Abo
  • Services:
Anzeige
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Botnetz: Wie Mirai Windows als Sprungbrett nutzt

Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Eine Windows-Variante von Mirai? Nicht ganz. Tatsächlich wird das Botnetz neuerdings aber auch über verwundbare Windows-Rechner erweitert. Dabei spielen sowohl verwundbare SQL-Server als auch Taylor Swift eine Rolle.

Das Mirai-Botnetz sorgt seit dem vergangenen Jahr für Aufregung und Probleme bei Webseitenbetreibern - und soll seit neuestem auch Windows-Rechner befallen. Tatsächlich kursiert seit Januar eine Windows-Variante, die allerdings nicht selbst Angriffe ausführt, sondern nur als Host für die Infektion weiterer Linux-basierter IoT-Geräte dient, wie Kaspersky berichtet.

Anzeige

Der Windows-Bot ist demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten zu starten und diese mit dem Mirai-Schadcode zu infizieren. Dies kann über verschiedene Wege geschehen, etwa über einen Telnet-Bruteforce-Angriff. Ist auf dem infizierten Rechner kein Telnet verfügbar, schreibt Kaspersky, versucht die Software, das entsprechende Programm im Hintergrund herunterzuladen.

Neben der Infektion über Telnet soll die Malware auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Der Windows-basierte Mirai-Installer soll selbst über ein Botnetz verteilt werden.

Unsichere SQL-Server als Ziel

Nach Angaben von Kaspersky sind vor allem unsicher konfigurierte SQL-Server ein lohnenswertes Ziel für die Malware, da diese häufig zum einen aus dem Internet erreichbar seien, zur gleichen Zeit aber Zugriff auf private Netzwerkressourcen wie IP-Kameras, digitale Videorekorder und Mediencenter-Software hätten.

Die Mirai-Malware für Windows ist deutlich komplexer entwickelt als die ursprüngliche Software. Offenbar gelang es den Entwicklen, ein gültiges Zertifikat eines chinesischen Unternehmens zu entwenden, um den eigenen Code zu signieren und so Warnungen zu umgehen. Ein weiteres chinesisches Zertifikat im Code soll ungültig sein.

Kaspersky geht wegen der chinesischen Zertifikate, einiger Hinweise auf im Code verwendeter chinesischer Sprache und in Taiwan gehosteter Server davon aus, dass die Malware von chinesischen Autoren entwickelt wurde.

Neben dem Botnetz-Code selbst enthält die Malware offenbar einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software ist dabei keinesfalls neu, sondern stammt aus dem Jahr 2013. Der Schadcode ist in der Jpeg-Datei als Kommentar gehostet.

Das Mirai-Botnetz ist seit dem vergangenen Jahr aktiv und für eine Reihe großer DDoS-Angriffe verantwortlich. Neben dem Blog des Sicherheitsforscher Brian Krebs wurde auch der DNS-Provider Dyn angegriffen, was mehrere Ausfälle bei bekannten Online-Diensten wie Spotify, Twitter und Amazon verursachte. Der Schadcode ist seit längerem öffentlich verfügbar.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. LogPay Financial Services GmbH, Eschborn
  2. über Hanseatisches Personalkontor Bremen, Bremen
  3. MBtech Group GmbH & Co. KGaA, Stuttgart
  4. MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Re: Aber PGP ist schuld ...

    Pete Sabacker | 03:31

  2. Re: Wie sicher sind solche Qi-Spulen vor Attacken?

    Maatze | 02:48

  3. Re: "dem sei ohnehin nicht mehr zu helfen"

    LinuxMcBook | 02:45

  4. Re: Interessant [...] ist immer die Kapazität des...

    nightmar17 | 01:36

  5. Re: Das heißt H2/2018 gibt es Ryzen dann mit 4,4 Ghz

    ELKINATOR | 01:35


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel