Nodersok: Neue Malware wird von Antivirenprogrammen schwer erkannt

Microsoft warnt vor einer neuen Malware namens Nodersok, die seit Juli 2019 schon tausende Windows-Computer befallen hat, vor allem in Europa und den USA. Der Virus verbirgt sich vor hinter Online-Werbung und installiert keine Dateien auf den befallenen Geräten, sondern schleicht sich in deren Arbeitsspeicher ein. Deshalb wird er von Virenscannern nicht bzw. nur sehr schwer erkannt.

Wie funktioniert und verbreitet sich Nodersok?

Die Infektion mit Nodersok (oder Divergent, wie ihn das IT-Sicherheitsunternehmen Cisco getauft hat) geschieht nicht über eine Datei, die erkannt und gelöscht werden kann, sondern über mehrere Schritte innerhalb des Betriebssystems. Dabei wird ein schädliches Script über Systemprozesse oder als unschädlich betrachtete Drittprogramme in den Arbeitsspeicher eingeschleust.

Antivirenprogramme sind mit so einem Vorgehen in der Regel überfordert, da sie vor allem schädliche Dateien erkennen und unschädlich machen. Nodersok sorgt sogar selbst dafür, Antivirenprogramme abzuschalten.

Wie macht Nodersok das?

Der Virus verbirgt sich zum Beispiel in manipulierter Online-Werbung. Zum Infizieren reicht es, diese Werbung anzuklicken. Der Script-Code wird dann ausgeführt und startet ein PowerShell-Kommando, das mit verschiedenen verschlüsselten Modulen arbeitet. Die Malware bedient sich zum Beispiel am Note.js-Framework, einem Programm, das JavaScript außerhalb von Internetbrowsern ausführt, sowie an WinDivert, einem Netzwerk-Analyse-Tool für die Versionen Windows 2008, 7, 10 und 2016.

Wenn ein Computer mit Nodersok infiziert ist, macht der Virus Webseiten auf, um sie durch falsche Klicks auf Online-Werbung zu monetarisieren, also um Klickbetrug zu betreiben. Gleichzeitig wird der infizierte PC als Proxy-Server missbraucht, um andere Computer zu infizieren.

Wie kann man sich vor Nodersok schützen?

Nodersok attackiert vor allem PCs, deshalb sollten PC-Besitzer wachsam sein. Microsoft empfiehlt, keine HTML-Anwendungen (HTA) auszuführen, die Sie nicht absichtlich heruntergeladen haben. User mit Windows 10 sollten den Virenschutz durch den Windows Defender einschalten oder ihr alternatives Antivirenprogramm immer auf dem neusten Stand halten.

Foto: © iStock.

Unsere Inhalte werden in Zusammenarbeit mit IT-Experten erstellt, unter der Leitung von Jean-François Pillou, Gründer von CCM.net. CCM ist eine führende internationale Technologie-Webseite und in elf Sprachen verfügbar.
Lesen Sie auch
Das Dokument mit dem Titel « Nodersok: Neue Malware wird von Antivirenprogrammen schwer erkannt » wird auf CCM (de.ccm.net) unter den Bedingungen der Creative Commons-Lizenz zur Verfügung gestellt. Unter Berücksichtigung der Lizenzvereinbarungen dürfen Sie das Dokument verwenden, verändern und kopieren, wenn Sie dabei CCM deutlich als Urheber kennzeichnen.