Hardware & Software Azov-Malware zerstört Dateien in 666-Byte-Schritten

Nachdem die Malware Azov Windows-PCs befallen hat, gibt sie sich in einer auf Computer platzierten Botschaft als Ransomware aus. Derartige Trojaner verschlüsseln Dateien und fordern Lösegeld. Doch Sicherheitsforscher fanden schnell heraus, dass das nur heiße Luft ist und Azov als Wiper Dateien zerstört.

Stichelei gegen Sicherheitsforscher​

, soll Azov derzeit in großem Umfang weltweit verbreitet werden. Im Visier der Angreifer befinden sich Windows-Computer. Der Schädling soll auf Websites mit Software-Cracks und raubkopierter Software lauern.
In der Botschaft stehen zwar Kontaktadressen zur Wiederherstellung von Dateien, doch dahinter verbergen sich Sicherheitsforscher, die mit der Malware nichts zu tun haben. Offensichtlich wollen Kriminellen hinter Azov die Forscher aufziehen.

Analysiert​

Nun hat ein Sicherheitsforscher von Checkpoint den Trojaner näher untersucht. Azov soll sich bis 27. Oktober auf Computern versteckt haben. Erst dann soll der Schädling sein Schadenswerk gestartet haben. Dabei soll er effektiv und schnell vorgehen. Mit seiner Multi-Threaded-Arbeitsweise soll er im Loop alle 666 Bytes einer Datei mit Datenmüll überschreiben. Am Ende seien Dateien unwiederbringlich zerstört.



Check Point Research
We took a look at — a new destructive data wiper: - Manually crafted in Assembly using FASM - Multi-threaded intermittent overwriting (looping 666 bytes) of original data content - Effective, fast, and unfortunately unrecoverable data wiper


Außerdem infiziert der Trojaner dem Forscher zufolge einige Exe-Dateien unter Windows, sodass ein Starten einer eigentlich harmlosen Anwendung den Wiper aktiviert.

Wer hinter der Kampagne steckt und was er bezwecken will, ist bislang unbekannt. In der Botschaft ist die Rede davon, dass der Westen der Ukraine im Krieg nicht genug hilft. Der Schädling ist nach dem ukrainischen Regiment benannt. Die Zusammenhänge bleiben aber unklar.
Quelle: heise