Superschlauer Trojaner hintergeht Webscanner

SicherheitSicherheitsmanagementSoftware

Der Trojaner »Bohu« heble die Cloud- Virenscanner aus, berichtet Microsoft. Dazu bediene er sich einiger ausgefeilter Techniken. MS beschreibt, was der Schädling eigentlich macht.

Normale Virenscanner zu umgehen oder auszuschalten, ist bei den digitalen Schädlingen üblich. Eine Entdeckung durch die in Webservices bereitgestellten Dienste zu umgehen, ist ein neuer Schritt in der Evolution von Malware, berichtet Microsofts Malware Protection Center. Der Schädling Bohu, ein »Trojan Dropper«, ist vor allem in China verbreitet – deshalb setzte Microsoft auch seine chinesischen Sicherheits-Mitarbeiter Jingli Li und Zhitao Zhou darauf an, die die erstaunlichen Fähigkeiten des Digitalfieslings unter die Lupe nahmen.

Er arbeitet mit mehreren Techniken, um der Erkennung auch per Web zu entgehen. So fügt er beispielsweise zufällige Daten an seine eigenen Codes, um eine Quersummenprüfung zu erschweren (siehe Bild).


(Bild: Zufällige Datenveränderung durch Trojaner Bohu)

Die zweite Art, sich zu schützen, ist die Störung des Datenstroms zwischen Scanner und Cloud-Service. Dafür nutz der Schädling das »Windows Sockets Service Provider Interface« (Winsock SPI) .

Und die dritte schließlich nutzt die Datenpaketfilterung durch einen NDIS-Treiber. um per Filter die Anfragen des Webservers auf bestimmte Schlüsselwörter und Server-Adressen zu unterbinden.

Dies sei das erste Exemplar einer neuen Generation von Malware, die speziell die Cloud-Sicherheits-Tools im Auge habe, schreiben die Microsoft-Sicherheitsforscher.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen