11070802

Malware ohne Malware
Hintertür durch legitime Programme
von Frank Ziemann
11.07.2008, 15:42 Uhr
Mit Hilfe von per Script steuerbaren Installations- oder Archivprogrammen lässt sich ein Schädling herstellen, der keine für sich genommen schädlichen Komponenten enthält sondern nur legitime Programme.
Die Ergebnisse der Verwendung von Malware-Baukästen sind von Antivirus-Programmen oft leicht zu erkennen. Auch Malware-Pakete, die aus einzelnen Komponenten bestehen, sind erkennbar, weil sie meist wenigstens ein als schädlich bekanntes Programm enthalten. Der britische Antivirushersteller Sophos berichtet nun jedoch über eine sorgfältig abgestimmte Sammlung legitimer Programme, die zusammen eine Hintertür (Backdoor) in das System des Opfers öffnen.

Ein wichtiges Element ist dabei die Möglichkeit selbst-entpackende Archive zu erstellen, deren Verhalten durch ein Script steuerbar ist. Diese werden allgemein als SFX-Archive (SelF eXtracting) bezeichnet. Es handelt sich im Grunde um ein normales ZIP-, RAR- oder 7z-Archiv, das mit einem Entpackprogramm zu einer neuen EXE-Datei verbunden wird. Das gibt es bereits seit der MSDOS-Zeit. Auch das Hinzufügen einer Ablaufsteuerung beim Entpacken (Script) ist keine neue Erfindung. Das Script legt fest, welche Dateien aus dem Archiv wohin kopiert und welche gleich gestartet werden. Auf diese Weise lassen sich einfache Installationsprogramme realisieren.

Original