Malware versteckt sich in Windows-Registry

SicherheitSicherheitsmanagement
security-sicherheit (Bild: Shutterstock)

Eine sehr seltene Art von Malware umgeht Virenscanner, indem sie sich nicht in einer Datei auf dem Rechner “niederlässt”. Mit geschickter Tarn- und Täusch-Strategie gelangt der Schädling zunächst per Mail auf den PC und versteckt sich dann in der Registry. So überlebt er auch System-Neustart und Dateibereinigungen.

Das Sicherheitslabor des deutschen Security-Anbieters G Data fand eine Malware, die sich unentdeckt als “Schläfer” auf dem PC einnistet, bis sie Befehle von externer Quelle bekommt. Der unheimliche Agent aus dem Cyberspace umgeht den Angriffsvektor des klassischen Viren-Scans, indem er weder Festplatte noch Arbeitsspeicher kontaminiert.

G Data LogoEr heißt Poweliks, setzt sich erst einmal in der Windows-Registry zu Ruhe und entfaltet “erst nach und nach, wie eine Matroschka-Figur” sein Potential, berichtet G Data. Ursprünglich gerät er durch eine Sicherheitslücke in Microsoft Word per E-Mail auf den PC und versteckt sich dann schnell in der Registry-Datei.

“Im untersuchten Fall ist die Malware darauf programmiert, mit einem Server zu kommunizieren, um weitere Befehle zu erhalten. Der Schädling könnte aber auch jede andere Aktion ausführen, die der Entwickler ihm einprogrammiert hat.”, warnt G Data.

In einer englischsprachigen Analyse geht der Sicherheitsanbieter auf die Einzelheiten ein, mit denen der Schädling unbemerkt nach und nach verschlüsselte Codes und Befehlsfolgen abholen kann, um dann im richtigen Moment zuzuschlagen, also Daten zu stehlen, Geräte zu zerstören oder anderes Unheil anzurichten.

Um diese Art von Malware zu erkennen, müssen Antiviren-Lösungen bereits beim Eintreffen der E-Mail ansetzen oder im Vorfeld das Ausnutzen der Sicherheitslücke unterbinden.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen