FLUX
Flux Verbreitung nimmt zu
Stand:
06. November 2004
Flux...
..ist der Name einer neuen Seuche, die derzeit im Untergrund des Internets grassiert und zunehmend beängstigende Ausmaße annimmt. Bei Flux handelt es sich um einen Backdoor-Trojaner, der derzeit vielen Herstellern von Malware Schutzsystemen Kopfschmerzen bereitet.
Der Schädling gehört zur Gattung der sogenannten "Reverse Backdoors". Reverse bezieht sich dabei auf die Verbindungslogik. Im Normalfall öffnet der schädliche Teil eines Backdoors (der sogenannte Server) auf dem System eines Opfers einen Port und wartet dort auf eine Verbindung von außerhalb durch ein Kontrollprogramm (dem sogenannten Clienten). Dieses herkömmliche Verfahren hat aber eine gravierende Schwäche:
Sollte sich das Opfer (auch Victim oder kurz Vic genannt) innerhalb eines Netzwerks oder "hinter" einem Router bzw. einer Hardware Firewall befinden, kann der Client keinerlei Verbindung zum Server aufbauen und die Übernahme des PCs schlägt fehl.
Aus diesem Grunde gehen mehr und mehr Backdoortrojaner dazu über, selbst eine Verbindung aufzubauen auf einen Port, der zuvor vom Kontrollprogramm geöffnet wurde. Da ausgehender Traffic vom eigenen PC aus innerhalb von Hardware Firewalls und Routern meist erlaubt ist, kann der Backdoor trotz dieser Schutzmechanismen Kontakt zum Kontrollprogramm aufnehmen.
Das perfide und hinterhältige an Flux ist allerdings weniger die Tatsache, dass er diese umgekehrte Verbindungslogik nutzt, sondern die Art wie sie implementiert wurde. Flux benutzt eine für Trojaner neue Technik des Code Injectings. Unter Code Injecting versteht man im Grunde genommen das Injizieren von fremden Code in einen Prozess. Bisherige Code Injecting Techniken basierten darauf, dass ein neues Modul (eine sogenannte DLL) in den Zielprozess eingeschleust wurde. Diese Methode (auch DLL Injecting genannt) war einfach zu erkennen, da alle geladenen Module einfach ermittelt und überprüft werden können. Flux dagegen schreibt seinen Verbindungscode dagegen direkt in den Speicher des Zielprozesses und sorgt dafür, dass dieser ausgeführt wird. Neben der Tatsache, dass viele Desktop Firewalls in diesem Falle annehmen, dass ein legitmer Prozess wie z.B. der Internet Explorer aufs Internet zugreifen möchte und den Zugriff folglich erlauben, ist das Hauptproblem, dass der schädliche Fl ux Code mit keinerlei Modul innerhalb des Prozesses verknüpft ist und somit von den meisten Malware Schutzsystemen schlichtweg übersehen wird. Dies macht ein sauberes und dauerhaftes Entfernen von Flux nahezu unmöglich.
Da wir bereits vor geraumer Zeit Trojaner mit dieser Infektionstechnik gerechnet haben, haben wir bereits Gegenmaßnahmen in Form eines erweiterten Prozessspeicherscans für a² Version 2.0 entwickelt. Da die Verbreitung von Flux aber massiv zunimmt, haben wir uns dazu entschlossen, den erweiterten Prozessspeicherscan bereits in Version 1.5 freizuschalten.
Dies bedeutet für Sie, dass a² als eines der ersten Schutzprogramme derweil in der Lage ist, effektiv vor Flux zu schützen und einen aktiven Flux zu deaktivieren. Zudem haben wir ein spezielles Erkennungsprogramm entwickelt, dass wir allen Nutzern anderer Anti-Malware Software als a² kostenfrei für einen schnellen Test auf eine Flux Infektion zur Verfügung stellen. Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.
Sie können den Flux Scanner auf
der a² Downloadseite herunterladen:
http://www.emsisoft.de/de/software/download
Quelle + Text: a² Newsletter von emisoft 06.
November 2004
Meine Meinung:
Laden Sie sich einfach
das kleine Tool von Emisoft herunter
und scannen Sie damit Ihr System!
Der Scan dauert nur wenige Sekunden
und findet lt. Emisoft jeden aktiven Flux-Trojaner.
DER TECHNODOCTOR