Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Neuer Bot nistet sich im…

Was genau ist daran jetzt neu?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was genau ist daran jetzt neu?

    Autor: thewayne 14.02.13 - 15:40

    Schadcode un den Arbeitsspeicher nachladen (ohne auf HDD zu schreiben) und dann vom Arbeitsspeicher aus auszuführen gibts seit mindestens 2005...

  2. Re: Was genau ist daran jetzt neu?

    Autor: non_sense 14.02.13 - 15:46

    Vor allem, was passiert, wenn man den Rechner neustartet?
    Wird der Code dann wieder in den Arbeitsspeicher geladen?

  3. Re: Was genau ist daran jetzt neu?

    Autor: tomate.salat.inc 14.02.13 - 15:54

    Steht doch im Artikel:

    "Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach einem Neustart."

  4. Re: Was genau ist daran jetzt neu?

    Autor: skynet_de 14.02.13 - 15:58

    "Neu" bzw. "ungewöhnlich" ist die Tatsache dass der Schadcode keinen Prozess spawned, weshalb der Schädling schwerer zu entdecken ist da die meisten Scanner auf Prozess- bzw. Thread-Basis scannen.

  5. Re: Was genau ist daran jetzt neu?

    Autor: Flasher 14.02.13 - 16:01

    uff - jetzt muss auch noch der Arbeitspeicher in regelmässigen Abständen gescannt werden. irgendwann wird soviel Malware im Umlauf sein, dass man 2/3 der Rechenleistung eines PCs dafür aufwenden muss um sich davor zu schützen.

  6. Re: Was genau ist daran jetzt neu?

    Autor: kendon 14.02.13 - 16:01

    demzufolge ist auch spätestens ab diesem zeitpunkt der schadcode nicht nur im speicher vorhanden. oder ist eine datei, die eine andere (an sich schadhafte) datei nachlädt "per definition" kein schadcode?

  7. Re: Was genau ist daran jetzt neu?

    Autor: non_sense 14.02.13 - 16:06

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > Steht doch im Artikel:
    >
    > "Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach
    > einem Neustart."

    Im Artikel steht aber auch:

    "Der heruntergeladene Schadcode werde aber nicht auf der Festplatte gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei zusammengestellt und ausgeführt."

    Also wird der Schadcode nicht auf die Festplatte gespeichert.
    Woher soll dann der Schadcode kommen, wenn er nicht persistiert vorliegt?

  8. Re: Was genau ist daran jetzt neu?

    Autor: l0ng 14.02.13 - 16:10

    non_sense schrieb:
    --------------------------------------------------------------------------------
    > tomate.salat.inc schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Steht doch im Artikel:
    > >
    > > "Ab diesem Zeitpunkt ist der Rechner infiziert und bleibt es auch nach
    > > einem Neustart."
    >
    > Im Artikel steht aber auch:
    >
    > "Der heruntergeladene Schadcode werde aber nicht auf der Festplatte
    > gespeichert, sondern im Arbeitsspeicher zu einer ausführbaren Datei
    > zusammengestellt und ausgeführt."
    >
    > Also wird der Schadcode nicht auf die Festplatte gespeichert.
    > Woher soll dann der Schadcode kommen, wenn er nicht persistiert vorliegt?


    Aus dem Internöt, oder den .txts

  9. Re: Was genau ist daran jetzt neu?

    Autor: tomate.salat.inc 14.02.13 - 16:11

    Gute Frage. Das ganze verbindet sich ja noch zu einem CnC-Server. Möglicherweise wird da etwas nachgeliefert was die entsprechende .exe dann zusammenbaut. Ist jetzt aber auch nur eine Vermutung von mir.

  10. Re: Was genau ist daran jetzt neu?

    Autor: TC 14.02.13 - 16:33

    dann würde das aber an der Firewall hängenbleiben...
    vieleicht genertiert es den Schadcode ja auch prozedural ^^

  11. Re: Was genau ist daran jetzt neu?

    Autor: Mingfu 14.02.13 - 16:54

    Was daran jetzt revolutionär neu sein soll, erschließt sich mir auch nicht. Der Schadcode wird doch ganz normal auf Festplatte geschrieben, wie die im Artikel genannten Dateien deutlich machen. Das ist doch bereits Schadcode und nur so ist auch sichergestellt, dass das System dauerhaft infiziert bleibt.

    Dass dieser Schadcode dann eventuell noch mehr Schadcode nachladen kann und diesen nicht erst auf die Festplatte schreibt, ist vollkommen geschenkt - wenig revolutionär. Der eigentliche Schadcode hat bereits vorher das System ganz klassisch per Festplatte infiziert und genau diesen Schadcode muss man von der Infektion abhalten. Danach kämpft man eh gegen Windmühlen, wenn man nachgeladene Module irgendwie einzeln aufspüren und blocken will.

  12. Re: Was genau ist daran jetzt neu?

    Autor: xri12 14.02.13 - 17:17

    Flasher schrieb:
    --------------------------------------------------------------------------------
    > uff - jetzt muss auch noch der Arbeitspeicher in regelmässigen Abständen
    > gescannt werden. irgendwann wird soviel Malware im Umlauf sein, dass man
    > 2/3 der Rechenleistung eines PCs dafür aufwenden muss um sich davor zu
    > schützen.
    Das wird doch eh schon gemacht. Jedenfalls kann ich mich daran erinnern, dass die uralte GData AV das auch schon gemacht hat. Und bei der geringen Größe und der schnellen leserate dürfte das eh kein Problem sein.
    Und das 2/3 der Rechenleistung vom AV belegt sind war doch die Vergangenheit, da kommen wir hoffentlich nicht mehr hin :-)

    Zum topic: so neu kommt mir das jetzt nicht vor. Schadhafte dlls gab es doch schon immer.

  13. Re: Was genau ist daran jetzt neu?

    Autor: baxtorsLab 14.02.13 - 17:21

    Neu ist hier fast garnichts.
    -------------------------------------------------------------------------------------------------------------------
    Zitat Sophos: <<The overall impression is of a work-in-progress consisting of a number of separate modules that don't yet work together very well.

    The programming shows a lot of clumsiness, but this is counterbalanced by by the fact that it features an in-memory plugin architecture and uses a previously unknown zero-day Flash exploit.

    In short, it's an interesting mix of professional work and amateur integration.>>
    --------------------------------------------------------------------------------------------------------------------
    Die als "explorer.exe" getarnte Bot Datei ist halt mit einem gültigen Zertifikat ausgestattet und kann ( das ist das eigentlich erstaunliche ) Schadcode direkt im Speicher zu einem ausführbaren Programm neu zusammensetzten und direkt ohne einen Prozess zu starten ausführen. Ich denke der Schadcode kann sehr klein sein, denn alle Funktionsausrufe ( function relocation imports) werden vom Betriebsystem durchgeführt. Was die ganze Sache modular macht. Aber neu ist das auch nicht. Nur halt eine neue Methode Schadcode verschlüsselt vom C&C Server oder andererorts zu holen und direkt im Speicher auszuführen (" in-memory plugin").

  14. Re: Was genau ist daran jetzt neu?

    Autor: vergeben 14.02.13 - 21:25

    baxtorsLab schrieb:
    --------------------------------------------------------------------------------

    > Die als "explorer.exe" getarnte Bot Datei ist halt mit einem gültigen
    > Zertifikat ausgestattet und kann ( das ist das eigentlich erstaunliche )
    > Schadcode direkt im Speicher zu einem ausführbaren Programm neu
    > zusammensetzten und direkt ohne einen Prozess zu starten ausführen.

    Also ist "explorer.exe" der Prozess des Schadcodes. Wenn man diesen beendet, bleibt auch kein Voodoo mehr unentdeckt im Speicher aktiv. ;-)

  15. Re: Was genau ist daran jetzt neu?

    Autor: NeverDefeated 15.02.13 - 16:55

    vergeben schrieb:
    --------------------------------------------------------------------------------
    > baxtorsLab schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Die als "explorer.exe" getarnte Bot Datei ist halt mit einem gültigen
    > > Zertifikat ausgestattet und kann ( das ist das eigentlich erstaunliche )
    > > Schadcode direkt im Speicher zu einem ausführbaren Programm neu
    > > zusammensetzten und direkt ohne einen Prozess zu starten ausführen.
    >
    > Also ist "explorer.exe" der Prozess des Schadcodes. Wenn man diesen
    > beendet, bleibt auch kein Voodoo mehr unentdeckt im Speicher aktiv. ;-)

    Dann ist es ja gut, dass bei mir auf Windows schon seit 2007 keine Explorer.exe mehr gestartet wird. Wenn eine Explorer.exe im Taskmanager auftaucht, weiss ich auch ohne Virenscanner, dass etwas faul ist.

  16. Re: Was genau ist daran jetzt neu?

    Autor: Endwickler 15.02.13 - 19:16

    NeverDefeated schrieb:
    --------------------------------------------------------------------------------
    > ...
    > Dann ist es ja gut, dass bei mir auf Windows schon seit 2007 keine
    > Explorer.exe mehr gestartet wird. Wenn eine Explorer.exe im Taskmanager
    > auftaucht, weiss ich auch ohne Virenscanner, dass etwas faul ist.

    Du bist ein Superheld. Hast du dazu die explorer.exe umbenannt? :-)

  17. Re: Was genau ist daran jetzt neu?

    Autor: smeexs 16.02.13 - 00:16

    Flasher schrieb:
    --------------------------------------------------------------------------------
    > uff - jetzt muss auch noch der Arbeitspeicher in regelmässigen Abständen
    > gescannt werden. irgendwann wird soviel Malware im Umlauf sein, dass man
    > 2/3 der Rechenleistung eines PCs dafür aufwenden muss um sich davor zu
    > schützen.

    installier dir doch ubuntu oder ein anderen linux os , dann ersparst du dir das , ich kann dir sagen das fühlte sich sehr befreiend an .

    und ja , auch ich spiele und arbeite mit meinem pc , ganz ohne windows.

    ich versteh echt nicht warum man sich das, im privaten bereich zumindest , überhaupt noch antut, ganz besonders bei den windows neulingen und anfängern denk ich mir das, was die sich aus unwissenheit (es gibt nur windows!) ganz unnötig quälen ,die würden sich mit ubuntu viel leichter tun aber bitte , jeder wie er will !

    ich würd mir nur wünschen dass bei solchen viren-artikeln noch deutlicher dort steht :
    BETRIFFT NUR WINDOWS SYSTEME
    manchmal steht das gar nicht dabei , vielleicht würde den leuten ja dann ein licht auf gehen

  18. Re: Was genau ist daran jetzt neu?

    Autor: Endwickler 17.02.13 - 09:48

    smeexs schrieb:
    --------------------------------------------------------------------------------
    > Flasher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > uff - jetzt muss auch noch der Arbeitspeicher in regelmässigen Abständen
    > > gescannt werden. irgendwann wird soviel Malware im Umlauf sein, dass man
    > > 2/3 der Rechenleistung eines PCs dafür aufwenden muss um sich davor zu
    > > schützen.
    >
    > installier dir doch ubuntu oder ein anderen linux os , dann ersparst du dir
    > das , ich kann dir sagen das fühlte sich sehr befreiend an .
    >
    > und ja , auch ich spiele und arbeite mit meinem pc , ganz ohne windows.
    >
    > ich versteh echt nicht warum man sich das, im privaten bereich zumindest ,
    > überhaupt noch antut, ganz besonders bei den windows neulingen und
    > anfängern denk ich mir das, was die sich aus unwissenheit (es gibt nur
    > windows!) ganz unnötig quälen ,die würden sich mit ubuntu viel leichter tun
    > aber bitte , jeder wie er will !
    >
    > ich würd mir nur wünschen dass bei solchen viren-artikeln noch deutlicher
    > dort steht :
    > BETRIFFT NUR WINDOWS SYSTEME
    > manchmal steht das gar nicht dabei , vielleicht würde den leuten ja dann
    > ein licht auf gehen

    Nein.
    Kenne Windowsnutzer, die auch Ubuntu hernahmen und das hatte ihnen einfach nicht gefallen und war für sie nicht gut genug. Im privaten Bereich werden wohl die Spiele- und Filesharingnutzungen, vielleicht auch eine Gesichtsbuchanwendung, die Gründer für den Rechner liefern und da holen die Linuxsysteme eben nicht allzu fix auf. Mal sehen, wieviel Valve mit Steam dazu beitragen wird.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. via experteer GmbH, Frankfurt (Home-Office)
  2. OEDIV KG, Bielefeld
  3. Landesbetrieb Mobilität Rheinland-Pfalz, Koblenz
  4. BWI GmbH, Bonn / mehrere Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Inno3D Geforce RTX 2070 X2 OC für 399,00€, Zotac Gaming Geforce RTX 2080 AMP Extreme...
  2. 199,90€ (Bestpreis!)
  3. ab 794,99€ und damit günstiger als bei Apple (Release am 20.09.)
  4. ab 1.144,99€ und damit günstiger als bei Apple (Release am 20.09.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

  1. Mobilfunkpakt: Vodafone schaltet 5G-Standorte früher frei
    Mobilfunkpakt
    Vodafone schaltet 5G-Standorte früher frei

    In Hessen geht es jetzt zügig weiter. Vodafone hat drei Standorte früher freigeschaltet. Auch die Telekom ist in dem Bundesland schon mit 5G aktiv.

  2. Creative Assembly: Das nächste Total War spielt im antiken Troja
    Creative Assembly
    Das nächste Total War spielt im antiken Troja

    Viele Gerüchte gab es bereits um das nächste Total-War-Spiel. Jetzt ist es offiziell: A Total War Story: Troy erzählt die Sage um Achilles, Hector, Odysseus und die antike Stadt Troja. Der Titel soll 2020 erscheinen.

  3. Facebook-Urteil: Künast muss übelste Beschimpfungen hinnehmen
    Facebook-Urteil
    Künast muss übelste Beschimpfungen hinnehmen

    Die Grünen-Politikerin Renate Künast will die Verfasser von Hasskommentaren auf Facebook gerichtlich belangen. Doch das soziale Netzwerk muss die Nutzerdaten nicht herausgeben.


  1. 17:55

  2. 17:42

  3. 17:29

  4. 16:59

  5. 16:09

  6. 15:59

  7. 15:43

  8. 14:45