Dateilose Malware infiziert Tausende Windows-Rechner
Quelle: Pixabay/geralt

Dateilose Malware infiziert Tausende Windows-Rechner

Microsoft und Cisco haben eine neue Malware entdeckt. Diese wird im Arbeitsspeicher ausgeführt und wird deshalb nicht vom Windows Defender entdeckt. Bereits seien Tausende Rechner mit der Nodersok beziehungsweise Divergent benannten Schadsoftware infiziert.
1. Oktober 2019

     

Microsoft nennt sie Nodersok, Cisco hat ihr den Namen Divergent verliehen. Beide Namen stehen für dieselbe Malware, die bereits Tausende Rechner infiziert haben soll, auch in Europa. Verbreitet wird sie über manipulierte Werbeanzeigen und installiert auf den infizierten Geräten einen Proxy-Server, über den offenbar unter anderem Klickbetrug betrieben wird.

Wie Microsoft schreibt, arbeitet Nodersok fileless, besteht also selbst aus keiner Datei, die auf dem Zielrechner installiert wird. Vielmehr führt ein Klick auf eine manipulierte Werbeanzeige zum Download einer HTA-Datei. Daraufhin startet ein Javascript-Befehl in der Datei den Download einer zweiten Komponente, beispielsweise einer Javascript-Datei, die wiederum einen Powershell-Befehl ausführt. Dieser führt schliesslich dazu, dass weitere Prozesse angestossen werden. So werden unter anderem der Windows Defender ausser Gefecht gesetzt und Windivert sowie Node.exe (Teil des Node.Js Framework) heruntergeladen. und schliesslich wird ein weiteres Javascript-Modul heruntergeladen, das Node.exe nutzt, um einen Proxy-Server zu installieren.


Das Problem mit Nodersok ist laut Microsoft, dass die Malware nie selbst auf dem Zielrechner installiert wird, sondern nur im Arbeitsspeicher arbeitet und darum kaum zu identifizieren ist. Ausserdem nutzt sie für die Infektion dem System bekannte und verifzierte Module wie eben Windivert oder Node.exe. Microsoft erklärt weiter, dass die eigene Sicherheitslösung Defender Advanced Threat Protection (ATP) in der Lage ist, Nodersok zu entdecken. (luc)


Weitere Artikel zum Thema

Ransomware Stop: am weitesten verbreitet, kaum beachtet

26. September 2019 - Gemäss den Auswertungen des Ransomware-Erkennungsdienstes ID Ransomware versteckt sich eine Malware mit dem Namen Stop überall im Internet. Bekannt ist diese allerdings kaum.

Kommentare
Könnten dadurch auch andere sensible Geräte wegen einem Angriff von irgendwo auftreten?!
Dienstag, 1. Oktober 2019, Wohler



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER