Abo
  • Services:

Schadsoftware erwacht nach fünf Wochen

Bei "photo.scr" ist der Nutzer möglicherweise lediglich etwas verwundert, dass nach dem Doppelklick nichts passiert. Nach einigen Wochen ist die Datei vergessen, im besten Fall gelöscht oder als harmlos abgetan. Doch dieser Eindruck trügt, denn die Malware hat sich in eine Art Schlafmodus versetzt und erwacht erst nach über 3.100.000 Sekunden wieder - das entspricht einem Zeitraum von über fünf Wochen.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. ING-DiBa AG, Frankfurt

Was zunächst nach einem Fehler klingt, ist von den Malware-Entwicklern offenbar so gewollt, damit Auffälligkeiten am Computer nicht auf ihre "photo.scr"-Datei zurückgeführt werden. Ein solches Vorgehen ist unter professionellen Malware-Programmierern üblich, da sie sonst schneller auffliegen und weitere Nutzer gewarnt werden könnten. Ist nicht klar, wie ein Virus oder eine Malware überhaupt auf ein System gelangt ist (Verschleierung des Point of Entry), kann schlechter oder erst nach Analyse der Malware, also später, vor ihr gewarnt und das System geschützt werden.

Selbst wenn Antivirenhersteller die entsprechende Datei als Urheber ausmachen können und die Signatur in ihre Datenbank eingepflegt haben, kann bereits eine neue Version mit ähnlichen Funktionen veröffentlicht sein - somit beginnt das typische Katz-und-Maus-Spiel zwischen Virenherstellern und Antivirensystemen.

Verschlüsselte Kommunikation

Ist die fünfwöchige Schonfrist abgelaufen, nimmt die Malware ihre eigentliche Arbeit auf. Spätestens jetzt sollten Antivirenscanner erkennen, dass das Verhalten der platzierten Dateien nicht erwünscht sein kann: Es wird ein HTTP-Request an eine Domain von über neun im Programmcode festgelegten Domains gestellt und darüber neue Informationen angefordert. Die Kommunikation findet verschlüsselt statt.

Wie über Reverse-Engineering zu ermitteln war, handelt es sich bei den übertragenen Informationen um die Spezifikationen von Mining-Pools, also jenen Sammelplätzen, an denen die geschürfte Kryptowährung am Ende abgeliefert werden soll. Diese werden als temporäre Textdatei auf den Zielsystemen abgelegt.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)

Außerdem legt von Beginn an das Mining-Tool los, es schürft digitale Kryptowährungen, indem mathematische Funktionen gelöst werden. Die Malware-Autoren scheinen dabei überwiegend an der Kryptowährung Monero interessiert, vermutlich, weil sie dank sogenannter Ringsignaturen als besonders anonym und nicht zuordenbar (unlinkable) gilt.

 Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürftEine stabile und lukrative Kryptowährung 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (heute u. a. Beyerdynamic DTX 910 Kopfhörer, NZXT H700i Gehäuse, HP Notebook)
  2. (u. a. Canon EOS 2000D + Objektiv 18-55 mm für 299€ statt 394€ im Vergleich)
  3. ab 119,99€
  4. 263,99€

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Battlefield 5 Open Beta - Golem.de live

Ein Squad voller Golems philosophiert über Raytracing, PC-Konfigurationen und alles, was noch nicht so funktioniert, im Livestream zur Battlefield 5 Open Beta.

Battlefield 5 Open Beta - Golem.de live Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

    •  /