Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Viele Schutzmaßnahmen gegen Erkennung

Neben dem Schutz vor Entdeckung durch den späten Start der Applikation sowie verschlüsselte Kommunikation nach außen haben die Malware-Entwickler weitere Maßnahmen ergriffen, um eine Erkennung oder Analyse zu erschweren. So ändert das Schadprogramm sein Verhalten innerhalb von virtuellen Maschinen (sogenannter VMProtect) und komprimiert oder verschlüsselt Dateien auf den lokalen Wirtssystemen - alles Aufwand, um unentdeckt zu bleiben.

Anzeige

Im Rahmen der Recherchen zu der Malware hat sich herausgestellt, dass die Software eine längere Versionsgeschichte hat. Ähnlich wie bei einer kommerziellen Software haben die Entwickler also immer wieder eine aktuelle Version entwickelt. Insgesamt ließen sich über zehn verschiedene Versionen der Malware finden, die ältesten Beispiele stammen von Mitte beziehungsweise Ende 2015.

Die Funktionsweise der Malware bleibt im Kern gleich: Es geht darum, den entsprechenden Miner zu platzieren, Mining zu betreiben, nach einiger Zeit die Mining-Pools zu ermitteln (teilweise werden diese auch im Quelltext hartcodiert hinterlegt), die geschürfte Kryptowährung an die ermittelten Pools zu liefern und anschließend die Malware weiterzuverbreiten - dazu scheint den Cyberkriminellen jedes Mittel recht.

Multiple Vorgehensweisen zur Verbreitung

So werden teils dreiste Vorgehensweisen zur Verbreitung genutzt, etwa das Kopieren der "photo.scr"-Datei auf alle angeschlossenen Datenträger und Netzlaufwerke. In großen Unternehmensnetzwerken mit bis zu 1.000 Clients, Abteilungslaufwerken und zentralen Servern kann das aufgrund der aggressiven Verbreitung schnell außer Kontrolle geraten.

Andere Versionen nutzen offenbar eine intelligentere Form der Verbreitung. So wird durch ein betroffenes System ein unverschlüsselter WLAN-Access-Point erstellt und die Datei mit der Schadsoftware auf einer präparierten Startseite automatisch allen sich einloggenden Clients zum Download angeboten.

Außerdem haben die Malware-Hersteller auch bedacht, dass ihre Schadsoftware auf Webserver geraten und dort ausgeführt werden könnte. Denn sie versuchen auch dort, Bibliotheken zum Mining zu installieren. Darüber hinaus wird jede XML- oder HTML-Datei geöffnet und mit einem Iframe mit der Pixelgröße 1x1 versehen, das auf die Schadsoftware verweist. Fordert ein Nutzer eine präparierte HTML-Datei in einem Browser an, wird die Schadsoftware ebenfalls zum Download angeboten.

Damit wurde ein weiterer Verbreitungsweg für die Malware geschaffen und ein neues Opfer gefunden, das zeitgleich als Ausgangsplattform für die weitere Verbreitung dienen kann. Die verwendeten Methoden zur Verbreitung sind sehr vielfältig und mitunter äußerst kreativ - neuere Verbreitungswege, etwa durch Zero-Day-Exploits, werden nach jetzigem Kenntnisstand nicht genutzt.

 Eine stabile und lukrative KryptowährungCisco-USV hilft Online-Ganoven beim Krypto-Mining 

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Stadt Ellwangen, Ellwangen
  2. Media-Saturn-Holding GmbH, Ingolstadt
  3. GEUTEBRÜCK, Windhagen
  4. ENERTRAG Aktiengesellschaft, Berlin


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Pornoseite Xhamster spricht von Fake-Leak
  2. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert
  3. Spionage Malware kann Kopfhörer als Mikrofon nutzen

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. Re: Danke Apple

    crazypsycho | 02:04

  2. Re: Was die VG Wort will

    Moe479 | 02:03

  3. Re: Bye Bye Samsung

    crazypsycho | 01:53

  4. Re: Hat Microsoft eigentlich noch eine...

    mambokurt | 01:45

  5. Re: Da hat ihm die Strahlung wohl gar nichts...

    Moe479 | 01:43


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel