29.01.2014, 00:00 Uhr
VBScript-Schädling auf dem Seziertisch
Die Experten aus den Zscaler ThreatLabZ analysieren in einem Blogpost den VBScript Bot und zeigen damit die Funktionsweise eines aktuellen Advanced Persistent Threats (APT) auf. Diese Art Malware-Typ sollte Unternehmen als Warnung dienen, denn solche APTs sind in der Lage, die herkömmlichen Schutzmechanismen zu umgehen, sich hartnäckig im System einzunisten und langfristig Schaden anzurichten.
Zum Zeitpunkt der Analyse waren lediglich 14 von 50 Anti-Viren-Herstellern in der Lage diese Bedrohung zu erkennen, da der eigentliche Malware-Code in einer verschlüsselten Extension verborgen wurde. Beim VBScript Bot handelt es sich um eine besonders langlebige und hartnäckige Gefahr. Diese Malware kopiert sich in den Windows-Startordner, generiert einen Registry-Eintrag, um das System neu zu starten und legt eine Kopie in den temporären Windows-Dateiordnern an und stellt schlussendlich noch eine Verbindung zum Command-and-Control-Server her.
Sind diese Voraussetzungen geschaffen, können von diesem Server aus Updates verschickt und installiert, Daten ausgefiltert und letztendlich alle Spuren der besagten Malware getilgt werden. Diese Malware verschafft sich umfangreiche Befugnisse: sie kann Laufwerksnamen und –typen regeln, auf Verzeichnisinhalte zugreifen, die auf dem System ablaufenden Prozesse manipulieren und sogar sämtliche DOS-Kommandos auf dem infizierten System ausführen.
Die gute Nachricht: inzwischen sieht es so aus, als sei der entsprechende Command-and-Control-Server offline. Den vollständigen Blog aus den Zscaler ThreatLabZ und die technischen Details können Sie unter http://research.zscaler.com/2014/01/analysis-of-vbscript-bot.html nachlesen. [bl]
