Windows-Trojaner nutzt NSA-Hintertür um verdeckt Kryptowährungen zu schürfen

Sicherheitsforscher der russischen Firma Dr. Web haben einen Trojaner entdeckt, der Windows-Rechner über die NSA-Backdoor DOUBLEPULSAR infiziert und diese dann dazu einspannt, die Kryptowährung Monero (XMR) zu schürfen. Das erinnert stark an einen vor kurzem aufgetauchten Linux-Trojaner, der ähnliches mit File-Servern veranstaltet. Betroffen sind Windows-Systeme, die SMB1 aktiviert haben – bisher ist das ein Großteil der Installationen – und die den von Microsoft verteilten Patch zum Abdichten der Lücke nicht installiert haben.

Haben die Angreifer es geschafft, einen Rechner über die NSA-Hintertür zu übernehmen, prüfen sie als erstes, wie viele CPU-Threads zur Verfügung stehen. Hat der Rechner genug Ressourcen, installieren sie einen Trojaner, der zum verdeckten Schürfen von Kryptowährungen entwickelt wurde. Momentan wird bei solchen Angriffen oft Monero geschürft, da sich bei dieser Währung das CPU-Mining noch einigermaßen lohnt. Der Trojaner funktioniert auf 32- und 64-Bit-Versionen von Windows.

Um sich zu schützen sollte man als erstes einmal alle Windows-Updates so früh wie möglich installieren. Auch das Abschalten von SMB1 kann nicht schaden, außer man hat wirklich noch Anwendungen, die diese spezifische Version des Dateiaustauschprotokolls benötigen. Wie man SMB1 in Windows permanent abklemmt, erklärte Microsoft wegen der WannaCry-Gefahr vor kurzem erst in einem Blogbeitrag. (fab)