• Bestandsloze malware

    23 October 2018 23:54 door
    Onlangs had Obsessed een probleem, mogelijk door het downloaden van een bestand aangeboden door een malafide aanbieder.

    In die download zat malware verpakt, die mogelijk door onoplettendheid of doodgewoon niet opvallend genoeg was de tijd had om er met de browser vandoor te gaan.

    Moeilijker wordt het echter als het gaat om malware waarbij geen bestand wordt neergedropt. Er is niets te vinden in het bestandssysteem van Windows, maar het richt zich vooral op het RAM-geheugen via een alternatief, zoals het register of gewoon het internet. Zo komt het dat je met een gewone malware-scan ook geen resultaten krijgt.

    Een medewerkster van Emsisoft heeft de moeite gedaan om via een voorbeeld te tonen hoe je dergelijke malware kan ontdekken en verwijderen.
    Helemaal bestandsloos is het daarom niet, soms vindt men kleine bestandjes als .bat, .vbs of .ps1 die enkel worden gebruikt om de malware te activeren. Denk dan aan clickfraude aanvallen of cryptomining. Als je systeem opeens zwaar in zijn geheugen krabbelt, moet je de alarmbelletjes al horen. Soms krijg je dan een foutmelding dat de Windows PowerShell het heeft opgegeven.

    Een script is een klein stukje code, sommigen zijn noodzakelijk voor je systeem, maar de ongewenste zie je liever niet opduiken. Emsisoft heeft in zijn database al een aantal van deze dubieuze scripts opgenomen en heeft daarbij vastgesteld waar deze zich het liefst nestelen, bv. Mshta.exe, Wscript.exe, Powershell, WMI.

    Omdat je bestandsloze malware niet fysiek kan vinden, moet je dus eigenlijk naar de bron gaan, het laadpunt en daarvoor heb je vooral veel tijd en geduld... en geluk nodig.

    Controleer alvast met Autoruns welke processen automatisch opstarten en ga na waarvoor die eigenlijk nodig zijn. Een blaadje papier kan hierbij helpen om later de verwijderklus uit te voeren. Enkele andere tooltjes kunnen ook behulpzaam zijn, zoals Process Explorer, Process Monitor en TCPView.

    Omdat er in het register moet gewerkt worden, ga ik hier niet de hele verwijderprocedure neertokkelen, maar verwijs ik u naar het artikel van Elise. Je kan het hier vinden.