Schadsoftware passt sich den 64-Bit-Versionen an

Originalartikel von Kervin Alintanahin, Threats Analyst

Als Google Anfang Juni die 64-Bit-Version von Chrome ankündigte, begründete der Konzern das Release mit der Feststellung, dass die meisten Windows-Nutzer auch die 64-Bit-Version einsetzten. Zwar verbreitet sich diese Version langsamer, als Microsoft das vorausgesagt hatte, doch gehen die Benutzerzahlen stetig nach oben. Nun haben auch die Angreifer mit 64-Bit-Varianten ihrer Schadsoftware nachgezogen.
Zu den 64-Bit-Versionen gehört beispielsweise ZeuS. In der zweiten Hälfte 2013 liefen etwa 10% der in gezielten Angriffen verwendeten Schadsoftware auf 64-Bit-Plattformen.

KIVARS: Frühere Versionen

KIVARS ist eines der Schadsoftware-Beispiele, das auf 64-Bit-Systemen läuft. Frühere Versionen betrafen lediglich 32-Bit-Systeme und wurden von einer Malware TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) abgelegt. Der Trojaner lädt auf das System zwei ausführbare Dateien und eine, durch ein Kennwort geschützte Word-Datei, die auch als Köder dient:

  • %windows system%\iprips.dll – TROJ_KIVARSLDR
  • %windows system%\winbs2.dll – BKDR_KIVARS
  • C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – decoy document


Bild 1. TROJ_KIVARSLDR wird als Service mit dem aktiven Namen “iprip” installiert

TROJ_KIVARSLDR lädt BKDR_KIVARS in den Hauptspeicher und führt den Schädling aus. Einzelheiten zu der Funktionsweise finden Interessierte hier.

64-Bit-Unterstützung

Die neueren Versionen von KIVARS, sowohl 32- als auch 64-Bit, zeigen leichte Unterschiede zu den früheren. Beispielsweise haben der Loader und die abgelegte Backdoor-Payload beliebige Dateinamen:

  • %Windows%system32%\{random}.dll
  • %Windows%system32%\{random}.{tlb|dat} – uses either tlb or dat as its file extension

In dieser Version wird der Loader immer noch als Service installiert und nutzt einen der folgenden Service Active-Namen:

  • Iprip
  • Irmon
  • ias

Weitere Einzelheiten zu der 64-Bit-Version gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.