Miniduke: Trojaner greift unbemerkt über PDF-Lücke an
(Bild: Kaspersky Lab)

Miniduke Trojaner greift unbemerkt über PDF-Lücke an

Der in Assemblersprache geschriebene Backdoor-Trojaner Miniduke greift mit professionell erstellten PDF-Dateien an, die die Adobe-Reader-Versionen 9, 10 und 11 betreffen und deren Sandbox umgehen. Die Malware wehrt Analysewerkzeuge ab.

Anzeige

Der Backdoor-Trojaner Miniduke greift mit PDF-Dateien an. Das gab das IT-Sicherheitsunternehmen Kaspersky Lab am 27. Februar 2013 bekannt. Sobald ein System kompromittiert sei, werde ein sehr kleiner Downloader mit 20 KByte auf dem Rechner des Opfers platziert.

Der Downloader sei für jedes System speziell erstellt und enthalte eine Hintertür, die in Assembler geschrieben ist. Die Malware wehrt auch Analysewerkzeuge ab, etwa Wireshark oder Tcpdump. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben.

Wenn der Rechner als der von den Kriminellen adressierte Zielrechner identifiziert ist, startet die Malware die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command-and-Control-Servern verwendet. Über diese URLs öffne sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code über Gif-Bilddateien an den Zielrechner übermitteln.

Wahrscheinlich haben die Autoren von Miniduke ein dynamisches Backup-System zur Sicherung der Daten entwickelt, das ebenfalls unbemerkt von Analysetools agiert, so Kasperky weiter.

Genutzt wird die jüngst entdeckte Sicherheitslücke Exploit CVE-2013-6040 im Adobe-Reader.

Der Miniduke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky hat zusammen mit Crysys Lab die Angriffe analysiert. Die Miniduke-Angreifer sind nach wie vor aktiv und haben ihre jüngsten Versionen erst am 20. Februar 2013 erzeugt.

"Das ist ein sehr ungewöhnlicher Cyber-Angriff", erklärte Eugene Kaspersky, Gründer und Chef von Kaspersky Lab. "Ich kenne diesen Stil der Programmierung aus den späten 1990er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben."


guenther62 14. Aug 2014

Die Langzeit-Studie von AV-Test sagt: Traurige Spitzenposition der unsichersten Programme...

bstea 28. Feb 2013

Gegen was soll er denn sonst testen, Brainfuck?

dasfuxx 28. Feb 2013

Wohl war =D Man muss halt manchmal verzichten =D

couchpotato 28. Feb 2013

Dafür braucht es kein gut geschrieben Virus. Dafür haben selbst Scriptkiddies hunderte...

SaSi 27. Feb 2013

ist also nur Adobe betroffen oder auch andere reader? Meine damit zb. iOS, Android - auf...

Kommentieren


Jena spart - senken Sie ihre Kosten! / 04. Mär 2013

Vorsicht wenn Microsoft anruft



Anzeige

  1. Re­quire­ments-In­ge­nieur (m/w)
    S1nn GmbH & Co. KG, Stutt­gart
  2. IT-Allrounder (m/w)
    Wirtz Druck GmbH & Co. KG, Datteln
  3. Junior Consultant Finance Processes & Applications (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  4. Referatsleiter/in ABS Workflow and Batch Services in ABS Cross Functional Services
    Allianz Managed Operations & Services SE, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Compute Stick

    Intels HDMI-Stick kommt noch 2014

  2. Kein Verkaufsstopp

    Medion-Tablet kommt doch in alle Aldi-Filialen

  3. Snapdragon 810

    Erstes Smartphone mit 4 GByte RAM und USB 3.0

  4. Cross-Site-Scripting

    Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

  5. NSA-Ausschuss

    Meisterschule für Geheimniskrämer

  6. Lightpaper

    Rohinni druckt Leuchtdioden

  7. Fusion

    Telefónica will O2 verkaufen

  8. Intel-Roadmap

    Neue Prozessoren erscheinen gestaffelt

  9. Wiko Highway 4G

    Smartphone mit LTE und 16-Megapixel-Kamera für 330 Euro

  10. Android 5.0

    Root für Lollipop ohne neuen Kernel



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Far Cry 4: Action und Abenteuer auf hohem Niveau
Test Far Cry 4
Action und Abenteuer auf hohem Niveau

Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

Core M-5Y70 im Test: Vom Turbo zur Vollbremsung
Core M-5Y70 im Test
Vom Turbo zur Vollbremsung
  1. Benchmark Apple und Nvidia schlagen manchmal Intels Core M
  2. Prozessor Schnellster Core M erreicht bis zu 2,9 GHz
  3. Die-Analyse Intels Core M besteht aus 13 Schichten

    •  / 
    Zum Artikel