SmokeBuster

Neues Tool zur Bekämpfung der SmokeLoader-Malware

Malware

Das Cybersicherheitsunternehmen Zscaler hat mit „SmokeBuster“ ein kostenloses Tool veröffentlicht, das die seit über einem Jahrzehnt aktive SmokeLoader-Malware aufspüren und entfernen kann. Trotz der großangelegten Operation Endgame im Mai, bei der mehr als 1.000 Command-and-Control-Server (C2) beschlagnahmt wurden, zeigt sich die Schadsoftware weiterhin resistent.

SmokeLoader, auch unter dem Namen Dofoil bekannt, ist seit 2011 im Umlauf und dient als Verteilungsplattform für verschiedene Malware-Arten. Besonders besorgniserregend ist seine Rolle bei der Verbreitung von Ransomware und beim Datendiebstahl.

Anzeige

Das neue Tool unterstützt sowohl 32-Bit- als auch 64-Bit-Varianten von SmokeLoader und deckt die Versionen von 2017 bis 2022 ab. Es ist kompatibel mit allen Windows-Versionen von Windows 7 bis 11. Im Gegensatz zur Deinstallationsroutine von SmokeLoader, die oft unvollständig arbeitet, bietet SmokeBuster eine gründliche Bereinigung:

  • Beendigung aller SmokeLoader-bezogenen Prozesse und Threads
  • Entfernung von Mutex-Handles
  • Löschung aller zugehörigen Dateien, Plugins und geplanten Tasks
  • Bereinigung von Installationsverzeichnissen
  • Aufhebung der explorer.exe-Zuordnungen

Unterstützung für Malware-Analysten

Besonders interessant für Sicherheitsforscher: SmokeBuster ermöglicht die Kontrolle über SmokeLoader-Threads, die angehalten, fortgesetzt oder beendet werden können. Dies durchbricht die Anti-Analyse-Mechanismen der Malware. Eine technische Innovation ist dabei das Remapping der Speicherbereiche: Während SmokeLoader sich normalerweise in PAGE_EXECUTE_READ-Sektionen der explorer.exe einnistet, um Debugging zu verhindern, kann SmokeBuster diese Bereiche mit PAGE_EXECUTE_READWRITE-Berechtigungen neu zuordnen.

(lb/Zscaler)

Anzeige
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.