• IT-Karriere:
  • Services:

Viele Schutzmaßnahmen gegen Erkennung

Neben dem Schutz vor Entdeckung durch den späten Start der Applikation sowie verschlüsselte Kommunikation nach außen haben die Malware-Entwickler weitere Maßnahmen ergriffen, um eine Erkennung oder Analyse zu erschweren. So ändert das Schadprogramm sein Verhalten innerhalb von virtuellen Maschinen (sogenannter VMProtect) und komprimiert oder verschlüsselt Dateien auf den lokalen Wirtssystemen - alles Aufwand, um unentdeckt zu bleiben.

Stellenmarkt
  1. Siedlerkarte GmbH, München
  2. Transdev Vertrieb GmbH, Leipzig

Im Rahmen der Recherchen zu der Malware hat sich herausgestellt, dass die Software eine längere Versionsgeschichte hat. Ähnlich wie bei einer kommerziellen Software haben die Entwickler also immer wieder eine aktuelle Version entwickelt. Insgesamt ließen sich über zehn verschiedene Versionen der Malware finden, die ältesten Beispiele stammen von Mitte beziehungsweise Ende 2015.

Die Funktionsweise der Malware bleibt im Kern gleich: Es geht darum, den entsprechenden Miner zu platzieren, Mining zu betreiben, nach einiger Zeit die Mining-Pools zu ermitteln (teilweise werden diese auch im Quelltext hartcodiert hinterlegt), die geschürfte Kryptowährung an die ermittelten Pools zu liefern und anschließend die Malware weiterzuverbreiten - dazu scheint den Cyberkriminellen jedes Mittel recht.

Multiple Vorgehensweisen zur Verbreitung

So werden teils dreiste Vorgehensweisen zur Verbreitung genutzt, etwa das Kopieren der "photo.scr"-Datei auf alle angeschlossenen Datenträger und Netzlaufwerke. In großen Unternehmensnetzwerken mit bis zu 1.000 Clients, Abteilungslaufwerken und zentralen Servern kann das aufgrund der aggressiven Verbreitung schnell außer Kontrolle geraten.

Andere Versionen nutzen offenbar eine intelligentere Form der Verbreitung. So wird durch ein betroffenes System ein unverschlüsselter WLAN-Access-Point erstellt und die Datei mit der Schadsoftware auf einer präparierten Startseite automatisch allen sich einloggenden Clients zum Download angeboten.

Außerdem haben die Malware-Hersteller auch bedacht, dass ihre Schadsoftware auf Webserver geraten und dort ausgeführt werden könnte. Denn sie versuchen auch dort, Bibliotheken zum Mining zu installieren. Darüber hinaus wird jede XML- oder HTML-Datei geöffnet und mit einem Iframe mit der Pixelgröße 1x1 versehen, das auf die Schadsoftware verweist. Fordert ein Nutzer eine präparierte HTML-Datei in einem Browser an, wird die Schadsoftware ebenfalls zum Download angeboten.

Damit wurde ein weiterer Verbreitungsweg für die Malware geschaffen und ein neues Opfer gefunden, das zeitgleich als Ausgangsplattform für die weitere Verbreitung dienen kann. Die verwendeten Methoden zur Verbreitung sind sehr vielfältig und mitunter äußerst kreativ - neuere Verbreitungswege, etwa durch Zero-Day-Exploits, werden nach jetzigem Kenntnisstand nicht genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eine stabile und lukrative KryptowährungCisco-USV hilft Online-Ganoven beim Krypto-Mining 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Super Mario Bros.: Mehr Klassiker geht nicht
Super Mario Bros.
Mehr Klassiker geht nicht

Super Mario Bros. wird 35 Jahre alt! Golem.de hat den Klassiker im Original erneut gespielt - und nicht nur Lob für ihn.
Von Benedikt Plass-Fleßenkämper

  1. Super Mario 3D All-Stars Nintendo kündigt überarbeitete Klempner-Klassiker an
  2. Nintendo Update erlaubt Weltenbau in Super Mario Maker 2
  3. Nintendo Auch Lego Super Mario sammelt Münzen

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

Prozessor: Wie arm ARM mit Nvidia dran ist
Prozessor
Wie arm ARM mit Nvidia dran ist

Von positiv bis hin zum Desaster reichen die Stimmen zum Deal: Was der Kauf von ARM durch Nvidia bedeuten könnte.
Eine Analyse von Marc Sauter

  1. Prozessoren Nvidia kauft ARM für 40 Milliarden US-Dollar
  2. Chipdesigner Nvidia bietet mehr als 40 Milliarden Dollar für ARM
  3. Softbank-Tochter Nvidia hat Interesse an ARM

    •  /