Windows Defender stoppt rasend schnell verbreitete Mining-Malware
Microsoft hat nach eigenen Angaben vor einigen Tagen einen groß angelegten Malware-Ausbruch stoppen können. Innerhalb weniger Stunden breitete sich am 6. März ein Trojaner aus, mit dem versucht wurde, hunderttausende Rechner ohne Wissen der Nutzer für Krypto-Mining zu missbrauchen.
Wie Microsofts Sicherheitsabteilung mitteilte, meldeten am 6. März 2018 zunächst rund 80.000 Installationen von Windows Defender, dass sie eine Reihe verschiedener Trojaner mit einer Krypto-Mining-Payload entdeckt hatten. Innerhalb von rund 12 Stunden stieg die Zahl der infizierten Systeme, auf denen Windows Defender die Malware erkannte, rapide an und lag letztlich bei über 400.000 Instanzen.
Geographische Verbreitung der Dofoil-Infektion
Der Großteil der betroffenen Systeme stammte aus Russland, es gab aber auch diverse Fälle in der Türkei und der Ukraine. Konkret bedienten sich die Angreifer, die den als "Dofoil" oder auch "Smoke Loader" bezeichneten Trojaner in verschiedenen Varianten einsetzten, einer als "Process Hollowing" bezeichneten Technik. Dabei wurde versucht eine neue Instanz der eigentlich ungefährlichen Explorer.exe anzulegen, deren Code durch Malware ersetzt wurde.
Auffälliger Netzwerk-Verkehr machte Windows Defender auf die Malware aufmerksam
Die "ausgehöhlte" Explorer.exe wird dann in einer zweiten, gefährlichen Instanz gestartet und lädt eine als legitime Software getarnte Malware nach, die dann ausgeführt wird. In diesem Fall war die Malware als WUAUCLT.exe getarnt, benutzte also den gleichen Dateinamen wie der Windows Update Auto-Update Client. Um diesen Vorgang vor der Antivirus-Software und den Blicken des Nutzers zu schützen, wird außerdem in die Registrierungsdatenbank von Windows eingegriffen.
Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.
So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.
Download Microsoft Security Essentials - Kostenlose Antivirus-Software
Geographische Verbreitung der Dofoil-Infektion
Der Großteil der betroffenen Systeme stammte aus Russland, es gab aber auch diverse Fälle in der Türkei und der Ukraine. Konkret bedienten sich die Angreifer, die den als "Dofoil" oder auch "Smoke Loader" bezeichneten Trojaner in verschiedenen Varianten einsetzten, einer als "Process Hollowing" bezeichneten Technik. Dabei wurde versucht eine neue Instanz der eigentlich ungefährlichen Explorer.exe anzulegen, deren Code durch Malware ersetzt wurde.
Auffälliger Netzwerk-Verkehr machte Windows Defender auf die Malware aufmerksam
Die "ausgehöhlte" Explorer.exe wird dann in einer zweiten, gefährlichen Instanz gestartet und lädt eine als legitime Software getarnte Malware nach, die dann ausgeführt wird. In diesem Fall war die Malware als WUAUCLT.exe getarnt, benutzte also den gleichen Dateinamen wie der Windows Update Auto-Update Client. Um diesen Vorgang vor der Antivirus-Software und den Blicken des Nutzers zu schützen, wird außerdem in die Registrierungsdatenbank von Windows eingegriffen.
Microsoft gelang die frühe Erkennung der breit angelegten Malware-Attacke vor allem deshalb, weil das Unternehmen mit Cloud-basiertem Machine-Learning arbeitet. Mithilfe der Metadaten-Analyse und der Machine-Learning-Modelle auf seinen Servern wurden die ersten Infektionen angeblich "innerhalb von Millisekunden" erkannt. Dabei gab es auch eine Reihe von offensichtlichen Anzeichen, die Microsofts Antivirus-Plattform erkannte.
So nutzte die Malware zwar den Namen einer echten Windows-Binärdatei, führte diese aber von der falschen Stelle aus. Auch die Ausführung über die Kommandozeile sei ungewöhnlich, wenn man einen Vergleich mit der echten Datei vollziehe. Außerdem sei die Datenübertragung durch die genannte Datei über das Netzwerk auffällig gewesen, so der Softwarekonzern.
Download Microsoft Security Essentials - Kostenlose Antivirus-Software
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Neues Outlook: Diese 15 Features sollen User vom Umstieg überzeugen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- ChatGPT: OpenAI verbessert Sicherheit für Nutzer mit Lockdown-Modus
- 30 Mrd. Dollar für Elon Musk: Google mietet Rechenleistung bei SpaceX
- Nur für 2 Tage: Media Markt und Saturn schenken euch die MwSt.
- One UI 9: Neue Galaxy-Oberfläche womöglich früher fertig als gedacht
- Chrome: Google schraubt an Engine - Nutzer surfen so schnell wie nie
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen