Windows Defender stoppt rasend schnell verbreitete Mining-Malware
Microsofts Sicherheitsabteilung mitteilte, meldeten am 6. März 2018 zunächst rund 80.000 Installationen von Windows Defender, dass sie eine Reihe verschiedener Trojaner mit einer Krypto-Mining-Payload entdeckt hatten. Innerhalb von rund 12 Stunden stieg die Zahl der infizierten Systeme, auf denen Windows Defender die Malware erkannte, rapide an und lag letztlich bei über 400.000 Instanzen.
Geographische Verbreitung der Dofoil-Infektion
Der Großteil der betroffenen Systeme stammte aus Russland, es gab aber auch diverse Fälle in der Türkei und der Ukraine. Konkret bedienten sich die Angreifer, die den als "Dofoil" oder auch "Smoke Loader" bezeichneten Trojaner in verschiedenen Varianten einsetzten, einer als "Process Hollowing" bezeichneten Technik. Dabei wurde versucht eine neue Instanz der eigentlich ungefährlichen Explorer.exe anzulegen, deren Code durch Malware ersetzt wurde.
Auffälliger Netzwerk-Verkehr machte Windows Defender auf die Malware aufmerksam
Die "ausgehöhlte" Explorer.exe wird dann in einer zweiten, gefährlichen Instanz gestartet und lädt eine als legitime Software getarnte Malware nach, die dann ausgeführt wird. In diesem Fall war die Malware als WUAUCLT.exe getarnt, benutzte also den gleichen Dateinamen wie der Windows Update Auto-Update Client. Um diesen Vorgang vor der Antivirus-Software und den Blicken des Nutzers zu schützen, wird außerdem in die Registrierungsdatenbank von Windows eingegriffen.
Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.
So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.
Download Microsoft Security Essentials - Kostenlose Antivirus-Software
Wie Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.
So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.
Download Microsoft Security Essentials - Kostenlose Antivirus-Software
Thema:
Neue Downloads zum Thema
Neue Microsoft Defender-Bilder
Videos zum Thema
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
- Geht immer noch: So kann sich Malware per E-Mail einschleichen
- Windows 10: Manuelle Konfiguration vom Defender ausgebremst
- LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Nach Displays auch noch iPadOS: Apple verstolpert den iPad Pro-Start
- BitTorrent erstmals nicht mehr größte Quelle für Upload-Traffic
- Microsoft Surface: Saturn verkauft Laptops und 2-in-1s zum Sparpreis
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
- Bestpreis-Tarif: Allnet-Flat mit 25 GB im Telekom-Netz für 9,99 Euro
- Blackwell B200: Nvidia will seinen bisherigen Super-Chip noch toppen
- Microsoft Teams: Neue Funktionen für Nutzer, Admins und Entwickler
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen