Das Cybersicherheitsunternehmen Zscaler hat mit „SmokeBuster“ ein kostenloses Tool veröffentlicht, das die seit über einem Jahrzehnt aktive SmokeLoader-Malware aufspüren und entfernen kann. Trotz der großangelegten Operation Endgame im Mai, bei der mehr als 1.000 Command-and-Control-Server (C2) beschlagnahmt wurden, zeigt sich die Schadsoftware weiterhin resistent.
SmokeLoader, auch unter dem Namen Dofoil bekannt, ist seit 2011 im Umlauf und dient als Verteilungsplattform für verschiedene Malware-Arten. Besonders besorgniserregend ist seine Rolle bei der Verbreitung von Ransomware und beim Datendiebstahl.
Das neue Tool unterstützt sowohl 32-Bit- als auch 64-Bit-Varianten von SmokeLoader und deckt die Versionen von 2017 bis 2022 ab. Es ist kompatibel mit allen Windows-Versionen von Windows 7 bis 11. Im Gegensatz zur Deinstallationsroutine von SmokeLoader, die oft unvollständig arbeitet, bietet SmokeBuster eine gründliche Bereinigung:
- Beendigung aller SmokeLoader-bezogenen Prozesse und Threads
- Entfernung von Mutex-Handles
- Löschung aller zugehörigen Dateien, Plugins und geplanten Tasks
- Bereinigung von Installationsverzeichnissen
- Aufhebung der explorer.exe-Zuordnungen
Unterstützung für Malware-Analysten
Besonders interessant für Sicherheitsforscher: SmokeBuster ermöglicht die Kontrolle über SmokeLoader-Threads, die angehalten, fortgesetzt oder beendet werden können. Dies durchbricht die Anti-Analyse-Mechanismen der Malware. Eine technische Innovation ist dabei das Remapping der Speicherbereiche: Während SmokeLoader sich normalerweise in PAGE_EXECUTE_READ-Sektionen der explorer.exe einnistet, um Debugging zu verhindern, kann SmokeBuster diese Bereiche mit PAGE_EXECUTE_READWRITE-Berechtigungen neu zuordnen.
(lb/Zscaler)