Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Schadsoftware erwacht nach fünf Wochen

Bei "photo.scr" ist der Nutzer möglicherweise lediglich etwas verwundert, dass nach dem Doppelklick nichts passiert. Nach einigen Wochen ist die Datei vergessen, im besten Fall gelöscht oder als harmlos abgetan. Doch dieser Eindruck trügt, denn die Malware hat sich in eine Art Schlafmodus versetzt und erwacht erst nach über 3.100.000 Sekunden wieder - das entspricht einem Zeitraum von über fünf Wochen.

Was zunächst nach einem Fehler klingt, ist von den Malware-Entwicklern offenbar so gewollt, damit Auffälligkeiten am Computer nicht auf ihre "photo.scr"-Datei zurückgeführt werden. Ein solches Vorgehen ist unter professionellen Malware-Programmierern üblich, da sie sonst schneller auffliegen und weitere Nutzer gewarnt werden könnten. Ist nicht klar, wie ein Virus oder eine Malware überhaupt auf ein System gelangt ist (Verschleierung des Point of Entry), kann schlechter oder erst nach Analyse der Malware, also später, vor ihr gewarnt und das System geschützt werden.

Anzeige

Selbst wenn Antivirenhersteller die entsprechende Datei als Urheber ausmachen können und die Signatur in ihre Datenbank eingepflegt haben, kann bereits eine neue Version mit ähnlichen Funktionen veröffentlicht sein - somit beginnt das typische Katz-und-Maus-Spiel zwischen Virenherstellern und Antivirensystemen.

Verschlüsselte Kommunikation

Ist die fünfwöchige Schonfrist abgelaufen, nimmt die Malware ihre eigentliche Arbeit auf. Spätestens jetzt sollten Antivirenscanner erkennen, dass das Verhalten der platzierten Dateien nicht erwünscht sein kann: Es wird ein HTTP-Request an eine Domain von über neun im Programmcode festgelegten Domains gestellt und darüber neue Informationen angefordert. Die Kommunikation findet verschlüsselt statt.

Wie über Reverse-Engineering zu ermitteln war, handelt es sich bei den übertragenen Informationen um die Spezifikationen von Mining-Pools, also jenen Sammelplätzen, an denen die geschürfte Kryptowährung am Ende abgeliefert werden soll. Diese werden als temporäre Textdatei auf den Zielsystemen abgelegt.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)

Außerdem legt von Beginn an das Mining-Tool los, es schürft digitale Kryptowährungen, indem mathematische Funktionen gelöst werden. Die Malware-Autoren scheinen dabei überwiegend an der Kryptowährung Monero interessiert, vermutlich, weil sie dank sogenannter Ringsignaturen als besonders anonym und nicht zuordenbar (unlinkable) gilt.

 Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürftEine stabile und lukrative Kryptowährung 

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Bremen, Bremen
  2. Schwarz Zentrale Dienste KG, Neckarsulm
  3. LivingData GmbH, Landshut, Nürnberg
  4. LogPay Financial Services GmbH, Eschborn


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: Wozu?

    plutoniumsulfat | 01:25

  2. Läuft der Trojaner auch auf AMIGA

    Zensurfeind | 01:19

  3. Re: Der starke Kleber

    ArcherV | 01:19

  4. Interessant [...] ist immer die Kapazität des Akkus

    HerrMannelig | 01:18

  5. Re: wie kommt ihr darauf, dass QI bei anderen...

    ArcherV | 00:56


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel