Kaum bemerkbarer Trojaner der sich in RAM einnistet

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von CanHurry, 11. November 2013 .

Schlagworte:
  1. 11. November 2013
    Zuletzt bearbeitet: 15. Juli 2014
    Mit einer Abwandlung des trojanischen Pferds APT.9002 alias Hydraq ist eine Schadsoftware im Umlauf, die sich nicht mehr auf die Festplatte schreibt, sondern sich lediglich im Arbeitsspeicher einnistet, wie die Sicherheitsexperten von Fireeye berichten. Nach einem Rechnerneustart ist die Schadsoftware also weg, aber es gibt dann auch keine Spuren eines Befalls.

    Für die Einschleusung der Schadsoftware wird eine bislang nicht bekannte und auch nicht beseitigte Sicherheitslücke im Internet Explorer verwendet. Wird eine entsprechend präparierte Webseite mit Microsofts Browser besucht, nistet sich die Schadsoftware im Arbeitsspeicher ein.

    Attacke ist schwerer bemerkbar: Die Sicherheitsexperten gehen davon aus, dass sich die Macher der Schadsoftware sicher sind, dass ihre Opfer die betreffende Webseite immer wieder besuchen.

    Bislang hat Microsoft noch nicht auf die Sicherheitslücke im Internet Explorer reagiert. Das Unternehmen soll aber derzeit daran arbeiten, das Leck eingehender zu untersuchen. Erst in der vergangenen Woche hatte Microsoft davor gewarnt, dass derzeit ein Sicherheitsloch unter anderem in Windows und Office gezielt ausgenutzt wird.

    Computersicherheit: Neue Schadsoftware hinterlässt keine Datenspuren - Golem.de
    -------------------------------------

    Die Schadsotware wird immer besser. In Zukunft, kann man sich wohl nur noch schützen indem man auf Software von Drittabietern verzichtet und nur noch auf Sicheren Seiten unterwegs ist.
     
  2. 13. November 2013
    AW: Kaum bemerkbarer Trojaner der sich in RAM einnistet

    Mir scheint eher, du würdest die Art und Weise der Infektion nicht verstehen:

    Einmal ist diese Malware an sich nicht "besser" als andere Malware, sie ist eben anders. Nur, weil nicht auf die Festplatte geschrieben wird ist es jetzt auch nicht viel schwieriger oder aufwendiger, die Malware zu erkennen, sobald erste Samples vorliegen.

    Das größere Problem ist (und das schon seit Jahren), dass signaturbasierte Antivirenscans nicht mehr allzuviel bringen. Um wirklich effektiv gegen Malware vorgehen zu können müsste die Heuristik so gut sein, dass sie unbekannte Malware trotzdem erkennt (und ab 90% Erkennungsrate werden die False Positives so extrem zunehmen, dass du gar keinen Spaß mehr daran hast, andauernd die Meldungen wegzuklicken).

    Von daher setzen viele Firmen mittlerweile die Systeme von Fireeye ein. Hier wird das Verhalten einer Software beobachtet und analysiert (auch ggf. ob sie erst einmal 30 minuten idlet bevor etwas passiert). Nennt sich verhaltensbasierter Virenscan.
    Ich schätze, das wird in den nächsten Jahren auch für Privatanwender möglich sein, aktuell ist die Software aber noch ziemlich frisch, sodass man sich entsprechende Lizenzen nur leisten kann, wenn man den nötigen Schutzbedarf hat.

    Nochmal zu der Malware zurück: Die Malware wurde auf einer bekannten US Innen-/Aussenpolitik Seite platziert. Würde das nicht für die Annahme reichen, die Seite sei sicher? Ausserdem geht es dann auch wieder darum, mit welcher Software man ins Netz geht. Windows XP und IE 7.. Okay - sorry, da ist man dann auch selbst Schuld. Für aktuelle IE Versionen auf Windows 7 wäre die Lücke zwar möglich, aber wurde nicht gesichtet.
    Deshalb bitte, bevor solche Behauptungen aufgestellt werden erst mal nachdenken und die Fakten verknüpfen, denn meistenstens ist es leider doch die Schuld der Anwender, wenn sie mit Software von 2009 online gehen..
     
    1 Person gefällt das.
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.