Abo
  • Services:
Anzeige
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Botnetz: Wie Mirai Windows als Sprungbrett nutzt

Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Eine Windows-Variante von Mirai? Nicht ganz. Tatsächlich wird das Botnetz neuerdings aber auch über verwundbare Windows-Rechner erweitert. Dabei spielen sowohl verwundbare SQL-Server als auch Taylor Swift eine Rolle.

Das Mirai-Botnetz sorgt seit dem vergangenen Jahr für Aufregung und Probleme bei Webseitenbetreibern - und soll seit neuestem auch Windows-Rechner befallen. Tatsächlich kursiert seit Januar eine Windows-Variante, die allerdings nicht selbst Angriffe ausführt, sondern nur als Host für die Infektion weiterer Linux-basierter IoT-Geräte dient, wie Kaspersky berichtet.

Anzeige

Der Windows-Bot ist demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten zu starten und diese mit dem Mirai-Schadcode zu infizieren. Dies kann über verschiedene Wege geschehen, etwa über einen Telnet-Bruteforce-Angriff. Ist auf dem infizierten Rechner kein Telnet verfügbar, schreibt Kaspersky, versucht die Software, das entsprechende Programm im Hintergrund herunterzuladen.

Neben der Infektion über Telnet soll die Malware auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Der Windows-basierte Mirai-Installer soll selbst über ein Botnetz verteilt werden.

Unsichere SQL-Server als Ziel

Nach Angaben von Kaspersky sind vor allem unsicher konfigurierte SQL-Server ein lohnenswertes Ziel für die Malware, da diese häufig zum einen aus dem Internet erreichbar seien, zur gleichen Zeit aber Zugriff auf private Netzwerkressourcen wie IP-Kameras, digitale Videorekorder und Mediencenter-Software hätten.

Die Mirai-Malware für Windows ist deutlich komplexer entwickelt als die ursprüngliche Software. Offenbar gelang es den Entwicklen, ein gültiges Zertifikat eines chinesischen Unternehmens zu entwenden, um den eigenen Code zu signieren und so Warnungen zu umgehen. Ein weiteres chinesisches Zertifikat im Code soll ungültig sein.

Kaspersky geht wegen der chinesischen Zertifikate, einiger Hinweise auf im Code verwendeter chinesischer Sprache und in Taiwan gehosteter Server davon aus, dass die Malware von chinesischen Autoren entwickelt wurde.

Neben dem Botnetz-Code selbst enthält die Malware offenbar einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software ist dabei keinesfalls neu, sondern stammt aus dem Jahr 2013. Der Schadcode ist in der Jpeg-Datei als Kommentar gehostet.

Das Mirai-Botnetz ist seit dem vergangenen Jahr aktiv und für eine Reihe großer DDoS-Angriffe verantwortlich. Neben dem Blog des Sicherheitsforscher Brian Krebs wurde auch der DNS-Provider Dyn angegriffen, was mehrere Ausfälle bei bekannten Online-Diensten wie Spotify, Twitter und Amazon verursachte. Der Schadcode ist seit längerem öffentlich verfügbar.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. W&W Informatik GmbH, Ludwigsburg
  3. Jung, DMS & Cie. AG, Wiesbaden
  4. Meierhofer AG, München, Berlin, Bern (Schweiz), St. Valentin (Österreich)


Anzeige
Hardware-Angebote
  1. 199,99€ statt 479,99€ - Ersparnis rund 58%
  2. täglich neue Deals
  3. auf Kameras und Objektive

Folgen Sie uns
       


  1. Sony

    Online spielen auf der Playstation wird teurer

  2. Quartalszahlen

    Intel meldet Rekordumsatz für zweites Quartal 2017

  3. Deutsche Telekom

    Router-Hacker bekommt Bewährungsstrafe

  4. Gnome

    Freiheit ist mehr als nur Code

  5. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  6. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  7. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  8. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  9. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  10. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Makeblock Airblock im Test: Es regnet Drohnenmodule
Makeblock Airblock im Test
Es regnet Drohnenmodule
  1. US-Armee Die Flugdrohne, die an ein Flughörnchen erinnert
  2. Wettrüsten DJI gegen Drohnenhacker
  3. Verbrennungsmotor Benzin-Drohne soll fünf Tage in der Luft bleiben

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

  1. Re: Formel E - Nicht mein Fall

    3dgamer | 21:08

  2. Habe ich das richtig gehört...

    iKnow23 | 21:07

  3. Re: Die Anwendung gibt beispielsweise Signale...

    iKnow23 | 21:05

  4. Re: Wieso fällt der Gewinn bei hohen Investionen?

    plutoniumsulfat | 21:03

  5. Re: HTC One M8 Glück gehabt: Qualcomm WiFi

    Kleba | 20:57


  1. 16:55

  2. 16:28

  3. 15:11

  4. 14:02

  5. 13:44

  6. 13:00

  7. 12:45

  8. 12:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel