2185603

Tarnkappen-Malware auf dem USB-Stick

24.03.2016 | 14:44 Uhr |

Ein trojanischer Datendieb verbirgt sich auf USB-Sticks, ohne Spuren auf dem PC zu hinterlassen. Er tarnt sich mit AES-Verschlüsselung und nutzt dabei die Geräte-ID des USB-Speichers.

PC-Schädlinge, die sich über USB-Sticks verbreiten, sind seit Jahren bekannt. Sie nutzen meist Autorun-Dateien, um automatisch gestartet zu werden. Der Datenspion, den das Antivirusunternehmen ESET kürzlich entdeckt hat, ist von ganz anderem Kaliber. Er nutzt die Mechanismen portabler Anwendungen und hängt sich in deren Kommandokette ein. Zur Tarnung nutzt er eine 128-bittige AES-Verschlüsselung und bildet Dateinamen aus kryptografischen Eigenschaften der Dateien.

Tomáš Gardon beschreibt die Entdeckung und die Eigenschaften des Schädlings im deutschen ESET-Blog . Die relativ komplexe Malware besteht aus sechs Dateien, von denen vier ausführbar sind und zwei Konfigurationsdaten enthalten. Die Dateien sind mit einer 128-bittigen AES-Verschlüsselung geschützt. Der Schlüssel wird aus der Geräte-ID und weiteren Eigenschaften des USB-Sticks gebildet. Die Malware kann somit stets nur von diesem einen USB-Stick aus gestartet werden.

Der Ausführung des eigentlichen Schad-Code geht ein dreistufiger Ladeprozess voraus. Dabei überprüfen die einzelnen Loader, ob sie von einem nicht schreibgeschützten USB-Stick gestartet wurden, ob es auch der richtige Speicher ist und ob ein Antivirusprogramm aktiv ist. Erst dann wird die so genannten Payload gestartet, also der Daten stehlende Prozess, der seine Daten verschlüsselt auf dem USB-Stick ablegt. Welche Daten er sammeln soll, entnimmt er den Konfigurationsdateien.

Malware-Guide: Diese Gefahren bedrohen Ihren PC

Dieser Datendieb, den ESET „Win32/PSW.Stealer.NAI“ nennt, ist wenig verbreitet – er könnte das Werkzeug professioneller Spione sein. Auch Rechner, die nicht mit dem Internet verbunden sind, können durch präparierte USB-Sticks gefährdet sein, etwa wenn diese als Werbegeschenke verteilt werden. Ein infizierter USB-Speicher könnte auch durch einen Insider oder einen Einbrecher an einen Zielrechner angeschlossen und später wieder eingesammelt werden.

0 Kommentare zu diesem Artikel
2185603