ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Neuer Trojaner hinterlässt keine Spuren

Ferdinand Thommes
50 Kommentare

Die Techniker des Sicherheitsunternehmens FireEye haben eine Schadsoftware entdeckt, die auf dem betroffenen Rechner keine Spuren hinterlässt, da sie im Arbeitsspeicher residiert. Die Infektion findet durch eine bisher unbekannte Lücke im Internet Explorer statt. Das Unternehmen soll derzeit daran arbeiten, die Lücke zu finden.

Bei der Schadsoftware handelt es sich um eine Variante von „Trojan.APT.9002“, der sich ebenfalls im Hauptspeicher des befallenen Rechners einnistet, ohne Spuren auf der Festplatte zu hinterlassen. Dieses Vorgehen hat Vor- und Nachteile. Für die Virenforscher wird die Identifizierung und Verfolgung schwieriger, da der Schadcode mit jedem Neustart des Rechners komplett verschwindet. Für die Angreifer ist dieser Vorteil gleichzeitig auch ein Nachteil, da sie nach der Infektion schnell handeln müssen.

Um diesen Nachteil auszugleichen, haben die Angreifer für die Infektion mit dem Schadcode eine Webseite präpariert, von der sie ausgehen, dass Anwender sie immer wieder frequentieren. Es soll sich nach Aussagen von FireEye um eine Seite zu nationaler und internationaler Sicherheitspolitik handeln. Nähere Angaben machen die Forscher dazu derzeit aus Sicherheitsgründen nicht. Welche Versionen des Internet Explorer die Zero-Day-Lücke ermöglichen ist bisher ebenfalls nicht bekannt.

Die Chance, dass der Anwender die Infektion bemerkt ist relativ gering, da sich auf der Festplatte nichts ändert. Die Angreifer müssen jedoch schnell reagieren, um den Rechner über „Command and Control Server“ unter ihre Kontrolle zu bringen, solange der Anwender den Rechner nicht neu startet. Nach dem nächsten Besuch der Webseite wird der Rechner von neuem infiziert. Diese Art des Angriffs nennt sich Advanced Persistent Threat (APT) und wird meist zielgerichtet zur Ausspähung von Unternehmen und Institutionen eingesetzt. Die Experten von FireEye fanden im Schadcode Hinweise auf das gleiche Vorgehen bei früheren Kampagnen wie etwa bei Operation DeputyDog. Mindestens eine der Domains für die C&C-Server der jetzigen Angriffe wurde bereits im Jahr 2011 benutzt.

25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz