Letztere Fähigkeit nutzt eine Variante der Win32/Bedep-Malware, um sich unbemerkt auf dem System auszubreiten, berichtete com-magazin.de.
Das Sicherheitsunternehmen Eset hat nun die Vorgehensweise des Bots dokumentiert.Demzufolge sei die Malware ausschließlich über einen Eintrag in der Windows-Registry identifizierbar. Dieser soll sicherstellen, dass die Schadsoftware auch nach einem Neustart funktionsfähig bleibt. Der Registry-Eintrag startet wiederum bei jedem Systemstart über den Windows Explorer und cmd.exe eine Powershell-Instanz.
Weiteren Schadcode lädt die Malware anschließend per Powershell-Script herunter und speichert diesen im Arbeitsspeicher. Dadurch nistet sich die Win32/Bedep-Variante dauerhaft auf dem System ein, wobei nur der Registry-Eintrag Hinweise auf die Schadsoftware liefert. Sämtliche anderen Bestandteile werden stets neu in den Arbeitsspeicher geladen, auf der Festplatte wird hingegen kein Schadcode gespeichert.
Das Sicherheitsunternehmen Eset hat nun die Vorgehensweise des Bots dokumentiert.Demzufolge sei die Malware ausschließlich über einen Eintrag in der Windows-Registry identifizierbar. Dieser soll sicherstellen, dass die Schadsoftware auch nach einem Neustart funktionsfähig bleibt. Der Registry-Eintrag startet wiederum bei jedem Systemstart über den Windows Explorer und cmd.exe eine Powershell-Instanz.
Weiteren Schadcode lädt die Malware anschließend per Powershell-Script herunter und speichert diesen im Arbeitsspeicher. Dadurch nistet sich die Win32/Bedep-Variante dauerhaft auf dem System ein, wobei nur der Registry-Eintrag Hinweise auf die Schadsoftware liefert. Sämtliche anderen Bestandteile werden stets neu in den Arbeitsspeicher geladen, auf der Festplatte wird hingegen kein Schadcode gespeichert.
