Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Neuer Bot nistet sich im…

Ich verstehe das so..

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Ich verstehe das so..

    Autor: DylanD09 14.02.13 - 18:10

    Ich verstehe das ganze so, dass man sich diese Score.dll über drive-by mit Firefox in Verbindung mit Flash einfängt. Wahrscheinlich über einen Bufferoverflow weil es ja speziell angepasste Shellcodes für die einzelnen Windowsversionen gibt. Aber wie genau man sich die Score.dll einfängt soll im Moment egal sein, soweit ich weiss haben die Virenentwickler da spezielle Begriffe und trennen das Verteilen der Viren von den eigentlichen schädlichen Funktionen. Dann agiert die Score.dll aus dem Speicher und ist zu dem Zeitpunkt noch nirgends abgelegt. ABER: spätestens wenn die Score.dll die Explorer.exe runterlädt und auch i.d.F. als IAStorIcon.exe unter Autostart ablegt ist sie ja auf der Platte hier muss sie jeder Virenscanner finden können (wenn er sie einmal kennt)?!

    Sie selbst (die IAStorIcon.exe) ist wiederum "nur" eine Art (Management-)Container für nachladbare Plugins/Shellcodes, für den nachladbaren eigentlichen schädlichen Code halt eben. Dieser nachgeladene Schadcode wird verschlüsselt mit AES nachgeladen, ok, nichts besonderes und macht Sinn aus Sicht der Schurken/Virenentwickler. Andererseits ist sie (die IAStorIcon.exe) aber sozusagen genauso eine ausgefeilte Runtime für das Ausführen des nachgeladenen Codes mit integrierter Speicherverwaltung und Funktionsimportierungsfunktion (bspw. aus kernel.dll, gdi und der restl. win32-api, nehme ich an.. welche (die win32-api.dlls) die IAStorIcon.exe wiederum selbst bereits im Speicher geladen hat, so verstehe ich es zumindest..). Sie (die IAStorIcon.exe) verbindet (linkt) somit die externen Funktionsaufrufe (so wie es das OS macht). Ich verstehe dass genau das NEU sein soll (Funktionsimportierung bzw. mapping/linking auf win32-api und im eigenen Prozess ausführen des Schad-Moduls, somit gibt es halt keinen eigenen Prozess für ein Modul - macht Sinn imho aus Sicht der Schurken/Virenentwickler.

    Wie gesagt, eine Frage bleibt mir, wieso soll es schwierig für Virenscanner sein die IAStorIcon.exe zu lokalisieren?

    Grüße,
    DylanD09

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Ich verstehe das so..

    Autor: vergeben 14.02.13 - 21:29

    DylanD09 schrieb:
    --------------------------------------------------------------------------------

    > Wie gesagt, eine Frage bleibt mir, wieso soll es schwierig für Virenscanner
    > sein die IAStorIcon.exe zu lokalisieren?

    Ist es nicht. Reine PR das ganze.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Ich verstehe das so..

    Autor: EvilSheep 15.02.13 - 13:22

    Ich glaube die IAStorIcon.exe zu finden ist nicht das Problem. Die liegt ja auf der Platte, hat einen eigenen Prozess und ist im Autostart.

    Problematisch dürfte eher sein das der eigentliche Schadcode nie als solcher auf der Platte liegt sondern von der IAStorIcon.exe erst bei jedem Start zusammengebastelt wird und dann nur im Arbeitsspeicher existiert.

    Die IAStorIcon.exe macht ja auch erst mal nichts böses und dürfte daher keinen Alarm auslösen, somit ist alles was der Virenscanner auf der Platte findet harmlos.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Ich verstehe das so..

    Autor: DylanD09 15.02.13 - 13:37

    @EvilShepp: Eben, nichts anderes schrieb ich ja, die IAStorIcon.exe muss anhand ihrer Signatur gefunden werden können von Virenscannern, ob sie nun bereits Schadcode nachgeladen hat oder nicht. Der Schadcode ist doch zunächst egal, also muss ein Virenscanner diese schnellstens entfernen, noch bevor der Schadcode die IAStorIcon.exe noch selbst verändert und sie damit wieder unauffindbar macht. Und dass der eigentliche Schadcode (die verschlüsselten nachgeladenen Module) nur aus dem Arbeitsspeicher gestartet werden sollen ist eh klar.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login


Anzeige
  1. Entwicklungsingenieur / Domain Product Owner / Planning & Realization / Software-Koordination GUI (m/w)
    Daimler AG, Sindelfingen
  2. Funktions- und SW-Entwickler/-in für Value Added Functions
    Robert Bosch GmbH, Abstatt
  3. Junior Softwareentwickler C# / Java (m/w)
    Mönkemöller IT GmbH, Stuttgart
  4. IT-Consultant (m/w) Neue Technologien
    Robert Bosch GmbH, Stuttgart-Feuerbach

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Steam-Sommer-Sale
    (u. a. NBA2K16 9,99€, Doom 35,99€, Fallout 4 29,99€, CS GO 6,99€, Rise of the Tomb Raider...
  2. NEU: Telltale-Spiele bei GOG bis zu 75 Prozent günstiger
    (u. a. Game of Thrones 6,99€)
  3. Erste Custom-Designs der GTX 1070 im Zulauf
    (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming uvm.)

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
E-Mail-Verschlüsselung
EU-Kommission hat Angst vor verschlüsseltem Spam
  1. Netflix und Co. EU schafft Geoblocking ein bisschen ab
  2. Android FTC weitet Ermittlungen gegen Google aus
  3. Pay-TV Paramount gibt im Streit um Geoblocking nach

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Axanar: Paramount/CBS erlaubt Star-Trek-Fanfilme
    Axanar
    Paramount/CBS erlaubt Star-Trek-Fanfilme

    Edel das Föderationsmitglied, unziemlichem Tun abhold - und nicht kommerziell: Das Filmunternehmen Paramount/CBS hat wie angekündigt Regeln für Fanfilme aus dem Star-Trek-Universum herausgegeben. Sie enthalten formale wie inhaltliche Vorgaben.

  2. FTTH/FTTB: Oberirdische Glasfaser spart 85 Prozent der Kosten
    FTTH/FTTB
    Oberirdische Glasfaser spart 85 Prozent der Kosten

    Es lässt sich viel Geld sparen beim Bau von Fiber-To-The-Home-Netzen. Das ergab eine Studie und Expertenbefragung mit ausbauenden Unternehmen. Doch kurzfristig wird der Netzbetreiber nicht reich.

  3. Botnet: Necurs kommt zurück und bringt Locky millionenfach mit
    Botnet
    Necurs kommt zurück und bringt Locky millionenfach mit

    Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31