mboost-dp1

Flickr - HJ Barraza

Malware målrettet regeringer opdaget

- Via Guardian - , redigeret af Pernicious

Kaspersky Lab har opdaget en malware, de har givet navnet MiniDuke, som har til formål at stjæle informationer fra flere regeringer i mindst 20 lande, blandt andet Portugal, Irland og Belgien.

MiniDuke udnytter en sikkerhedsfejl i Adobes PDF-viser Adobe Reader, og spreder sig gennem en PDF-fil vedhæftet e-mails. Vedhæftelserne har været meget gennemførte, og har været specifikt udformet, sådan at de var relevante for e-mailens modtager. Blandt andet har de efterlignet dokumenter omhandlende NATO-medlemskaber og dokumenter med informationer om Ukraines udenrigspolitik.

Kaspersky beskriver MiniDuke som “gammeldags”, i og med at malwaren minder om noget fra lige omkring årtusindskiftet. Den er skrevet i Assembler, og fylder kun 20 kilobytes. På tidspunktet omkring årtusindskiftet blev Assembler ofte brugt i malware.

Eugene Kaspersky, Kaspersky Lab skrev:
The combination of experienced old school malware writers using newly discovered exploits and clever social engineering to compromise high profile targets is extremely dangerous.

Ifølge Kaspersky er der ingen spor i MiniDuke, som kan fortælle, hvem der står bag malwaren, men servere i Panama, Frankrig, Schweitz, Tyskland og USA er alle blevet brugt til at sprede koden.





Gå til bund
Gravatar #1 - gramps
1. mar. 2013 14:27
20 kilobytes Assembler. Der er nogen der har fokus og et mål.
Gravatar #2 - stekkurms
1. mar. 2013 23:08
Jeg mener ikke at "old school" og "gammeldags" betyder det samme. Jeg synes i hvert fald at "old school" lyder mere positivt.
Gravatar #3 - Chewy
2. mar. 2013 03:40
Burde det at den er "old school", ikke betyde at den hurtigere bliver opdaget?
Gravatar #4 - stekkurms
2. mar. 2013 21:59
Chewy (3) skrev:
Burde det at den er "old school", ikke betyde at den hurtigere bliver opdaget?
Det dækker vist ikke over andet end blot at den er skrevet i assembler.

En manuel inspektion af koden kan nok afsløre om den er skrevet i assembler eller et højniveau sprog. En automatisk analyse vil have lidt sværere ved at skelne. Og efterhånden som compilere bliver bedre til at optimere kode, så bliver det sværere at genkende outputet fra compileren.

Selv hvis man helt automatisk kan identificere hvilket sprog kode er skrevet i, så siger det nok ikke ret meget om hvorvidt det er malware. Vil man vide om et stykke kode er malware, så er det interessant hvad koden gør, ikke hvad sprog den er skrevet i.

I sidste ende er alle analyser af denne type ækvivalente med halting problemet og dermed uløselige. Det bedste man kan gøre er at lave en approksimation.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login