Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Schadsoftware erwacht nach fünf Wochen

Bei "photo.scr" ist der Nutzer möglicherweise lediglich etwas verwundert, dass nach dem Doppelklick nichts passiert. Nach einigen Wochen ist die Datei vergessen, im besten Fall gelöscht oder als harmlos abgetan. Doch dieser Eindruck trügt, denn die Malware hat sich in eine Art Schlafmodus versetzt und erwacht erst nach über 3.100.000 Sekunden wieder - das entspricht einem Zeitraum von über fünf Wochen.

Was zunächst nach einem Fehler klingt, ist von den Malware-Entwicklern offenbar so gewollt, damit Auffälligkeiten am Computer nicht auf ihre "photo.scr"-Datei zurückgeführt werden. Ein solches Vorgehen ist unter professionellen Malware-Programmierern üblich, da sie sonst schneller auffliegen und weitere Nutzer gewarnt werden könnten. Ist nicht klar, wie ein Virus oder eine Malware überhaupt auf ein System gelangt ist (Verschleierung des Point of Entry), kann schlechter oder erst nach Analyse der Malware, also später, vor ihr gewarnt und das System geschützt werden.

Anzeige

Selbst wenn Antivirenhersteller die entsprechende Datei als Urheber ausmachen können und die Signatur in ihre Datenbank eingepflegt haben, kann bereits eine neue Version mit ähnlichen Funktionen veröffentlicht sein - somit beginnt das typische Katz-und-Maus-Spiel zwischen Virenherstellern und Antivirensystemen.

Verschlüsselte Kommunikation

Ist die fünfwöchige Schonfrist abgelaufen, nimmt die Malware ihre eigentliche Arbeit auf. Spätestens jetzt sollten Antivirenscanner erkennen, dass das Verhalten der platzierten Dateien nicht erwünscht sein kann: Es wird ein HTTP-Request an eine Domain von über neun im Programmcode festgelegten Domains gestellt und darüber neue Informationen angefordert. Die Kommunikation findet verschlüsselt statt.

Wie über Reverse-Engineering zu ermitteln war, handelt es sich bei den übertragenen Informationen um die Spezifikationen von Mining-Pools, also jenen Sammelplätzen, an denen die geschürfte Kryptowährung am Ende abgeliefert werden soll. Diese werden als temporäre Textdatei auf den Zielsystemen abgelegt.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)

Außerdem legt von Beginn an das Mining-Tool los, es schürft digitale Kryptowährungen, indem mathematische Funktionen gelöst werden. Die Malware-Autoren scheinen dabei überwiegend an der Kryptowährung Monero interessiert, vermutlich, weil sie dank sogenannter Ringsignaturen als besonders anonym und nicht zuordenbar (unlinkable) gilt.

 Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürftEine stabile und lukrative Kryptowährung 

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  2. HERMA GmbH, Filderstadt
  3. T-Systems International GmbH, verschiedene Standorte
  4. Gries Deco Company GmbH, Niedernberg


Anzeige
Spiele-Angebote
  1. (-77%) 6,99€
  2. 27,99€
  3. 69,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  2. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  3. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  4. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  5. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  6. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  7. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  8. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  9. SteamVR

    Valve zeigt Knuckles-Controller

  10. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: In anderen Worten

    unbuntu | 21:00

  2. Re: Nutzt irgendjemand hier wirklich noch google-mail

    Suppenpulver | 20:59

  3. Re: gegen Kostenerstattung abgeschaltet... Warum?

    wire-less | 20:47

  4. Ist die Original US/AT Version nicht sogar auf...

    Kunze | 20:45

  5. Re: Erik Range hat meiner Ansicht nach Recht

    Umaru | 20:39


  1. 13:30

  2. 12:14

  3. 11:43

  4. 10:51

  5. 09:01

  6. 17:40

  7. 16:22

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel