Original-URL des Artikels: http://www.golem.de/news/backdoor-makadocs-schadsoftware-nutzt-google-docs-als-proxy-1211-95800.html    Veröffentlicht: 19.11.2012 16:58

Backdoor.Makadocs

Schadsoftware nutzt Google Docs als Proxy

Symantec hat eine aktualisierte Version einer Schadsoftware entdeckt, die neue Wege geht. Statt den Command-and-Control-Server direkt anzusprechen, nimmt die Software einen Umweg über einen Google-Dienst.

Die Backdoor.Makadocs gehe neue Wege beim Umgang mit einem Command-and-Control-Server, berichtet Symantec in seinem Blog. Die Backdoor agiert dabei nicht direkt mit dem Server, sondern über einen Zwischendienst. Die Kriminellen haben sich dafür den Dienst Google Docs ausgesucht. Die Verbindung dorthin ist nicht so auffällig, außerdem findet die Kommunikation verschlüsselt statt. Über die Viewer-Funktion holt sich die Backdoor innerhalb von Google Docs weitere Informationen, die bei einer anderen URL abgelegt wurden.

Verteilt wird die Schadsoftware über RTF- und doc-Dokumente. Laut Symantec werden derzeit vor allem Brasilianer mit der neuen Methode angegriffen. Eine Sicherheitslücke wird nicht ausgenutzt. Der Nutzer wird über Social Engineering davon überzeugt, die Backdoor zu installieren. Brasilien war schon einmal ein Feld für neue Angriffe. So gelang es dort Kriminellen, mehrere Millionen ADSL-Modemrouter zu attackieren und die DNS-Einstellungen umzukonfigurieren. Mit den neuen Einstellungen wurden dann die Voraussetzungen geschaffen, um die Bankkonten der Opfer leerzuräumen.

Interessant ist an Backdoor.Makadocs außerdem, dass sich Entwickler von Schadsoftware bereits erste Gedanken zu Windows 8 und dem Windows Server 2012 machen. Dieser Schadsoftware fehlen noch spezifische Routinen; es ist offenbar eine grobe Vorbereitung auf die zu erwartende höhere Verbreitung der neuen Betriebssystemgeneration. Laut Symantec ist der Schädling an sich nicht neu, er wurde aber einem Softwareupdate unterzogen, das die Proxymethode beherrscht und auf neue Windows-Versionen vorbereitet wurde.  (as)


Verwandte Artikel:
Virenschutz: Neue Norton-Sicherheitsprodukte von Symantec   
(13.09.2012 14:26, http://www.golem.de/news/virenschutz-neue-norton-sicherheitsprodukte-von-symtantec-1209-94540.html)
Linux-Webserver: Rootkit liefert bösartige Iframes aus   
(21.11.2012 10:03, http://www.golem.de/news/linux-webserver-rootkit-liefert-boesartige-iframes-aus-1211-95842.html)
Zeus: Opera-Webseite hat möglicherweise Schadsoftware verteilt   
(16.11.2012 14:15, http://www.golem.de/news/zeus-opera-webseite-hat-moeglicherweise-schadsoftware-verteilt-1211-95762.html)
Kritische Sicherheitslücke: PhpMyAdmin mit Backdoor über Sourceforge verteilt   
(26.09.2012 07:18, http://www.golem.de/news/kritische-sicherheitsluecke-phpmyadmin-mit-backdoor-ueber-sourceforge-verteilt-1209-94760.html)
Kollateralschaden: Stuxnet infizierte Computer von US-Ölkonzern   
(09.11.2012 15:19, http://www.golem.de/news/kollateralschaden-stuxnet-infizierte-computer-von-us-oelkonzern-1211-95628.html)

© 2014 by Golem.de