News Neuer Trojaner hinterlässt keine Spuren

[fethomm]

Die Techniker des Sicherheitsunternehmens FireEye haben eine Schadsoftware entdeckt, die auf dem betroffenen Rechner keine Spuren hinterlässt, da sie im Arbeitsspeicher residiert. Die Infektion findet durch eine bisher unbekannte Lücke im Internet Explorer statt. Das Unternehmen soll derzeit daran arbeiten, die Lücke zu finden.

Zur News: Neuer Trojaner hinterlässt keine Spuren

 

[Snikeman]

Wär ja lustig wenn's direkt der IE11 is der vor kurzem für Windows 7 kam

 

[Tranceport]

Wie ist er denn entdeckt worden, wenn er keine Spuren hinterlässt ?

 

[trick17]

Wie ist er denn entdeckt worden, wenn er keine Spuren hinterlässt ?

Jemand hat in Linux Mint ein Windows emuliert und den Traffic untersucht ?

 

[Radde]

Und bei Ruhezustand und Standby wird man den Trojaner nie wieder los?
Eine wirkliche Verbreitung kann der Trojaner ja nur finden, wenn er durch eine Homepage verbreitet wird, die eine große Reichweite besitzt. Bin gespannt um welche Seite es sich handelt.

 

[[SoD]r4z0r]

Und bei Ruhezustand und Standby wird man den Trojaner nie wieder los?
Eine wirkliche Verbreitung kann der Trojaner ja nur finden, wenn er durch eine Homepage verbreitet wird, die eine große Reichweite besitzt. Bin gespannt um welche Seite es sich handelt.

Denke der wird so geschrieben sein, dass nachdem der RAM-Inhalt von HDD wieder im RAM ist keine Spuren auf der HDD hinterlässt.

Mich interessiert es aber auch, welche Website es ist bzw. welche es sind.

 

[Real-Duke]

Da man Windows eh öfter neu starten muß, ist das kein großes Problem

 

[Jasmin83]

Und bei Ruhezustand und Standby wird man den Trojaner nie wieder los?
Eine wirkliche Verbreitung kann der Trojaner ja nur finden, wenn er durch eine Homepage verbreitet wird, die eine große Reichweite besitzt. Bin gespannt um welche Seite es sich handelt.

richtig und beim neuen tollen win 8, wo auch nicht mehr richtig heruntergfahren wird, sondern nur noch mit hiberfile, wird man das teil auch nicht mehr los, weil ein speicherabbild auf der platte gespeichert wird, da hilft nur komplettneustart und zwischendurch stromlos

 

[Krik]

Du kannst bei Windows 8 einstellen, ob er "komplett" runterfahren soll oder nicht.

 

[MetalForLive]

Letztens sind meine 16GB Ram voll gelaufen ohne ersichtlichen Grund beim BF4 zocken, ich benutze eigentlich keinen Internet Explorer, ich hoffe mal das war nur ein BF4 bug, denn Abhilfe hat nur ein Neustart geschafft und ich konnte auch keinen Prozess finden der an der Auslastung schuld war, das war sehr merkwürdig.

 

[can320]

lol ein trojaner der nach dem neustart wieder weg ist. Da werden bald alle Antiviren Programme überflüssig....

 

[Ruebennase]

Du kannst bei Windows 8 einstellen, ob er "komplett" runterfahren soll oder nicht.

Hi kannst du mir bitte sagen wo?

 

[sparvar]

lol ein trojaner der nach dem neustart wieder weg ist. Da werden bald alle Antiviren Programme überflüssig....

und nachdenken auch schon mal überlegt WAS ein trojaner macht? - oder vielleicht einfach mal den newstext lesen, hilft auch.

 

[Yuuji]

Kann man der Trojaner nicht mit Hilfe von RAMMap sehen ?

 

[versus010919761]

Ruebennase

Gehe unter Energieoptionen auf Netzschalterverhalten ändern. Dann den Schnellboot den Haken rausnehmen

 

[sparvar]

@Rabe - denke schon, doch wer überprüft dauernd das Tool?

 

[Porky Pig]

mmhh irgendwie check ich das nicht ganz!!... ein trojaner ist doch auch ein Stück Software oder? es müßte dem Virenprogramm doch egal sein ob er nun auf der HD sitzt oder im RAM...mein Antivirenprogramm (KIS) durchsucht auch den Arbeitsspeicher...also wenn der Bösewicht bekannt ist muß ein Antivirenprog. es doch auch finden...

 

[Sun_set_1]

Es geht darum, dass die Spuren des Einbruchs verschwinden!

Wie im Artikel beschrieben, müssen die Angreifer schnell handeln. Es handelt sich hier sehr warhscheinlich um wirklich zielgerichtete Attacken, keine „Masseninfektion“. Der Schadcode nistet sich im Arbeitsspeicher ein. Das heißt ASLR wurde erfolgreich umgangen und der Schadcode befindet sich nun somit in einem Bereich des Arbeitsspeichers aus dem heraus er dann weitere Bereiche des Systems infizieren kann. Startet der Rechner aber anschließend neu, lässt sich nicht mehr nachvollziehen wie der Virus in das System kam. In etwa so, als seit ihr Polizeibeamter und verfolgt Einbrüche bei denen ihr zwar feststellt das eingebrochen wurde, aber eben nicht wie.

Das heißt in der Praxis, dass wahrschl auf dem C&C Server gewisse IP Ranges hinterlegt sind. Ein ausländischer Geheimdienst verfügt z.B. tagesaktuell über die IP Range des Innenministeriums. Wurde dann ein Rechner infiziert und liegt innerhalb einer auf dem C&C hinterlegten IP Range wird erst die eigentliche Infektion gestartet. So etwas kann aber Sicherheitsfirmen dadurch auffallen, wenn beispielsweise auf einem Honeypot der Arbeitsspeicher gemonitored wird. Finden die Tools nun Bereiche im Arbeitsspeicher die dort eigentlich nicht hingehören bzw randomized oder inaktiv sein sollten es aber nicht sind, schaut man sich das genauer an.

 

[versus010919761]

Betroffen sind nur XP Oder 7 und das unter dem IE10 und 11.

 

[Four2Seven]

Die besagte Seite, die wohl sehr viel angesurft wird, wird dann wahrscheinlich facebook oder google sein.