Abo
  • Services:
Anzeige
Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Office Malware: AGB gegen Spammer

Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Ein russischer Entwickler möchte nicht, dass seine Office Malware MWI von Spammern verwendet wird. Doch seine allgemeinen Geschäftsbedingungen zeigen nur begrenzt Wirkung. Ein kurioser Blick in den Malware-Markt.

Anzeige

Der russische Virenentwickler Objekt hat sein Office-Malware-Kit MWI (Microsoft Word Intruder) mit allgemeinen Geschäftsbedingungen versehen, die den Einsatz der Software für Spamangriffe verbieten. Dafür, so der Hersteller, habe er andere Werkzeuge im Angebot. Das Paket, das Objekt zum Preis von 140 US-Dollar anbietet, solle nur für gezielte Angriffe eingesetzt werden.

Gabor Szappanos, der die Malware im Auftrag von Sophos untersucht hat, vermutet dahinter vor allem ökonomische Motive. Nachdem die Malware 2013 erstmals entdeckt wurde, sei die Aufmerksamkeit zu groß geworden. Mit dem Aufruf, das Programm nur für gezielte Angriffe zu verwenden, habe der Entwickler versuchen wollen, "unter dem Radar (von Antivirenprogrammen) zu fliegen", um die Software möglichst lange gewinnbringend vertreiben zu können.

MWI nutzt Schwächen in Microsoft Word aus

Mit MWI können Angreifer ohne großen Aufwand infizierte RTF-Dateien erstellen, die dann wiederum Sicherheitslücken in Microsoft Word ausnutzen, um Schadcode ans Ziel zu bringen. Dabei können sie wählen, ob sie den Schadcode direkt in das Dokument integrieren oder von einer Webressource nachladen wollen. Der MWI-Entwickler stellt außerdem ein Tool mit dem Namen MWISTAT zur Verfügung, das die Kommunikation mit einem Command-and-Control-Server ermöglicht.

Am Anfang einer infizierten Datei speichert MWI den verschlüsselten Payload, also den eigentlichen Schadcode - erst danach folgen verschiedene Word-Exploits, um den Schadcode auch ans Ziel zu bringen. Durch den Aufruf einer infizierten Datei wird der Payload in den Speicher geladen und der Office-Shellcode wird aktiv. Dieser sucht im Speicher nach bestimmten Markern, um den Schadcode zu finden - diese Technik wird als Memory-Egg-Hunting bezeichnet - und ihn dann schließlich auszuführen.

Mehr kriminelle Banden nutzen Malware-Kits

MWI wurde laut dem Sophos-Bericht in der Vergangenheit genutzt, um Malware verschiedener Art zu verteilen. Unter den untersuchten Beispielen war viel bekannter Schadcode wie der Bankentrojaner Zeus/Zbot oder das Erpresservirus Cryptowall. Dieses verschlüsselt die Festplatte seiner Opfer und gibt sie erst gegen Zahlung eines Lösegeldes wieder frei.

Diese Art von Malware wird häufig von Straftätern eingesetzt, um an Kreditkartendaten oder andere vertrauliche Informationen zu kommen - und zu Geld zu machen. Laut den Autoren des Berichts zeichnet sich in der Verwendung von Office-Malware-Kits ein neuer Trend ab: Wurden diese in der Vergangenheit vor allem für Angriffe auf Geheimdienstniveau genutzt, so nutzen heute immer mehr kriminelle diese Werkzeuge. Das dürfte auch den Entwickler in seiner Entscheidung bestärkt haben, sein Produkt mit allgemeinen Nutzungsbedingungen zu versehen - offensichtlich nur mit begrenztem Erfolg.


eye home zur Startseite
SJ 04. Sep 2015

Ich habe lokal einen Server, da habe ich ein Script am laufen, wo ich ein Alias ohne...

TrollNo1 04. Sep 2015

Der hat ganz bestimmt in Moskau vor dem Kreml sein Interview gegebn und in die...



Anzeige

Stellenmarkt
  1. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden-Dützen
  2. ASTERION Germany GmbH, Viernheim/Rüsselsheim
  3. Robert Bosch GmbH, Weilimdorf
  4. über Duerenhoff GmbH, Berlin


Anzeige
Spiele-Angebote
  1. (-50%) 4,99€
  2. (-15%) 42,49€

Folgen Sie uns
       


  1. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  2. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  3. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  4. Elektroauto

    Walmart will den Tesla-Truck

  5. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  6. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  7. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  8. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  9. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  10. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Star Wars EA entfernt Mikrotransaktionen aus Battlefront 2
  2. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  3. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Re: warum wischt ihr nicht einfach alles weg?

    Sarkastius | 06:07

  2. Re: Auf MacOS unbrauchbar

    Danse Macabre | 05:59

  3. Re: die alte leier

    teenriot* | 05:57

  4. Die Gesellschaft hat Schuld

    Schnippelschnappel | 05:11

  5. Re: Der Akku wird zu schnell geladen

    gehtjanx | 04:54


  1. 17:14

  2. 13:36

  3. 12:22

  4. 10:48

  5. 09:02

  6. 19:05

  7. 17:08

  8. 16:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel