.zipx<\/em>, d.h. er ist ein komprimiertes Archiv. Diese Art von komprimierten Dateien ist f\u00fcr die Verteilung von Malware bekannt und wird von E-Mail-Sicherheitsgateways als gef\u00e4hrlich eingestuft.<\/p>\nUm eine Erkennung zu vermeiden, versuchen Hacker die E-Mail-Sicherheitsl\u00f6sungen (Gateway-Scanner) auszutricksen. Dazu verschleiern sie das Archiv und verwenden die Dateisignatur eines .PNG-Formats (Portable Network Graphics). Die Angreifer verwenden die komplett .PNG-Dateistruktur, mitsamt einem .PNG \"Header\" und \"IEND\". Auf diese Weise wird die b\u00f6sartige Datei (RFQ -560000005870.zipx) beim Scannen als .PNG-Bild identifiziert, obwohl sie eine .zipx-Datei ist. Der eigentliche Archivcode \u2013 mit dem LokiBot-Code – wird an das Ende der .PNG-Dateisignatur angeh\u00e4ngt.<\/p>\n
\"In einer PNG-Datei soll IEND das Ende des Bildes markieren und als letztes erscheinen. Aber in dieser Datei gibt es einen Haufen Daten nach dem IEND\", so ein Dokument, das von Rodel Mendrez, Senior Security Researcher bei Trustwave und Hay, mitverfasst wurde. \"Die PNG-Formatspezifikation scheint solche Fremddaten zu erlauben, es liegt an der Anwendung zu entscheiden, ob sie versucht, diese Daten zu interpretieren oder zu ignorieren\", schrieben Forscher.<\/p>\n
Die Forscher f\u00fcgten hinzu, dass der b\u00f6sartige Anhang (RFQ -560000005870.zipx) in einem Bildbetrachter als .PNG-Bild mit einem .JPG-Symbol angezeigt werden kann. Vielleicht ein weiterer Versuch, die Erkennung auszutricksen. <\/p>\n
Aufw\u00e4ndige Infektion beim Benutzer<\/h2>\n
Die aufw\u00e4ndige Verschleierung des Trojaners macht einen Angriff auf ein Anwendersystem schwierig. Um infiziert zu werden, muss ein Opfer zun\u00e4chst auf den Nachrichtenanhang (RFQ -56000000005870.zipx) klicken. Dann kann es sein, dass die richtige Archivdekompressor-Anwendung gestartet wird – oder auch nicht. Das ist abh\u00e4ngig von den auf den Zielcomputern installierten Client-Anwendungen. Laut den Sicherheitsforschern ist das WinRAR-Dienstprogramm eines der wenigen Datei-Dekomprimierungsprogramme, das dieses .zipx-Archiv zuverl\u00e4ssig \u00f6ffnet und dekomprimiert. Andere Dienstprogramme, wie 7-Zip und WinZip, \u00f6ffnen die jeweilige Datei nicht – wahrscheinlich wegen der in der Dateisignatur enthaltenen Fremddaten.<\/p>\n
Nachdem das 500 KB gro\u00dfe .zipx<\/em>-Archiv von WinRAR in eine 13,5 MB gro\u00dfe Nutzlast entpackt wurde, muss der Benutzer nun auf die entpackte Datei RFQ -56000000005870.exe doppelklicken. Die Funktion der ersten Stufe [der.exe] ist es, die Hauptnutzlast in den Speicher zu entschl\u00fcsseln und sie mit einer Technik namens Process Hollowing auszuf\u00fchren. Bei dieser Technik wird ein neuer Prozess in einem bestehenden Prozess erstellt. Der b\u00f6sartige Code nistet sich also quasi in einem anderen Prozess ein. <\/p>\nDa die Lokibot-Bot Command-and-Control Tools in PHP (Hypertext Preprocessor) geschrieben sind und meist den Dateinamen \"fre.php\" verwenden, l\u00e4sst sich das leicht in einem Gateway blocken. Die Trustwave-Experten schreiben, dass die entdeckten Malspam-Beispiele von ihrem E-Mail-Gateway blockiert wurden. \"Zwei der Verwschleierungsebenen wurden entweder als Spam oder potenziell b\u00f6sartig erkannt. Aber ich kann nicht f\u00fcr andere Gateways sprechen\", sagte Sicherheitsforscher Hay. M\u00f6glicherweise erkl\u00e4rt das, warum die Spam-Kampagne nicht breiter angelegt wurde. Die Entwickler testen, wie gro\u00df die Erfolgsaussichten sind, den Trojaner an Sicherheitsl\u00f6sungen vorbei zu schleusen. <\/p>\n","protected":false},"excerpt":{"rendered":"
Kurze Meldung zum Wochenstart in Sachen Sicherheit und LokiBot-Trojaner. Sicherheitsforscher sind in einer SPAM-Kampagne auf PNG-Grafiken gesto\u00dfen, in denen der LokiBot-Trojaner enthalten war. Es scheint aber nur ein Testlauf zu sein, bei dem Verschleierungsmethoden ausprobiert werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-216705","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216705"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216705\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Kurze Meldung zum Wochenstart in Sachen Sicherheit und LokiBot-Trojaner. Sicherheitsforscher sind in einer SPAM-Kampagne auf PNG-Grafiken gesto\u00dfen, in denen der LokiBot-Trojaner enthalten war. Es scheint aber nur ein Testlauf zu sein, bei dem Verschleierungsmethoden ausprobiert werden.<\/p>\n![\"KRITIS-Netzwerk\"](\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/ "\\"KRITIS-Netzwerk\\"")