Abo
  • Services:
Anzeige
Miniduke: Trojaner greift unbemerkt über PDF-Lücke an
(Bild: Kaspersky Lab)

Miniduke: Trojaner greift unbemerkt über PDF-Lücke an

Miniduke: Trojaner greift unbemerkt über PDF-Lücke an
(Bild: Kaspersky Lab)

Der in Assemblersprache geschriebene Backdoor-Trojaner Miniduke greift mit professionell erstellten PDF-Dateien an, die die Adobe-Reader-Versionen 9, 10 und 11 betreffen und deren Sandbox umgehen. Die Malware wehrt Analysewerkzeuge ab.

Der Backdoor-Trojaner Miniduke greift mit PDF-Dateien an. Das gab das IT-Sicherheitsunternehmen Kaspersky Lab am 27. Februar 2013 bekannt. Sobald ein System kompromittiert sei, werde ein sehr kleiner Downloader mit 20 KByte auf dem Rechner des Opfers platziert.

Anzeige

Der Downloader sei für jedes System speziell erstellt und enthalte eine Hintertür, die in Assembler geschrieben ist. Die Malware wehrt auch Analysewerkzeuge ab, etwa Wireshark oder Tcpdump. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben.

Wenn der Rechner als der von den Kriminellen adressierte Zielrechner identifiziert ist, startet die Malware die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command-and-Control-Servern verwendet. Über diese URLs öffne sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code über Gif-Bilddateien an den Zielrechner übermitteln.

Wahrscheinlich haben die Autoren von Miniduke ein dynamisches Backup-System zur Sicherung der Daten entwickelt, das ebenfalls unbemerkt von Analysetools agiert, so Kaspersky weiter.

Genutzt wird die jüngst entdeckte Sicherheitslücke Exploit CVE-2013-6040 im Adobe-Reader.

Der Miniduke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky hat zusammen mit Crysys Lab die Angriffe analysiert. Die Miniduke-Angreifer sind nach wie vor aktiv und haben ihre jüngsten Versionen erst am 20. Februar 2013 erzeugt.

"Das ist ein sehr ungewöhnlicher Cyber-Angriff", erklärte Eugene Kaspersky, Gründer und Chef von Kaspersky Lab. "Ich kenne diesen Stil der Programmierung aus den späten 1990er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben."


eye home zur Startseite
guenther62 14. Aug 2014

Die Langzeit-Studie von AV-Test sagt: Traurige Spitzenposition der unsichersten Programme...

bstea 28. Feb 2013

Gegen was soll er denn sonst testen, Brainfuck?

dasfuxx 28. Feb 2013

Wohl war =D Man muss halt manchmal verzichten =D

couchpotato 28. Feb 2013

Dafür braucht es kein gut geschrieben Virus. Dafür haben selbst Scriptkiddies hunderte...

SaSi 27. Feb 2013

ist also nur Adobe betroffen oder auch andere reader? Meine damit zb. iOS, Android - auf...



Anzeige

Stellenmarkt
  1. IT Baden-Württemberg (BITBW), Stuttgart
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. K+S Aktiengesellschaft, Kassel
  4. ROHDE & SCHWARZ GmbH & Co. KG, Stuttgart


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 16,99€
  3. (u. a. BioShock: The Collection 16,99€, Borderlands 2 GOTY 7,99€, Civilization VI 35,99€ und...

Folgen Sie uns
       


  1. Luminar

    Lightroom-Konkurrenz bringt sich in Stellung

  2. Kleinrechner

    Tim Cook verspricht Update für Mac Mini

  3. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  4. Messung

    Über 23.000 Funklöcher in Brandenburg

  5. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  6. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  7. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  8. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  9. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  10. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Darum wird sich Linux nie so richtig durchsetzen

    david_rieger | 07:42

  2. Hilfe ohne Cookies sind wir geliefert.... Rumheul

    jones1024 | 07:41

  3. Re: Regierung kann die Betreiber nicht zwingen

    robinx999 | 07:26

  4. Re: 400-650g R1234yf pro Fahrzeug

    AllDayPiano | 07:23

  5. Re: Heult doch!

    whitbread | 07:19


  1. 07:28

  2. 07:13

  3. 18:37

  4. 18:18

  5. 18:03

  6. 17:50

  7. 17:35

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel