Dateilose Infektionen: Was tun?

Post Reply
User avatar
Theo_Gottwald
Posts: 367
Joined: 03. Oct 2009, 08:57
Location: Herrenstr.11 * 76706 Dettenheim
Contact:

Dateilose Infektionen: Was tun?

Post by Theo_Gottwald » 01. Apr 2017, 10:05

"Dateilose Infektionen" bedeutet dass die Viren Ihre Programme in der Registry speichern.
Als ausführendes Organ bzw. Runtime dient den Viren die "Powershell.exe".
Diese Powershell führt die Virenprogramme dann über Umwege aus.

Warum "Dateilose Infektionen"?
Der Vorteil für die Viren ist dabei, dass sie Virenscanner umgehen, die bisher ja immer nach verdächtigen Dateien gesucht haben.


Wer nun glaubt, dass es hilft, das Powershell gar nicht installiert zu haben, sollte wissen, dass der Virus auch hierfür vorgesorgt hat, in dem sich der Virus dann einfach selbst das Powershell herunterlädt und installiert!

Eine andere Möglichkeit ist es, die "Powershell.exe" im Powershell-Folder
"C:\Users\Theo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools"
umzubenennen, und eine andere Datei als "Powershell.exe" dort zu hinterlassen.
Zum Beispiel eine, die ein Logfile schreibt wenn sie aufgerufen wird.

Dabei gibt es zunächst das Problem, dass dies nicht so ohne weiteres möglich ist.

Dieses "Rename" kann man nur von einer Eingabeaufforderung/Prozess aus machen, der als "Trusted Installer" läuft.
Der "Trusted Installer" Dienst - zu deutsch "Windows Module Installer" muß dazu erst Mal gestartet werden.

Dann kann man mittel des Freeware-Tools "Process Hacker" in der dort beschriebenen Weise eine Commandline starten.
Von da aus kann man die nötigen Umbenennungen vornehmen.

In dem man das Powershell da sozusagen "lahmlegt" wo man es nicht benötigt, entzieht man den "Dateilosen Infektoren" quasi die Runtime.

Hier weitere Infos.
Kaspesky Tipps

HEISE Security: Dateilose Infektionen
Appendix I – Indicators of Compromise

To find the host used by an attacker using the technique described for remote connections and password collection, the following paths in the Windows registry should be analyzed:

HKLM\SYSTEM\ControlSet001\services\ – path will be modified after using the SC utility
HKLM\SYSTEM\ControlSet001\services\PortProxy\v4tov4\tcp – path will be modified after using the NETSH utility
In unallocated space in the Windows registry, the following artefacts might be found:

powershell.exe -nop -w hidden -e
10.10.1.12/8080
10.10.1.11/4444
Please note that these IPs are taken from the IR case in which we participated, so there could be any other IP used by an eventual attacker. These artefacts indicate the use of PowerShell scripts as a malicious service and the use of the NETSH utility for building tunnels.

Verdicts:

MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg.c
HEUR:Trojan.Multi.Powecod


Post Reply

Return to “Verschiedenes”

Who is online

Users browsing this forum: No registered users and 2 guests