Abo
  • Services:
Anzeige
Miniduke: Trojaner greift unbemerkt über PDF-Lücke an
(Bild: Kaspersky Lab)

Miniduke: Trojaner greift unbemerkt über PDF-Lücke an

Miniduke: Trojaner greift unbemerkt über PDF-Lücke an
(Bild: Kaspersky Lab)

Der in Assemblersprache geschriebene Backdoor-Trojaner Miniduke greift mit professionell erstellten PDF-Dateien an, die die Adobe-Reader-Versionen 9, 10 und 11 betreffen und deren Sandbox umgehen. Die Malware wehrt Analysewerkzeuge ab.

Der Backdoor-Trojaner Miniduke greift mit PDF-Dateien an. Das gab das IT-Sicherheitsunternehmen Kaspersky Lab am 27. Februar 2013 bekannt. Sobald ein System kompromittiert sei, werde ein sehr kleiner Downloader mit 20 KByte auf dem Rechner des Opfers platziert.

Anzeige

Der Downloader sei für jedes System speziell erstellt und enthalte eine Hintertür, die in Assembler geschrieben ist. Die Malware wehrt auch Analysewerkzeuge ab, etwa Wireshark oder Tcpdump. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben.

Wenn der Rechner als der von den Kriminellen adressierte Zielrechner identifiziert ist, startet die Malware die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command-and-Control-Servern verwendet. Über diese URLs öffne sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code über Gif-Bilddateien an den Zielrechner übermitteln.

Wahrscheinlich haben die Autoren von Miniduke ein dynamisches Backup-System zur Sicherung der Daten entwickelt, das ebenfalls unbemerkt von Analysetools agiert, so Kasperky weiter.

Genutzt wird die jüngst entdeckte Sicherheitslücke Exploit CVE-2013-6040 im Adobe-Reader.

Der Miniduke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky hat zusammen mit Crysys Lab die Angriffe analysiert. Die Miniduke-Angreifer sind nach wie vor aktiv und haben ihre jüngsten Versionen erst am 20. Februar 2013 erzeugt.

"Das ist ein sehr ungewöhnlicher Cyber-Angriff", erklärte Eugene Kaspersky, Gründer und Chef von Kaspersky Lab. "Ich kenne diesen Stil der Programmierung aus den späten 1990er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben."


eye home zur Startseite
guenther62 14. Aug 2014

Die Langzeit-Studie von AV-Test sagt: Traurige Spitzenposition der unsichersten Programme...

bstea 28. Feb 2013

Gegen was soll er denn sonst testen, Brainfuck?

dasfuxx 28. Feb 2013

Wohl war =D Man muss halt manchmal verzichten =D

couchpotato 28. Feb 2013

Dafür braucht es kein gut geschrieben Virus. Dafür haben selbst Scriptkiddies hunderte...

SaSi 27. Feb 2013

ist also nur Adobe betroffen oder auch andere reader? Meine damit zb. iOS, Android - auf...



Anzeige

Stellenmarkt
  1. SICK AG, Karlsruhe
  2. Bilfinger GreyLogix GmbH, Augsburg
  3. T-Systems International GmbH, Leinfelden-Echterdingen, München
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Spiele-Angebote
  1. 6,49€
  2. 59,99€ - Release 13.10.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

  1. Re: Na das sind Probleme: "du machst aber alles...

    Eheran | 22:35

  2. Rechtliche Verwertbarkeit?

    Tuxianer | 22:21

  3. Re: Riskanter Neuanfang

    Steffo | 22:19

  4. Re: Welche meiner Daten verkaufe ich dafür?

    Micki | 22:06

  5. Re: Die ist gut

    ChMu | 22:00


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel