Es nutzt die Sicherheitslücke einer sehr beliebten Software aus: Adobe Reader.
Das Programm startet erst nach dem Hochfahren des Betriebssystems und kann daher nicht eindeutig mit einer Handlung des Nutzers vor der Infektion in Verbindung gebracht werden.
Die Malware kopiert sich selbst mehrmals auf den PC und erschwert somit den Säuberungsprozess.
„MiniDuke“ verbindet sich mit einer Vielzahl von Command & Control (C&C)-Servern auf der ganzen Welt und kann deshalb nicht einfach aufgehalten werden, indem man ein paar dieser Server herunterfährt.
Die Malware kann mittels einer einfachen Google-Suche andere C&C-Server finden.
Außerdem werden über Twitter verschlüsselte URLs an weitere C&C-Server übermittelt.
Mittels GIF-Bilddateien tarnt sich eine ausführbare Datei, und weitere Hintertüren werden geöffnet. Darüber erhalten die Hacker Zugriff, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen.
Alle Avira Anwender sind vor der MiniDuke-Malware geschützt. Die Schaddateien werden klassifiziert als:
- EXP/MiniDukeGif.A
- EXP/MiniDuke.A
- TR/MiniDuke.A
Wir haben ein Engineupdate veröffentlicht, dass die Malware generisch als “TR/Crypt.XPack.gen” und “TR/Dropper.gen” erkennt.