Malware «Mozart» spielt DNS-Versteckis
Mehrstufige Installation
Verteilt wird Mozart durch PDF-Anhänge in Mails. In diesen findet sich ein Zip-File, welches wiederum ein Javascript enthält. Letzteres installiert eine auszuführende Datei auf dem Computer, die dann auch aktiviert wird. Das Programm installiert sodann die Datei «mozart.txt» und führt Vorbereitungen für die Einrichtung der eigentlichen Backdoor aus. Eine entsprechende ausführende Datei wird sodann mit einem zufälligen Namen erstellt und startet künftig jedes Mal, wenn der Opfer-Rechner gestartet wird.
Danach lassen sich offenbar Text-Befehle via DNS an Mozart schicken. Die Malware sendet dann korrespondierende Befehle aus. Allerdings ist es Kremez bislang offenbar nicht gelungen, einen Befehl zu schicken, auf den die Kommandozentrale der Angreifer reagiert hätte. Der Researcher geht daher davon aus, dass die Hacker noch daran seien, ein entsprechendes Botnet aufzubauen.