Abo
  • Services:
Anzeige
Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Office Malware: AGB gegen Spammer

Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Ein russischer Entwickler möchte nicht, dass seine Office Malware MWI von Spammern verwendet wird. Doch seine allgemeinen Geschäftsbedingungen zeigen nur begrenzt Wirkung. Ein kurioser Blick in den Malware-Markt.

Anzeige

Der russische Virenentwickler Objekt hat sein Office-Malware-Kit MWI (Microsoft Word Intruder) mit allgemeinen Geschäftsbedingungen versehen, die den Einsatz der Software für Spamangriffe verbieten. Dafür, so der Hersteller, habe er andere Werkzeuge im Angebot. Das Paket, das Objekt zum Preis von 140 US-Dollar anbietet, solle nur für gezielte Angriffe eingesetzt werden.

Gabor Szappanos, der die Malware im Auftrag von Sophos untersucht hat, vermutet dahinter vor allem ökonomische Motive. Nachdem die Malware 2013 erstmals entdeckt wurde, sei die Aufmerksamkeit zu groß geworden. Mit dem Aufruf, das Programm nur für gezielte Angriffe zu verwenden, habe der Entwickler versuchen wollen, "unter dem Radar (von Antivirenprogrammen) zu fliegen", um die Software möglichst lange gewinnbringend vertreiben zu können.

MWI nutzt Schwächen in Microsoft Word aus

Mit MWI können Angreifer ohne großen Aufwand infizierte RTF-Dateien erstellen, die dann wiederum Sicherheitslücken in Microsoft Word ausnutzen, um Schadcode ans Ziel zu bringen. Dabei können sie wählen, ob sie den Schadcode direkt in das Dokument integrieren oder von einer Webressource nachladen wollen. Der MWI-Entwickler stellt außerdem ein Tool mit dem Namen MWISTAT zur Verfügung, das die Kommunikation mit einem Command-and-Control-Server ermöglicht.

Am Anfang einer infizierten Datei speichert MWI den verschlüsselten Payload, also den eigentlichen Schadcode - erst danach folgen verschiedene Word-Exploits, um den Schadcode auch ans Ziel zu bringen. Durch den Aufruf einer infizierten Datei wird der Payload in den Speicher geladen und der Office-Shellcode wird aktiv. Dieser sucht im Speicher nach bestimmten Markern, um den Schadcode zu finden - diese Technik wird als Memory-Egg-Hunting bezeichnet - und ihn dann schließlich auszuführen.

Mehr kriminelle Banden nutzen Malware-Kits

MWI wurde laut dem Sophos-Bericht in der Vergangenheit genutzt, um Malware verschiedener Art zu verteilen. Unter den untersuchten Beispielen war viel bekannter Schadcode wie der Bankentrojaner Zeus/Zbot oder das Erpresservirus Cryptowall. Dieses verschlüsselt die Festplatte seiner Opfer und gibt sie erst gegen Zahlung eines Lösegeldes wieder frei.

Diese Art von Malware wird häufig von Straftätern eingesetzt, um an Kreditkartendaten oder andere vertrauliche Informationen zu kommen - und zu Geld zu machen. Laut den Autoren des Berichts zeichnet sich in der Verwendung von Office-Malware-Kits ein neuer Trend ab: Wurden diese in der Vergangenheit vor allem für Angriffe auf Geheimdienstniveau genutzt, so nutzen heute immer mehr kriminelle diese Werkzeuge. Das dürfte auch den Entwickler in seiner Entscheidung bestärkt haben, sein Produkt mit allgemeinen Nutzungsbedingungen zu versehen - offensichtlich nur mit begrenztem Erfolg.


eye home zur Startseite
SJ 04. Sep 2015

Ich habe lokal einen Server, da habe ich ein Script am laufen, wo ich ein Alias ohne...

TrollNo1 04. Sep 2015

Der hat ganz bestimmt in Moskau vor dem Kreml sein Interview gegebn und in die...



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. über Ratbacher GmbH, Stuttgart
  3. über Ratbacher GmbH, Düsseldorf
  4. SCHUFA Holding AG, Wiesbaden


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  3. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  2. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  3. Cryptowars

    "Kein geheimer Ort für Terroristen"

  4. Trello

    Atlassian setzt alles auf eine Karte

  5. Endless Runway

    Der Flughafen wird rund

  6. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  7. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  8. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  9. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  10. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen
Betrugsnetzwerk
Kinox.to-Nutzern Abofallen andrehen

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

  1. Re: Ihr versteht alle den Artikel nicht

    Atraides | 22:19

  2. Re: Das ist (auch) kein Elektroauto!!!!!

    azeu | 22:19

  3. Re: Wird auch langsam Zeit! [WoSign, StartCom]

    My1 | 22:18

  4. Re: Das hat man auch vom Transrapid gesagt

    Prinzeumel | 22:12

  5. Curie-Temperatur?

    jepper | 22:07


  1. 18:55

  2. 18:18

  3. 18:08

  4. 17:48

  5. 17:23

  6. 17:07

  7. 16:20

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel