Abo
  • Services:
Anzeige
Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Office Malware: AGB gegen Spammer

Mit MWI lassen sich Viren über Office-Dokumente verbreiten.
Mit MWI lassen sich Viren über Office-Dokumente verbreiten. (Bild: Jim Urquhart/Reuters)

Ein russischer Entwickler möchte nicht, dass seine Office Malware MWI von Spammern verwendet wird. Doch seine allgemeinen Geschäftsbedingungen zeigen nur begrenzt Wirkung. Ein kurioser Blick in den Malware-Markt.

Anzeige

Der russische Virenentwickler Objekt hat sein Office-Malware-Kit MWI (Microsoft Word Intruder) mit allgemeinen Geschäftsbedingungen versehen, die den Einsatz der Software für Spamangriffe verbieten. Dafür, so der Hersteller, habe er andere Werkzeuge im Angebot. Das Paket, das Objekt zum Preis von 140 US-Dollar anbietet, solle nur für gezielte Angriffe eingesetzt werden.

Gabor Szappanos, der die Malware im Auftrag von Sophos untersucht hat, vermutet dahinter vor allem ökonomische Motive. Nachdem die Malware 2013 erstmals entdeckt wurde, sei die Aufmerksamkeit zu groß geworden. Mit dem Aufruf, das Programm nur für gezielte Angriffe zu verwenden, habe der Entwickler versuchen wollen, "unter dem Radar (von Antivirenprogrammen) zu fliegen", um die Software möglichst lange gewinnbringend vertreiben zu können.

MWI nutzt Schwächen in Microsoft Word aus

Mit MWI können Angreifer ohne großen Aufwand infizierte RTF-Dateien erstellen, die dann wiederum Sicherheitslücken in Microsoft Word ausnutzen, um Schadcode ans Ziel zu bringen. Dabei können sie wählen, ob sie den Schadcode direkt in das Dokument integrieren oder von einer Webressource nachladen wollen. Der MWI-Entwickler stellt außerdem ein Tool mit dem Namen MWISTAT zur Verfügung, das die Kommunikation mit einem Command-and-Control-Server ermöglicht.

Am Anfang einer infizierten Datei speichert MWI den verschlüsselten Payload, also den eigentlichen Schadcode - erst danach folgen verschiedene Word-Exploits, um den Schadcode auch ans Ziel zu bringen. Durch den Aufruf einer infizierten Datei wird der Payload in den Speicher geladen und der Office-Shellcode wird aktiv. Dieser sucht im Speicher nach bestimmten Markern, um den Schadcode zu finden - diese Technik wird als Memory-Egg-Hunting bezeichnet - und ihn dann schließlich auszuführen.

Mehr kriminelle Banden nutzen Malware-Kits

MWI wurde laut dem Sophos-Bericht in der Vergangenheit genutzt, um Malware verschiedener Art zu verteilen. Unter den untersuchten Beispielen war viel bekannter Schadcode wie der Bankentrojaner Zeus/Zbot oder das Erpresservirus Cryptowall. Dieses verschlüsselt die Festplatte seiner Opfer und gibt sie erst gegen Zahlung eines Lösegeldes wieder frei.

Diese Art von Malware wird häufig von Straftätern eingesetzt, um an Kreditkartendaten oder andere vertrauliche Informationen zu kommen - und zu Geld zu machen. Laut den Autoren des Berichts zeichnet sich in der Verwendung von Office-Malware-Kits ein neuer Trend ab: Wurden diese in der Vergangenheit vor allem für Angriffe auf Geheimdienstniveau genutzt, so nutzen heute immer mehr kriminelle diese Werkzeuge. Das dürfte auch den Entwickler in seiner Entscheidung bestärkt haben, sein Produkt mit allgemeinen Nutzungsbedingungen zu versehen - offensichtlich nur mit begrenztem Erfolg.


eye home zur Startseite
SJ 04. Sep 2015

Ich habe lokal einen Server, da habe ich ein Script am laufen, wo ich ein Alias ohne...

TrollNo1 04. Sep 2015

Der hat ganz bestimmt in Moskau vor dem Kreml sein Interview gegebn und in die...



Anzeige

Stellenmarkt
  1. Warner Music Group Germany Holding GmbH, Hamburg
  2. Ratbacher GmbH, Hamburg
  3. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  4. ROHDE & SCHWARZ SIT GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. auf Kameras und Objektive

Folgen Sie uns
       


  1. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  2. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  3. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  4. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  5. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  6. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  7. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  8. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  9. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  10. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Tastatur für Entwickler / Programmierer...

    Teebecher | 07:37

  2. Re: Schwachsinn: 2x 4K-Monitore nur mit extra...

    msdong71 | 07:37

  3. Re: Was mich grundsätzlich bei WaKü stört...

    ChoMar | 07:22

  4. Re: 700$ - Ich hätte da eine bessere Lösung...

    forenuser | 07:11

  5. Re: Alternativen?

    herrwusel | 07:10


  1. 07:16

  2. 07:08

  3. 18:10

  4. 10:10

  5. 09:59

  6. 09:00

  7. 18:58

  8. 18:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel