Avira Anwender sind vor der Malware „MiniDuke“ geschützt (Aktualisiert)

Sie haben bestimmt schon von der neuen Malware gehört, die gerade die Zero-Day-Schwachstelle in der PDF-Software von Adobe ausnutzt.

Dieses Schadprogramm namens “MiniDuke” entwickelt sich allmählich zum Alptraum eines jeden Unternehmens:

  • Es ist polymorph; das heißt, es gibt unzählige Varianten des Schädlings.
  • Es nutzt die Sicherheitslücke einer sehr beliebten Software aus: Adobe Reader.
  • Das Programm startet erst nach dem Hochfahren des Betriebssystems und kann daher nicht eindeutig mit einer Handlung des Nutzers vor der Infektion in Verbindung gebracht werden.
  • Die Malware kopiert sich selbst mehrmals auf den PC und erschwert somit den Säuberungsprozess.
  • „MiniDuke“ verbindet sich mit einer Vielzahl von Command & Control (C&C)-Servern auf der ganzen Welt und kann deshalb nicht einfach aufgehalten werden, indem man ein paar dieser Server herunterfährt.
  • Die Malware kann mittels einer einfachen Google-Suche andere C&C-Server finden.
  • Außerdem werden über Twitter verschlüsselte URLs an weitere C&C-Server übermittelt.
  • Mittels GIF-Bilddateien tarnt sich eine ausführbare Datei, und weitere Hintertüren werden geöffnet. Darüber erhalten die Hacker Zugriff, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen.

exploit_code

Alle Avira Anwender sind vor der MiniDuke-Malware geschützt. Die Schaddateien werden klassifiziert als:

- EXP/MiniDukeGif.A

- EXP/MiniDuke.A

- TR/MiniDuke.A

Wir haben Komponenten des MiniDukes in anderer Malware von 2010 erkannt. Aufgrund der hohen Komplexität dauert die Analyse an – ein Update wird hier veröffentlicht.

Da eine große Vielzahl an Exploits vorliegt, arbeiten wir gerade an einer generischen Erkennung für die PDF- und GIF-Dateien.

Aktualisierung:

Wir haben ein Engineupdate veröffentlicht, dass die Malware generisch als “TR/Crypt.XPack.gen” und “TR/Dropper.gen” erkennt.

Sorin Mustaca

IT Sicherheitsexperte