Superschlauer Trojaner hintergeht Webscanner

Manfred Kohlen,
SicherheitSicherheitsmanagementSoftware

Normale Virenscanner zu umgehen oder auszuschalten, ist bei den digitalen Schädlingen üblich. Eine Entdeckung durch die in Webservices bereitgestellten Dienste zu umgehen, ist ein neuer Schritt in der Evolution von Malware, berichtet Microsofts Malware Protection Center. Der Schädling Bohu, ein »Trojan Dropper«, ist vor allem in China verbreitet – deshalb setzte Microsoft auch seine chinesischen Sicherheits-Mitarbeiter Jingli Li und Zhitao Zhou darauf an, die die erstaunlichen Fähigkeiten des Digitalfieslings unter die Lupe nahmen.

Er arbeitet mit mehreren Techniken, um der Erkennung auch per Web zu entgehen. So fügt er beispielsweise zufällige Daten an seine eigenen Codes, um eine Quersummenprüfung zu erschweren (siehe Bild).


(Bild: Zufällige Datenveränderung durch Trojaner Bohu)

Die zweite Art, sich zu schützen, ist die Störung des Datenstroms zwischen Scanner und Cloud-Service. Dafür nutz der Schädling das »Windows Sockets Service Provider Interface« (Winsock SPI) .

Und die dritte schließlich nutzt die Datenpaketfilterung durch einen NDIS-Treiber. um per Filter die Anfragen des Webservers auf bestimmte Schlüsselwörter und Server-Adressen zu unterbinden.

Dies sei das erste Exemplar einer neuen Generation von Malware, die speziell die Cloud-Sicherheits-Tools im Auge habe, schreiben die Microsoft-Sicherheitsforscher.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen