Abo
  • Services:
Anzeige
Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Office Malware: AGB gegen Spammer

Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Ein russischer Entwickler möchte nicht, dass seine Office Malware MWI von Spammern verwendet wird. Doch seine allgemeinen Geschäftsbedingungen zeigen nur begrenzt Wirkung. Ein kurioser Blick in den Malware-Markt.

Anzeige

Der russische Virenentwickler Objekt hat sein Office-Malware-Kit MWI (Microsoft Word Intruder) mit allgemeinen Geschäftsbedingungen versehen, die den Einsatz der Software für Spamangriffe verbieten. Dafür, so der Hersteller, habe er andere Werkzeuge im Angebot. Das Paket, das Objekt zum Preis von 140 US-Dollar anbietet, solle nur für gezielte Angriffe eingesetzt werden.

Gabor Szappanos, der die Malware im Auftrag von Sophos untersucht hat, vermutet dahinter vor allem ökonomische Motive. Nachdem die Malware 2013 erstmals entdeckt wurde, sei die Aufmerksamkeit zu groß geworden. Mit dem Aufruf, das Programm nur für gezielte Angriffe zu verwenden, habe der Entwickler versuchen wollen, "unter dem Radar (von Antivirenprogrammen) zu fliegen", um die Software möglichst lange gewinnbringend vertreiben zu können.

MWI nutzt Schwächen in Microsoft Word aus

Mit MWI können Angreifer ohne großen Aufwand infizierte RTF-Dateien erstellen, die dann wiederum Sicherheitslücken in Microsoft Word ausnutzen, um Schadcode ans Ziel zu bringen. Dabei können sie wählen, ob sie den Schadcode direkt in das Dokument integrieren oder von einer Webressource nachladen wollen. Der MWI-Entwickler stellt außerdem ein Tool mit dem Namen MWISTAT zur Verfügung, das die Kommunikation mit einem Command-and-Control-Server ermöglicht.

Am Anfang einer infizierten Datei speichert MWI den verschlüsselten Payload, also den eigentlichen Schadcode - erst danach folgen verschiedene Word-Exploits, um den Schadcode auch ans Ziel zu bringen. Durch den Aufruf einer infizierten Datei wird der Payload in den Speicher geladen und der Office-Shellcode wird aktiv. Dieser sucht im Speicher nach bestimmten Markern, um den Schadcode zu finden - diese Technik wird als Memory-Egg-Hunting bezeichnet - und ihn dann schließlich auszuführen.

Mehr kriminelle Banden nutzen Malware-Kits

MWI wurde laut dem Sophos-Bericht in der Vergangenheit genutzt, um Malware verschiedener Art zu verteilen. Unter den untersuchten Beispielen war viel bekannter Schadcode wie der Bankentrojaner Zeus/Zbot oder das Erpresservirus Cryptowall. Dieses verschlüsselt die Festplatte seiner Opfer und gibt sie erst gegen Zahlung eines Lösegeldes wieder frei.

Diese Art von Malware wird häufig von Straftätern eingesetzt, um an Kreditkartendaten oder andere vertrauliche Informationen zu kommen - und zu Geld zu machen. Laut den Autoren des Berichts zeichnet sich in der Verwendung von Office-Malware-Kits ein neuer Trend ab: Wurden diese in der Vergangenheit vor allem für Angriffe auf Geheimdienstniveau genutzt, so nutzen heute immer mehr kriminelle diese Werkzeuge. Das dürfte auch den Entwickler in seiner Entscheidung bestärkt haben, sein Produkt mit allgemeinen Nutzungsbedingungen zu versehen - offensichtlich nur mit begrenztem Erfolg.


eye home zur Startseite
SJ 04. Sep 2015

Ich habe lokal einen Server, da habe ich ein Script am laufen, wo ich ein Alias ohne...

TrollNo1 04. Sep 2015

Der hat ganz bestimmt in Moskau vor dem Kreml sein Interview gegebn und in die...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. über Ratbacher GmbH, Hamburg
  3. über Ratbacher GmbH, Kirchheim unter Teck
  4. Media-Saturn-Holding GmbH, Ingolstadt


Anzeige
Hardware-Angebote
  1. beim Kauf einer GeForce GTX 1070 und GTX 108
  2. und 15€ Cashback erhalten
  3. 47,50€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: omfgwtfrly?

    pierrot | 22:12

  2. Re: schade ...

    felix.schwarz | 22:09

  3. Upload ...

    kaymvoit | 22:08

  4. Re: Kein Kopfhöreranschluß? Unglaublich..

    sfe (Golem.de) | 22:07

  5. Re: geHyptes Produkt - 99% der Leute können das...

    Pitstain | 22:04


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel