plugin/plugin.dat
  • http://{GESPERRT}ios.com/stamm/stamm.dat

Und als wäre das nicht schon ärgerlich genug, kopiert und versteckt er rechtmäßige Dateien im Ordner %UserTemp% als {beliebiger HEX-Wert}.tmp.

Das Trend Micro Smart Protection Network schützt Trend Micro Kunden bereits vor dieser Malware. Alle anderen Benutzer können HouseCall verwenden, um ihr infiziertes System zu säubern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*