Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Begriffe

СпецНаз (специальные названия)

Andere Ausgaben dieser Rubrik (18)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Bösartige Injektion

Gelesen: 22842 Kommentare: 7 Rating: 9

Montag, 19. Oktober 2020

Viele Nutzer unterteilen digitale Objekte in zwei Arten: Dateien und Dokumente. Sie glauben, dass Dateien immer ausführbar sind, und wissen nicht, dass es sich auch bei digitalen Dokumenten um Dateien handelt. Oft erfährt der Nutzer, erst wenn etwas Ungewöhnliches passiert, dass es neben Dateien und Dokumenten auch andere Entitäten gibt.

Warum tritt ein solches Ereignis auf?


Workstation: ... (Beschreibung: nicht verfügbar).

Zeitpunkt, an dem das Ereignis auf der Workstation aufgetreten ist: …

Prozess mit verdächtigen Aktivitäten: D:\Vtb\Cbp\Services\Vtb.Integration.Mdm.Cabs\Vtb.Integration.MdmCabs.Service.exe (PID: 14016), gestartet von: NT AUTHORITY\SYSTEM.

Pfad zum geschützten Objekt, für das ein unbefugter Zugriffsversuch erkannt wurde:

Grund zur Sperre der unbefugten Code-Ausführung: Versuch, einen verdächtigen Code auszuführen.

Aktion am verdächtigen Prozess: Gesperrt.

Aktion ausgeführt durch: Automatische Präventivschutz-Auslösung (Anzahl der Verbote: 1).

Der Nutzer erhielt eine Benachrichtigung über die Sperre einer unbefugten Code-Ausführung. Was soll das bedeuten?

Gehen wir näher darauf ein. Wenn der Nutzer oder das System eine ausführbare Datei startet, handelt es sich dabei nicht um eine einfache Ausführung einer Reihe von für diese Datei geschriebenen Anweisungen. Der Prozess ist viel komplizierter. Dem Prozess wird ein Teil des RAM-Speichers zugewiesen. Darin werden für die Ausführung des Programms notwendige Daten, einschließlich des Codes selbst, geladen. Wenn das Programm externe Bibliotheken nutzt, werden auch diese geladen. So wird im Speicher ein Prozess gebildet, den der Nutzer später beobachtet.

Programmdateien werden signiert. Beim Start einer Datei prüft das System ihre Signatur. Beim Versuch, den Inhalt der Datei zu ändern, wird die Signatur gelöscht. Das System und das Virenschutzprogramm zeigen eine Warnmeldung an. Daher versuchen Cyberkriminelle, den bereits gestarteten Prozess zu ändern und diesem ihren Code hinzuzufügen. Eine solche Änderung des Codes wird als „Injektion“ bezeichnet.

#Sicherheit #Hackerangriff #Bezeichnungen #Infektionsmerkmale #Begriffe #Dr.Web_Technologien

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Das Präventivschutz-Modul unseres Virenschutzprogramms überwacht den Zustand des Systems und sorgt für die Integrität laufender Prozesse, indem es Zugriffsversuche erkennt, damit das Verhalten der Prozesse und deren Funktionalität nicht geändert werden können.

Die Injektion eines fremden, nicht signierten Prozesses (Vtb.Integration.MdmCabs.Service.exe) in das Systemprozess WmiPrvSE.exe wird gesperrt.

Bei einer Injektion handelt es sich um das Einbetten eines fremden Codes in den Adressenbereich eines Prozesses. Dies ist zwar rechtmäßig, aber kann auch von Cyberkriminellen ausgenutzt werden.

Solche Aktivitäten werden durch das in unserem Präventivschutz-Modul integrierten Tool zur Verhaltensanalyse erkannt.

In diesem Fall ist der Prozess nicht signiert: Es gibt keine legitime digitale Signatur für den einzubettenden Code. Daher wird der Prozess durch die Komponente „Präventivschutz“ gesperrt und die entsprechende Meldung wird angezeigt.

Die Komponente „Präventivschutz“ ermöglicht es, Angriffe abzuwehren, auch wenn der bösartige Code unseren Signaturdatenbanken noch nicht bekannt ist. Das Schadprogramm wird an seinem Verhalten erkannt, z.B. an Versuchen, den Betrieb von Software oder die Funktion einer Website zu ändern.

Daher muss der Präventivschutz immer aktiv sein.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer

Kommentare zu anderen Ausgaben | Meine Kommentare