Windows Defender stoppt rasend schnell verbreitete Mining-Malware

Bitcoin, Währung, Kryptowährung, Ethereum, virtuelle Währung, Ripple Bildquelle: CC0
Microsoft hat nach eigenen Angaben vor einigen Tagen einen groß angelegten Malware-Ausbruch stoppen können. Innerhalb weniger Stunden breitete sich am 6. März ein Trojaner aus, mit dem versucht wurde, hunderttausende Rechner ohne Wissen der Nutzer für Krypto-Mining zu missbrauchen. Wie Microsofts Sicherheitsabteilung mitteilte, meldeten am 6. März 2018 zunächst rund 80.000 Installationen von Windows Defender, dass sie eine Reihe verschiedener Trojaner mit einer Krypto-Mining-Payload entdeckt hatten. Innerhalb von rund 12 Stunden stieg die Zahl der infizierten Systeme, auf denen Windows Defender die Malware erkannte, rapide an und lag letztlich bei über 400.000 Instanzen. Windows Defender wehrt Dofoil-Attacke abGeographische Verbreitung der Dofoil-Infektion Der Großteil der betroffenen Systeme stammte aus Russland, es gab aber auch diverse Fälle in der Türkei und der Ukraine. Konkret bedienten sich die Angreifer, die den als "Dofoil" oder auch "Smoke Loader" bezeichneten Trojaner in verschiedenen Varianten einsetzten, einer als "Process Hollowing" bezeichneten Technik. Dabei wurde versucht eine neue Instanz der eigentlich ungefährlichen Explorer.exe anzulegen, deren Code durch Malware ersetzt wurde. Windows Defender wehrt Dofoil-Attacke abAuffälliger Netzwerk-Verkehr machte Windows Defender auf die Malware aufmerksam Die "ausgehöhlte" Explorer.exe wird dann in einer zweiten, gefährlichen Instanz gestartet und lädt eine als legitime Software getarnte Malware nach, die dann ausgeführt wird. In diesem Fall war die Malware als WUAUCLT.exe getarnt, benutzte also den gleichen Dateinamen wie der Windows Update Auto-Update Client. Um diesen Vorgang vor der Antivirus-Software und den Blicken des Nutzers zu schützen, wird außerdem in die Registrierungsdatenbank von Windows eingegriffen.

Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.

So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.

Download Microsoft Security Essentials - Kostenlose Antivirus-Software Bitcoin, Währung, Kryptowährung, Ethereum, virtuelle Währung, Ripple Bitcoin, Währung, Kryptowährung, Ethereum, virtuelle Währung, Ripple CC0
Diese Nachricht empfehlen
Kommentieren17
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 12:15 Uhr Bluetooth Kopfhörer New Bee 70-Stunden-Spielzeit kabelloser Kopfhörer mit Mikrofon Siri Sprachsteuerung Hi-Fi Stereo Tiefbass für die Reise Arbeit TV Computer iPhoneBluetooth Kopfhörer New Bee 70-Stunden-Spielzeit kabelloser Kopfhörer mit Mikrofon Siri Sprachsteuerung Hi-Fi Stereo Tiefbass für die Reise Arbeit TV Computer iPhone
Original Amazon-Preis
39,99
Im Preisvergleich ab
34,99
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Im WinFuture Preisvergleich

Tipp einsenden