Avira Anwender sind vor der Malware „MiniDuke“ geschützt

Sie haben bestimmt schon von der neuen Malware gehört, die gerade die Zero-Day-Schwachstelle in der PDF-Software von Adobe ausnutzt.

Dieses Schadprogramm namens “MiniDuke” entwickelt sich allmählich zum Alptraum eines jeden Unternehmens:

  • Es ist polymorph; das heißt, es gibt unzählige Varianten des Schädlings.
  • Es nutzt die Sicherheitslücke einer sehr beliebten Software aus: Adobe Reader.
  • Das Programm startet erst nach dem Hochfahren des Betriebssystems und kann daher nicht eindeutig mit einer Handlung des Nutzers vor der Infektion in Verbindung gebracht werden.
  • Die Malware kopiert sich selbst mehrmals auf den PC und erschwert somit den Säuberungsprozess.
  • „MiniDuke“ verbindet sich mit einer Vielzahl von Command & Control (C&C)-Servern auf der ganzen Welt und kann deshalb nicht einfach aufgehalten werden, indem man ein paar dieser Server herunterfährt.
  • Die Malware kann mittels einer einfachen Google-Suche andere C&C-Server finden.
  • Außerdem werden über Twitter verschlüsselte URLs an weitere C&C-Server übermittelt.
  • Mittels GIF-Bilddateien tarnt sich eine ausführbare Datei, und weitere Hintertüren werden geöffnet. Darüber erhalten die Hacker Zugriff, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen.

exploit_code

Alle Avira Anwender sind vor der MiniDuke-Malware geschützt. Die Schaddateien werden klassifiziert als:

– EXP/MiniDukeGif.A

– EXP/MiniDuke.A

– TR/MiniDuke.A

Wir haben Komponenten des MiniDukes in anderer Malware von 2010 erkannt. Aufgrund der hohen Komplexität dauert die Analyse an – ein Update wird hier veröffentlicht.

Da eine große Vielzahl an Exploits vorliegt, arbeiten wir gerade an einer generischen Erkennung für die PDF- und GIF-Dateien.

 

Sorin Mustaca

IT Sicherheitsexperte

via Avira – TechBlog http://techblog.avira.com/2013/02/28/avira-anwender-sind-vor-der-malware-miniduke-geschutzt/en/

One thought on “Avira Anwender sind vor der Malware „MiniDuke“ geschützt

Comments are closed.