Neues (Python-)Virus für Windows mit unbekannter Herkunft gefunden

Sicherheit (Pexels, allgemeine Nutzung)[English]Blog-Leser Christian hat mich gestern per Mail kontaktiert, weil er bei einigen seiner Kunden auf ein bisher vom Microsoft Defender nicht erkanntes Virus (Trojaner) gestoßen ist. Allzu viele Informationen zum Schädling liegen noch nicht vor – leider gibt es auch keinen Scan bei VirusTotal. Ich stelle aber mal die Informationen ein, die Christian bereits herausgefunden hat – vielleicht stößt jemand von Euch auf weitere Informationen. Ergänzung: Informationen eines weiteren Blog-Lesers mit neuen Erkenntnissen hinzu gefügt.


Anzeige

Hier der Text, den mir Blog-Leser Christian zugeschickt hat. Er hat den neuen Virus auf 3 PCs (zwei unabhängige Kunden) gefunden. Ziel des Schädlings ist es, Internet-Konten auszuspähen (darunter u.a. von Paypal und von Banken). Was Christian bisher herausgefunden hat, ist:

  • Dass das Schadprogramm in Python geschrieben wurde.
  • Die Malware speichert sich in %appdata%/ wobei als Dateiname eine zufällige Buchstabenkombination verwendet wird.
  • Die Malware taucht im Windows-Autostart als Programm "Python*" (* steht für irgendwas) auf. Der Name der exe-Datei lautet ctfmon.exe (in Anlehnung an die Windows Systemdatei).
  • Die Malware richtet einen geplanten Task mit einem aus einer zufälligen Folge von Groß- und Kleinbuchstaben als Namen ein. Die Aufgabe wird täglich ausgeführt und lädt ein Update.
  • Der Schädling/Virus ist im Taskmanager als msbuild.exe mit ca. 80 MB Arbeitsspeicherverbrauch zu sehen.
  • Der Virus lauscht auf localhost:8000 und trägt sich im System (Internet Explorer -> Internetoptionen) als Proxy für https und http ein. Firefox nutzt diesen Proxy standardmäßig.

Dieser Schädling, so schreibt Christian, wird vom MS Defender noch nicht gefunden. Erstmals tauchte der Schädling am 09.04.2021 auf, wobei die Herkunft unklar ist. Vermutet wird eine Verbreitung per E-Mail, eine lokale Verbreitung im Netzwerk ist ggf. möglich. Letzteres nimmt Christian an, weil er bei einem Kunden den Schädling auf zwei Rechnern vorgefunden hat.

Die Malware leitet leitet sämtlichen (Internet-)Traffic (https und http) über sich um, kann also die dort ausgetauschten Daten abziehen. Der Grund, warum der Schädling überhaupt aufgefallen ist:  Seit einiger Zeit ist wohl das Zertifikat abgelaufen, wie Christian mir schrieb. Das hat zur Folge, dass im Browser Fehlermeldungen auftauchen. Sein Kunde Nr. 1 wurde stutzig und hat sich bei ihm gemeldet. Der zweite Kunde wurde von der Bank informiert, da ungewöhnliche Transaktionen bemerkt wurden.

Ergänzende Informationen

Inzwischen hat mir Blog-Leser Volker B. neuen Informationen zukommen lassen (danke dafür). Volker hat den Schädling bei einem Kunden auf einem System vorgefunden und schrieb mir dazu.

Ich komme gerade vom Kunden, genau das vorgefunden was hier beschrieben wurde. Ich habe die Dateien aus dem Appdata gesichert. Interessant ist, wie der Kunde darauf gekommen ist. Es gab eine Zertifikatsmeldung, die er immer mit nein beantwortet hat und auch nicht mehr ins Internet konnte:

Zertifikatswarnung

Volker schreibt weiterhin: Der Prozess hängte im Autostart, diesen gekillt, Ordner gelöscht und den Proxy aus den Einstellungen entfernt, schon läuft es mit dem Internet wieder. Der Schädling lief wohl seit Mittwoch 26.05. auf dem System.

Die Datei hat er bei virustotal.com hochgeladen (ich habe es nochmals hochgeladen), hier wurde nichts erkannt:

VirusTotal-Ergebnis


Anzeige

Ich habe die betreffende Datei nun bei Microsoft auf dieser Seite für verdächtige Dateien hochgeladen und den Analysten einen Link zu meinem englischsprachigen Blog-Beitrag geschickt. Bleibt zu hoffen, dass da jemand zeitnah drüber schaut und die Microsoft Scan Engine bald die betreffenden Signaturen bekommen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Neues (Python-)Virus für Windows mit unbekannter Herkunft gefunden

  1. Pfosten von Dienst sagt:

    wieso kein scan bei virustotal? was hat den berichterstatter daran gehindert das zu submitten? war das evtl custom virus? tailored operations? ansonsten hoert sich das hier sehr halbgar und halbseiden an.

    fakten bitte. harte. danke. mfg.

    • Günter Born sagt:

      Sorry, wenn ich deutlich eingrätsche! Wenn mir die geschenkte Uhr ins Wasser gefallen ist, hilft es mir nicht, wenn mich jemand fragt "was hat die denn gekostet". Auch wenn ich mich noch so anstrenge, wird mir diese Information vermutlich nicht per Geistesblitz zufallen.

      Der OP hat mir, aus welchen Gründen auch immer, die oben geposteten Informationen (und genau diese, nicht mehr und nicht weniger) zukommen lassen. Ab diesem Zeitpunkt gibt es für mich genau zwei Möglichkeiten: Nicht posten oder das, was ich habe als Hinweis im Blog einstellen. Für die Leserschaft gibt es ab diesem Zeitpunkt auch genau zwei Optionen:

      a) Man ist nicht tangiert, dann würde ich es mit Dieter Nuhr halten – alles andere ist schwadronieren am grünen Tisch und bringt niemanden weiter.
      b) Man ist tangiert und findet den Schädling auf einem System (eigene Systeme oder bei Kunden).

      Bei b) habe ich zumindest einen Anhaltspunkt – und kann ggf. Dateien auf VirusTotal hochladen und dann die Ergebnisse hier posten. Genau das war der Ansatz, warum ich den Blog-Beitrag hier eingestellt habe. Und wenn der Nachfolgekommentar kein Fake ist, hat es sich gelohnt.

      Sorry für die direkten Worte – gerne hätte ich was zu VirusTotal geschrieben, weil mir diese Information auch fehlte. Aber bezüglich "nachfragen und warten" gehe ich davon aus, dass der OP beim Kunden die Schädlinge entfernt hat, ohne vorher irgend etwas bei VirusTotal zu posten – ergo wäre da keine Rückmeldung zu erwarten gewesen. Falls ich daneben liege, wird der Tippgeber sicher seine Informationen hier als Kommentar ergänzen.

      Daher habe ich mich dazu entschlossen, die "halbgaren" Informationen zu posten. Anhand der Informationen kann jeder Leser sehr schnell bei sich abprüfen, ob die Systeme diesbezüglich sauber oder infiziert sind.

  2. KeKsVerteidiger sagt:

    Tausend Dank für die stets schnelle und aktuelle Berichterstattung! DIESER Beitrag hat heute einem Mittelständler aus dem Rhein-Main-Gebiet den Arsch gerettet!!

    • Pfosten von Dienst sagt:

      wie rettet diese meldung einem den tag? sind alle so sehr anfaellig fuer immer wieder und wieder und wieder neue dateiendungen, attachments etc?

      sollte da nicht mal ein grundsaetzliches sicherheitskonzept eingefuehrt werden so dass man nicht immer wieder alles vorbeten muss bloss weils heute mal keine doc datei war sondern ein python script im attachment oder sonstwas?

      wundert mich wie die ganze windows branche seit jahrzenten unter dem gleichen zeug leidet.

      mich rettet nicht ein heutiger beitrag dass jetzt auch python scripte unterwegs sind, sondern vor jahrzehnten dass ich nur mit text und maximal bildern und pdf operiere und auch keine embedded schwachsinn, activex in doc, activex in pdf, java/script in doc, java/script in pdf usw.

      immer das gleiche zeug. :( frustiert von der branche

      • Stefan A. sagt:

        „…sondern vor jahrzehnten dass ich nur mit text und maximal bildern und pdf operiere und auch keine embedded schwachsinn, activex in doc, activex in pdf, java/script in doc, java/script in pdf usw."

        Ich weiß ja nicht, wo sie arbeiten, aber wenn sie mit vielen verschiedenen Firmen / Kunden / Lieferanten zusammenarbeiten, glauben sie gar nicht, was sie an Vielzahl an verschiedenen Anhängen / Dateien / Formaten erhalten.

        Ich muss dazu sagen – leider erhalten!

        Wir sind ein mittelständisches Unternehmen und wenn ihnen ein Großkonzern Excel Dateien mit Makros schickt, dann haben sie leider kaum eine Wahl, außer hierfür eine Ausnahme zu schaffen.

        Wir versuchen ebenfalls alles so gut es geht zu Filtern.
        Was leider bei so gut wie jedem User auf Unverständnis trifft und eben manchmal leider gar nicht möglich ist…

        Daher Hut ab, wenn sie alles auf Text, Bilder und PDF reduzieren können!

        • Luzifer sagt:

          das mag ja durchaus so sein, nur ist dann die Frage warum muss dann so ein Attachment ungefiltert/ungeprüft bei der Tipse aufschlagen? Wir bekommen auch täglich alle mögliche Mails mit Anhang, aber da schlägt keine einfach so beim Sachbearbeiter auf … die durchläuft erst mehrere Filterstufen; Prüfungen; Sandbox bevor das auf den Bürorechner landet. Damit kannst du locker 99% der Malware direkt im Keim ersticken!

          100% Sicherheit gibt es halt nicht!

          • Stefan A. sagt:

            Mir ging es konkret darum, wie jemand es schafft, alles auf Text, Bilder und PDF zu reduzieren?!

            Ich frage mich, wie du zu der Annahme kommst, dass „Attachments ungefiltert/ungeprüft aufschlagen" bei uns?

            Gibt es sowas in einem Unternehmen überhaupt noch?

            Tut es bei uns ebenfalls nicht…

            Jeder Anhang durchläuft ebenfalls Sandboxing mit mehreren Engines und diverse Filterregeln.

            SPF, DKIM, DMARC alles an…

            Ausführbare Dateien und diverse Endungen von JS bis zu CHM landen bei uns generell in einer Approval Box.

            Makros werden bei uns z.B. rigoros erstmal in eine Approval Box gespeichert, bis eben auf einige wenige Absender in der White List, welche wiederkehrend und unbedingt nötig sind.
            Die, die es nicht brauchen, haben Makros via GPO deaktiviert.

            Downloads durchlaufen auch Sandboxing (wobei auch hier leider immer Ausnahmen geschaffen werden müssen).

            Und trotzdem sind meine Sorgen, dass irgendwann mal was „durchschlägt".

            Durch all das entsteht leider auch ein gewisser Pflegeaufwand für die IT und Einschränkungen für die User, die erst mal motzen und alles besser wissen, denn daheim ist es ja so und so…

            Korrekt: 100% Sicherheit gibt es halt nicht!

      • CHRISTIAN Krause sagt:

        Da ist der Name wohl Programm.
        Warum liest du die Meldung denn dann? Nichts zu tun?
        Hat meist einen Grund…

    • Christian Krause sagt:

      Details hierzu? Hast du das mal auf Virustotal hochgeladen? Ich habs versäumt und stattdessen direkt gelöscht. War blöd.
      Hier diese Beschreibung passte, aber auch hier steht nicht, welcher Virus das ist.

      https://www.bleepingcomputer.com/forums/t/749872/proxy-keeps-resetting-to-httplocalhost8000;httpslocalhost8000/

  3. 1ST1 sagt:

    Ich kann mich da nun ganz entspannt zurücklehnen. Wir haben bei uns Applocker aktiv und "Die Malware speichert sich in %appdata%" bedeutet schlicht, dass sie nicht ausführbar ist, wenn sie sich da hin kopiert, %appdata% ist schlicht nicht in Applocker freigegeben.

    Das die Schädlings-Samples nicht zu Virustotal hochgeladen wurden, ruft bei mir nur große Verwunderung hervor. wtf? Das ist in so einem Fall, nachdem man sich sicher it, dass es ein Schädling ist, das erste was man macht. Denn dadurch lernen alle Antivirus-Programme diese Signatur und blocken das Ding zeitnah.

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.