Windows Defender stoppt rasend schnell verbreitete Mining-Malware

Microsoft hat nach eigenen Angaben vor einigen Tagen einen groß angelegten Malware-Ausbruch stoppen können. Innerhalb weniger Stunden breitete sich am 6. März ein Trojaner aus, mit dem versucht wurde, hunderttausende Rechner ohne Wissen der Nutzer für Krypto-Mining zu missbrauchen.
Bitcoin, Kryptowährung, Währung, Ethereum, virtuelle Währung, Ripple
CC0
Wie Microsofts Sicherheitsabteilung mitteilte, meldeten am 6. März 2018 zunächst rund 80.000 Installationen von Windows Defender, dass sie eine Reihe verschiedener Trojaner mit einer Krypto-Mining-Payload entdeckt hatten. Innerhalb von rund 12 Stunden stieg die Zahl der infizierten Systeme, auf denen Windows Defender die Malware erkannte, rapide an und lag letztlich bei über 400.000 Instanzen. Windows Defender wehrt Dofoil-Attacke abGeographische Verbreitung der Dofoil-Infektion Der Großteil der betroffenen Systeme stammte aus Russland, es gab aber auch diverse Fälle in der Türkei und der Ukraine. Konkret bedienten sich die Angreifer, die den als "Dofoil" oder auch "Smoke Loader" bezeichneten Trojaner in verschiedenen Varianten einsetzten, einer als "Process Hollowing" bezeichneten Technik. Dabei wurde versucht eine neue Instanz der eigentlich ungefährlichen Explorer.exe anzulegen, deren Code durch Malware ersetzt wurde. Windows Defender wehrt Dofoil-Attacke abAuffälliger Netzwerk-Verkehr machte Windows Defender auf die Malware aufmerksam Die "ausgehöhlte" Explorer.exe wird dann in einer zweiten, gefährlichen Instanz gestartet und lädt eine als legitime Software getarnte Malware nach, die dann ausgeführt wird. In diesem Fall war die Malware als WUAUCLT.exe getarnt, benutzte also den gleichen Dateinamen wie der Windows Update Auto-Update Client. Um diesen Vorgang vor der Antivirus-Software und den Blicken des Nutzers zu schützen, wird außerdem in die Registrierungsdatenbank von Windows eingegriffen.

Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.

So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.

Download Microsoft Security Essentials - Kostenlose Antivirus-Software
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!