Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Schadsoftware erwacht nach fünf Wochen

Bei "photo.scr" ist der Nutzer möglicherweise lediglich etwas verwundert, dass nach dem Doppelklick nichts passiert. Nach einigen Wochen ist die Datei vergessen, im besten Fall gelöscht oder als harmlos abgetan. Doch dieser Eindruck trügt, denn die Malware hat sich in eine Art Schlafmodus versetzt und erwacht erst nach über 3.100.000 Sekunden wieder - das entspricht einem Zeitraum von über fünf Wochen.

Was zunächst nach einem Fehler klingt, ist von den Malware-Entwicklern offenbar so gewollt, damit Auffälligkeiten am Computer nicht auf ihre "photo.scr"-Datei zurückgeführt werden. Ein solches Vorgehen ist unter professionellen Malware-Programmierern üblich, da sie sonst schneller auffliegen und weitere Nutzer gewarnt werden könnten. Ist nicht klar, wie ein Virus oder eine Malware überhaupt auf ein System gelangt ist (Verschleierung des Point of Entry), kann schlechter oder erst nach Analyse der Malware, also später, vor ihr gewarnt und das System geschützt werden.

Anzeige

Selbst wenn Antivirenhersteller die entsprechende Datei als Urheber ausmachen können und die Signatur in ihre Datenbank eingepflegt haben, kann bereits eine neue Version mit ähnlichen Funktionen veröffentlicht sein - somit beginnt das typische Katz-und-Maus-Spiel zwischen Virenherstellern und Antivirensystemen.

Verschlüsselte Kommunikation

Ist die fünfwöchige Schonfrist abgelaufen, nimmt die Malware ihre eigentliche Arbeit auf. Spätestens jetzt sollten Antivirenscanner erkennen, dass das Verhalten der platzierten Dateien nicht erwünscht sein kann: Es wird ein HTTP-Request an eine Domain von über neun im Programmcode festgelegten Domains gestellt und darüber neue Informationen angefordert. Die Kommunikation findet verschlüsselt statt.

Wie über Reverse-Engineering zu ermitteln war, handelt es sich bei den übertragenen Informationen um die Spezifikationen von Mining-Pools, also jenen Sammelplätzen, an denen die geschürfte Kryptowährung am Ende abgeliefert werden soll. Diese werden als temporäre Textdatei auf den Zielsystemen abgelegt.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)

Außerdem legt von Beginn an das Mining-Tool los, es schürft digitale Kryptowährungen, indem mathematische Funktionen gelöst werden. Die Malware-Autoren scheinen dabei überwiegend an der Kryptowährung Monero interessiert, vermutlich, weil sie dank sogenannter Ringsignaturen als besonders anonym und nicht zuordenbar (unlinkable) gilt.

 Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürftEine stabile und lukrative Kryptowährung 

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Universität Passau, Passau
  2. Fresenius Netcare GmbH, Bad Homburg
  3. über Ratbacher GmbH, Raum Wuppertal
  4. TÜV Rheinland i-sec GmbH, Hallbergmoos bei München, Köln


Anzeige
Hardware-Angebote
  1. und DOOM gratis erhalten
  2. 77,00€
  3. 119,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Samsung

    Neue Gear 360 kann in 4K filmen

  2. DeX im Hands On

    Samsung bringt eigene Desktop-Umgebung für Smartphones

  3. Galaxy S8 und S8+ im Kurztest

    Samsung setzt auf lang gezogenes Display und Bixby

  4. Erazer-Serie

    Medion bringt mehrere Komplett-PCs mit AMDs Ryzen heraus

  5. DJI

    Drohnen sollen ihre Position und ihre ID funken

  6. Xeon E3-1200 v6

    Intel aktualisiert seine Server-CPUs mit Kaby Lake

  7. Future Unfolding im Test

    Adventure allein im Wald

  8. Gesichtserkennung

    FBI sammelt anlasslos Fotos von US-Bürgern

  9. Hasskommentare

    Regierung plant starke Ausweitung der Bestandsdatenauskunft

  10. Rkt und Containerd

    Konkurrierende Container-Engines bekommen neutrale Heimat



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gesetzesentwurf: Ein Etikettenschwindel bremst das automatisierte Fahren aus
Gesetzesentwurf
Ein Etikettenschwindel bremst das automatisierte Fahren aus
  1. E-Mail-Lesen erlaubt Koalition bessert Gesetz zum automatisierten Fahren nach
  2. Autonomes Fahren Uber stoppt nach Unfall Versuch mit selbstfahrenden Taxis
  3. Tesla Autopilot Root versichert autonom fahrende Autos

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

  1. Re: Wer mag sowas?

    Koto | 16:54

  2. Re: 10cent ist Eigentümer von Supercell (8 Mrd...

    xProcyonx | 16:52

  3. Re: Bedeutet das...

    xProcyonx | 16:50

  4. Re: Bei Amazon kaufen nur Lamer....

    Frankenwein | 16:48

  5. Re: Schade kein Geometry Shader ...

    Sammie | 16:48


  1. 17:00

  2. 17:00

  3. 17:00

  4. 15:20

  5. 14:50

  6. 14:20

  7. 14:00

  8. 13:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel