Dateilose Malware infiziert Tausende Windows-Rechner

Dateilose Malware infiziert Tausende Windows-Rechner

Dateilose Malware infiziert Tausende Windows-Rechner

(Quelle: Pixabay/geralt)
1. Oktober 2019 -  Microsoft und Cisco haben eine neue Malware entdeckt. Diese wird im Arbeitsspeicher ausgeführt und wird deshalb nicht vom Windows Defender entdeckt. Bereits seien Tausende Rechner mit der Nodersok beziehungsweise Divergent benannten Schadsoftware infiziert.
Microsoft nennt sie Nodersok, Cisco hat ihr den Namen Divergent verliehen. Beide Namen stehen für dieselbe Malware, die bereits Tausende Rechner infiziert haben soll, auch in Europa. Verbreitet wird sie über manipulierte Werbeanzeigen und installiert auf den infizierten Geräten einen Proxy-Server, über den offenbar unter anderem Klickbetrug betrieben wird.

Wie Microsoft schreibt, arbeitet Nodersok fileless, besteht also selbst aus keiner Datei, die auf dem Zielrechner installiert wird. Vielmehr führt ein Klick auf eine manipulierte Werbeanzeige zum Download einer HTA-Datei. Daraufhin startet ein Javascript-Befehl in der Datei den Download einer zweiten Komponente, beispielsweise einer Javascript-Datei, die wiederum einen Powershell-Befehl ausführt. Dieser führt schliesslich dazu, dass weitere Prozesse angestossen werden. So werden unter anderem der Windows Defender ausser Gefecht gesetzt und Windivert sowie Node.exe (Teil des Node.Js Framework) heruntergeladen. und schliesslich wird ein weiteres Javascript-Modul heruntergeladen, das Node.exe nutzt, um einen Proxy-Server zu installieren.

Das Problem mit Nodersok ist laut Microsoft, dass die Malware nie selbst auf dem Zielrechner installiert wird, sondern nur im Arbeitsspeicher arbeitet und darum kaum zu identifizieren ist. Ausserdem nutzt sie für die Infektion dem System bekannte und verifzierte Module wie eben Windivert oder Node.exe. Microsoft erklärt weiter, dass die eigene Sicherheitslösung Defender Advanced Threat Protection (ATP) in der Lage ist, Nodersok zu entdecken. (luc)
Weitere Artikel zum Thema
 • Ransomware Stop: am weitesten verbreitet, kaum beachtet

Vorherige News
 
Nächste News

Kommentare

Dienstag, 1. Oktober 2019 Wohler
Könnten dadurch auch andere sensible Geräte wegen einem Angriff von irgendwo auftreten?!

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2020/01
Schwerpunkt:
• Software-Entwicklung in der Schweiz
• Marktübersicht: Schritt für Schritt zur Individualsoftware
• Nearshoring-Varianten nahtlos anpassen
• So wird bei Abacus und Opacc gearbeitet
• Progressive Web Apps vs. native Apps
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER