POWELIKS mit neuem Autostart-Mechanismus

Originalartikel von Roddell Santos, Threats Analyst

POWELIKS‘ Schadsoftware-Routinen waren bislang dafür bekannt, als Verschleierungstaktik den bösartigen Code in den Registry-Einträgen zu verstecken. In neueren Samples hat Trend Micro nun festgestellt, dass Malware (TROJ_POWELIKS.B) einen neuen Autostart-Mechanismus einsetzt und in der Registry Nutzerprivilegien löscht. Als Folge können User keinen Verdacht mehr schöpfen, wenn ihre Systeme infiziert sind.

Diese Autostart-Taktik ist relativ neu in der Bedrohungslandschaft und wird von Autoruns for Windows nicht abgedeckt. Dieses Windows-Tool zeigt alle Dateien und Registries, die beim Windows-Start ausgeführt werden. POWELIKS erzeugt bei seiner Ausführung die folgenden Registry-Einträge:

[HKEY_CURRENT_USER\Software\Classes\clsid\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\localserver32]

(Default)=”rundll32.exe javascript:\”\\..\\mshtml,RunHTMLApplication \”;eval…….”

a=”#@~^XHoAAA=……”

Normalerweise sehen Nutzer via Registry Editor den folgenden Bildschirminhalt:

Bild 1: Der von POWELIKS erzeugte Key

Der Screenshot zeigt, dass kein Hinweis auf das Vorhandensein der Schadsoftware in der Registry zu sehen ist. Doch sind die Inhalte der Malware versteckt und entfernen erfolgreich die Berechtigungen des Nutzers in dieser Registry.

Bild 2: Das Berechtigungsprofil des Users

Best Practices: Wie können Berechtigungen hinzugefügt werden

Nutzer können diese Malware-Technik umgehen und den Inhalt der Registry sehen, indem sie den User-Namen oder die Gruppe in den Berechtigungsabschnitt der Registry Key hinzufügen. Folgende Schritte sind dafür notwendig:

  1. Öffnen des Registry Editor
  2. Zum Registry Key HKCU\Software\Classes\clsid navigieren
  3. Auf dem linken Panel {AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} anklicken
  4. User Name markieren
  5. Im “Allow”-Bereich “Full Control” und “Read” wählen
  6. Änderungen mit “OK” speichern
  7. Schließen des Registry Editor und nochmals öffnen, um die Änderungen zu sehen.

Bild 3: Update des Berechtigungsprofils des Nutzers

Danach wird die Malware sichtbar:

Bild 4. Der sichtbare Malware Code

Wenn die Schadsoftware einen Eintrag in HKCU\SOFTWARE\Classes\CLSID erstellt, so findet sich der auch in HKCR\CLSID wieder.

Bild 5. Der aktualisierte Key HKCR\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}

CLSID

CLSID ist kein bekannter Autostart-Eintrag. Warum nutzen dann Cyberkriminelle diese Registry und nicht die typischen Autostart-Einträge?

CLSID ist für Windows’ Thumbnail-Cache bestimmt, den das Betriebssystem jedes Mal dann aufruft, wenn ein Thumbnail für eine beliebige Datei benötigt wird – für Images, Audio, etc. Wird nun diese CLSID aufgerufen, führt sie den Eintrag in HKCR\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5 aus, um den Thumbnail der Datei und auch den Eintrag von POWELIKS im Key zu zeigen. Damit wiederum wird POWELIKS jedes Mal geladen, wie der Screenshot zeigt:

Bild 6: POWELIKS nutzt dllhost.exe, um sich auf das System zu laden. Jedes dllhost.exe zeigt eine laufende POWELIKS

Best Practices: Manuelles Entfernen

Obwohl sich diese Bedrohung stetig weiterentwickelt, kann sie per Hand vom System entfernt werden. Folgende Schritte sind dafür nötig:

  1. Herunterladen und ausführen von Microsofts Process Explorer
  2. Neustart im Safe Mode.
  3. Wählen des neuesten exe Vaterprozesses

Bild 7: Terminieren des dllhost-Prozesses

  1. Rechter Mausklick und “Kill Process Tree” auswählen
  2. Öffnen des Registry Editor (Run > regedit.exe)
  3. Im linken Panel wählen HKCU\SOFTWARE\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}
  4. Hinzufügen der Berechtigungen für den Nutzer (Anleitungen für Adding Permission)
  5. Im rechten Panel Löschen der Registry-Werte “Default” und “a”. Die ganze CLSID lässt sich nicht löschen, weil ein leerer Key vorhanden ist. Ist die Aktion erfolgreich, so sollte die Registry folgendermaßen aussehen:


Bild 8: Saubere Registry-Einträge

Falls diese Werte nochmals erzeugt werden, heißt das, dass POWELIKS immer noch läuft. In diesem Fall kann Schritt drei wiederholt werden, um sicherzustellen, dass keine dllhost.exe ausgeführt wird.

  1. Schließen des Registry Editor

Fazit

POWELIKS stellt eine ernsthafte Bedrohung dar, weil die Routinen verhindern können, dass die Malware entdeckt und entfernt wird. Zudem besteht eine der Payloads aus Klick-Betrug. Neben den Anleitungen für das Erkennen und Entfernen der Schadsoftware sollten Nutzer auch eine Sicherheitssoftware installieren, die diese Art von Bedrohung erkennen kann.

Trend Micro schützt die Anwender über das Trend Micro Smart Protection Network, das besagte Malware erkennt. Der Hash für diese Bedrohung ist:

  • F2E179CB7307DF6190A783D5B72F1905C6F3BA3B – TROJ_POWELIKS.B

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.