Abo
  • Services:

Schadsoftware erwacht nach fünf Wochen

Bei "photo.scr" ist der Nutzer möglicherweise lediglich etwas verwundert, dass nach dem Doppelklick nichts passiert. Nach einigen Wochen ist die Datei vergessen, im besten Fall gelöscht oder als harmlos abgetan. Doch dieser Eindruck trügt, denn die Malware hat sich in eine Art Schlafmodus versetzt und erwacht erst nach über 3.100.000 Sekunden wieder - das entspricht einem Zeitraum von über fünf Wochen.

Stellenmarkt
  1. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  2. operational services GmbH & Co. KG, Frankfurt am Main

Was zunächst nach einem Fehler klingt, ist von den Malware-Entwicklern offenbar so gewollt, damit Auffälligkeiten am Computer nicht auf ihre "photo.scr"-Datei zurückgeführt werden. Ein solches Vorgehen ist unter professionellen Malware-Programmierern üblich, da sie sonst schneller auffliegen und weitere Nutzer gewarnt werden könnten. Ist nicht klar, wie ein Virus oder eine Malware überhaupt auf ein System gelangt ist (Verschleierung des Point of Entry), kann schlechter oder erst nach Analyse der Malware, also später, vor ihr gewarnt und das System geschützt werden.

Selbst wenn Antivirenhersteller die entsprechende Datei als Urheber ausmachen können und die Signatur in ihre Datenbank eingepflegt haben, kann bereits eine neue Version mit ähnlichen Funktionen veröffentlicht sein - somit beginnt das typische Katz-und-Maus-Spiel zwischen Virenherstellern und Antivirensystemen.

Verschlüsselte Kommunikation

Ist die fünfwöchige Schonfrist abgelaufen, nimmt die Malware ihre eigentliche Arbeit auf. Spätestens jetzt sollten Antivirenscanner erkennen, dass das Verhalten der platzierten Dateien nicht erwünscht sein kann: Es wird ein HTTP-Request an eine Domain von über neun im Programmcode festgelegten Domains gestellt und darüber neue Informationen angefordert. Die Kommunikation findet verschlüsselt statt.

Wie über Reverse-Engineering zu ermitteln war, handelt es sich bei den übertragenen Informationen um die Spezifikationen von Mining-Pools, also jenen Sammelplätzen, an denen die geschürfte Kryptowährung am Ende abgeliefert werden soll. Diese werden als temporäre Textdatei auf den Zielsystemen abgelegt.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)

Außerdem legt von Beginn an das Mining-Tool los, es schürft digitale Kryptowährungen, indem mathematische Funktionen gelöst werden. Die Malware-Autoren scheinen dabei überwiegend an der Kryptowährung Monero interessiert, vermutlich, weil sie dank sogenannter Ringsignaturen als besonders anonym und nicht zuordenbar (unlinkable) gilt.

 Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürftEine stabile und lukrative Kryptowährung 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. bei Caseking kaufen
  2. täglich neue Deals bei Alternate.de
  3. bei Alternate.de

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Microsoft Adaptive Controller - Hands on

Im Rahmen der Build 2018 konnten wir den Adaptive Controller von Microsoft ausprobieren, ein Hardware-Experiment, das Menschen mit Einschränkungen das Spielen ermöglicht.

Microsoft Adaptive Controller - Hands on Video aufrufen
Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
Projektoren im Vergleichstest
4K-Beamer für unter 2K Euro

Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
Ein Test von Martin Wolf

  1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
  2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
  3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

SpaceX: Rundum verbesserte Falcon 9 fliegt zum ersten Mal
SpaceX
Rundum verbesserte Falcon 9 fliegt zum ersten Mal

Landen, Auftanken und 24 Stunden später wieder starten. Das will SpaceX mit der neusten und endgültigen Version der Falcon-9-Rakete erreichen. In der letzten Nacht hat sie erfolgreich einen Satelliten für Bangladesch in den Orbit gebracht.
Von Frank Wunderlich-Pfeiffer


      •  /