Abo
  • Services:
Anzeige
Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Office Malware: AGB gegen Spammer

Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Ein russischer Entwickler möchte nicht, dass seine Office Malware MWI von Spammern verwendet wird. Doch seine allgemeinen Geschäftsbedingungen zeigen nur begrenzt Wirkung. Ein kurioser Blick in den Malware-Markt.

Anzeige

Der russische Virenentwickler Objekt hat sein Office-Malware-Kit MWI (Microsoft Word Intruder) mit allgemeinen Geschäftsbedingungen versehen, die den Einsatz der Software für Spamangriffe verbieten. Dafür, so der Hersteller, habe er andere Werkzeuge im Angebot. Das Paket, das Objekt zum Preis von 140 US-Dollar anbietet, solle nur für gezielte Angriffe eingesetzt werden.

Gabor Szappanos, der die Malware im Auftrag von Sophos untersucht hat, vermutet dahinter vor allem ökonomische Motive. Nachdem die Malware 2013 erstmals entdeckt wurde, sei die Aufmerksamkeit zu groß geworden. Mit dem Aufruf, das Programm nur für gezielte Angriffe zu verwenden, habe der Entwickler versuchen wollen, "unter dem Radar (von Antivirenprogrammen) zu fliegen", um die Software möglichst lange gewinnbringend vertreiben zu können.

MWI nutzt Schwächen in Microsoft Word aus

Mit MWI können Angreifer ohne großen Aufwand infizierte RTF-Dateien erstellen, die dann wiederum Sicherheitslücken in Microsoft Word ausnutzen, um Schadcode ans Ziel zu bringen. Dabei können sie wählen, ob sie den Schadcode direkt in das Dokument integrieren oder von einer Webressource nachladen wollen. Der MWI-Entwickler stellt außerdem ein Tool mit dem Namen MWISTAT zur Verfügung, das die Kommunikation mit einem Command-and-Control-Server ermöglicht.

Am Anfang einer infizierten Datei speichert MWI den verschlüsselten Payload, also den eigentlichen Schadcode - erst danach folgen verschiedene Word-Exploits, um den Schadcode auch ans Ziel zu bringen. Durch den Aufruf einer infizierten Datei wird der Payload in den Speicher geladen und der Office-Shellcode wird aktiv. Dieser sucht im Speicher nach bestimmten Markern, um den Schadcode zu finden - diese Technik wird als Memory-Egg-Hunting bezeichnet - und ihn dann schließlich auszuführen.

Mehr kriminelle Banden nutzen Malware-Kits

MWI wurde laut dem Sophos-Bericht in der Vergangenheit genutzt, um Malware verschiedener Art zu verteilen. Unter den untersuchten Beispielen war viel bekannter Schadcode wie der Bankentrojaner Zeus/Zbot oder das Erpresservirus Cryptowall. Dieses verschlüsselt die Festplatte seiner Opfer und gibt sie erst gegen Zahlung eines Lösegeldes wieder frei.

Diese Art von Malware wird häufig von Straftätern eingesetzt, um an Kreditkartendaten oder andere vertrauliche Informationen zu kommen - und zu Geld zu machen. Laut den Autoren des Berichts zeichnet sich in der Verwendung von Office-Malware-Kits ein neuer Trend ab: Wurden diese in der Vergangenheit vor allem für Angriffe auf Geheimdienstniveau genutzt, so nutzen heute immer mehr kriminelle diese Werkzeuge. Das dürfte auch den Entwickler in seiner Entscheidung bestärkt haben, sein Produkt mit allgemeinen Nutzungsbedingungen zu versehen - offensichtlich nur mit begrenztem Erfolg.


eye home zur Startseite
SJ 04. Sep 2015

Ich habe lokal einen Server, da habe ich ein Script am laufen, wo ich ein Alias ohne...

TrollNo1 04. Sep 2015

Der hat ganz bestimmt in Moskau vor dem Kreml sein Interview gegebn und in die...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum Unna
  2. über Duerenhoff GmbH, Bayreuth
  3. Voith Global Business Services EMEA GmbH, Ulm
  4. GILDEMEISTER Beteiligungen GmbH, Bielefeld


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. täglich neue Deals

Folgen Sie uns
       


  1. Nintendo Labo

    Switch plus Pappe

  2. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  3. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  4. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  5. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  6. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  7. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  8. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  9. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  10. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild
  3. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Ich hab das gesamte PDF nach "versprochen...

    M.P. | 07:14

  2. Re: Trotz gesteigerter Qualität fehlen mir noch...

    Elektro Erhan | 07:01

  3. Re: Dolchstosslegende

    24g0L | 06:55

  4. Re: Backups sind nie ganz aktuell

    Bendix | 06:54

  5. Re: Falsch

    M.P. | 06:47


  1. 00:02

  2. 19:25

  3. 19:18

  4. 18:34

  5. 17:20

  6. 15:46

  7. 15:30

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel