Hanau, 3. Juni 2013

Der IT-Sicherheitsspezialist Doctor Web entdeckte Anfang Mai einen Trojaner, der im Browserfenster Webseiten unterschob. Ein anderer Trojaner, der auch in diesem Monat aufgespürt wurde, griff Facebook-, Google Plus- und Twitter-Benutzer an. Ende Mai haben unsere Sicherheitsexperten einen weiteren Verwaltungsserver des Rmnet-Botnets entdeckt, durch den zwei neue Komponenten des Rment-Virus verbreitet wurden. Darüber hinaus wurden weitere böswillige Programme (u.a. Spyware) für Android ausfindig gemacht.

Allgemeine Sicherheitslage

Den Statistiken von Dr.Web CureIt! zufolge führt Trojan.Hosts.6815 (2,53% von der Gesamtzahl infizierter PCs) das Malware-Ranking dieses Monats an. Ihm folgt Trojan.Mods.1, der Web-Inhalte unterschiebt. Im Laufe des Monats wurden durch Dr.Web CureIt! 15 830 Exemplare dieses Trojaners entdeckt. Die Zahl von Infizierungsfälle durch Trojan.Mayachok bleibt weiter hoch. BackDoor.IRC.NgrBot.42 sowie weitere Varianten von Trojan.Redirect sind ziemlich oft anzutreffen. Nachfolgend finden Sie die Top 20 Malware für den Monat Mai.

Botnets

Die Sicherheitsspezialisten von Doctor Web haben vor kurzem zwei Subnets des Rment-Botnets, das auf Win32.Rmnet.12 basiert, unter Kontrolle gebracht. Im Mai 2013 lag die Zahl aktiver Bots im ersten Subnet bei 619 346, im zweiten – bei 459 524. In den letzten Tagen sind weitere 116 617 infizierte PCs dazugekommen, im zweiten Subnet — 143 554. Nachfolgend können Sie die Wachstumsdynamik des Botnets vom 19. bis zum 29. Mai verfolgen:

Anfang April wurde von unseren Sicherheitsexperten ein Verwaltungsserver von BackDoor.Bulknet.739 entdeckt. Dieser Trojaner ist für den Massenversand von Spam-Mails konzipiert und ist in Italien, Frankreich, der Türkei, den USA, Mexiko und Thailand am meisten verbreitet. Die Wachstumsdynamik des Bots können Sie der Graphik unten entnehmen.

Ende Mai wurde ein weiterer Verwaltungsserver des Botnets Rmnet entdeckt. In diesem Subnet wurden böswillige Programmmodule verbreitet, die später in die Virendatenbank von Doctor Web als Komponenten von Trojan.Rmnet.19 eingetragen wurde. Eine von ihnen soll nach virtuellen Betriebssystemen suchen. Und die andere soll Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender und AVG deaktivieren. Dafür emuliert das Modul Aktionen eines Benutzers. Die Wachstumsdynamik dieses Botnets können Sie nachfolgend beobachten.

Detaillierte Informationen zu dieser böswilligen Software finden Sie hier.

Das Botnet BackDoor.Dande bleibt weiter am Leben und infiziert PCs von Apotheken und Pharmaunternehmen, wo Software für die Bestellung von Pharmaprodukten installiert ist. Der Trojaner soll vor allem Daten aus diesen Anwendungen entwenden. Es gibt zur Zeit 331 im ersten Subnet und 1291 im zweiten Subnet durch BackDoor.Dande infizierte PCs.

Das Botnet BackDoor.Flashback.39 , das Apple-kompatible PCs eingebunden hat, existiert bis heute noch und besteht zur Zeit aus 65 987 infizierte Macs.

Die Sicherheitsexperten von Doctor Web konnten vor kurzem durch die sinkhole-Methode einen weiteren Verwaltungsserver von Linux.Sshdkit entdecken. Der Trojaner lädt die von angegriffenen Servern gestohlenen Benutzerdaten herunter und leitet diese weiter. Im Mai 2013 hat der Trojaner Benutzerdaten für 562 infizierte Linux-Server entwendet. Darunter sind auch Server großer Hostinganbieter.

Trojaner des Monats: Trojan.Facebook.311

Die Benutzer von sozialen Netzwerken gehören zu einer der beliebtesten Zielgruppen von Cyber-Kriminellen. Mitte Mai wurde die massive Verbreitung von Trojan.Facebook.311, der sich als Einstellungs-Plug-ins für Google Chrome und Mozilla Firefox maskiert, entdeckt. Diese Plug-ins wurden über eine spezielle Webseite verbreitet, über die alle Benutzer aufgefordert wurden, ein Sicherheits-Update herunterzuladen und zu installieren.

Nachdem der Trojaner Trojan.Facebook.311 installiert und gestartet wurde, versucht er, eine Konfigurationsdatei mit notwendigen Befehlen herunterzuladen. Nachdem sich das Opfer angemeldet hat, führt der Trojaner im Namen des Benutzers verschiedene Aktionen durch. Der Schädling bringt alle Funktionen mit, um nicht nur bei Facebook, sondern auch bei Twitter und Google Plus eingesetzt zu werden.

Angriffe gegen Skype-Benutzer

Am 23. Mai ging eine Spam-Well über Skype-Benutzer. Die Übeltäter verbreiteten Malware über den Skype-Chat. Die Meldungen mit einem böswilligen Link waren oft von Benutzern aus der Kontaktliste des Opfers. Nachdem man auf den vorgeschobenen Link geklickt hat, wurde man auf 4shared.com oder dropbox.com mit Trojan.Gapz.17 weitergeleitet. Anschließend sollte auf den infizierten PC Trojan.SkypeSpam.11 heruntergeladen werden. Dieser Trojaner verschickt Meldungen an Kontakte aus der Kontaktliste von Skype, Windows Messenger, QIP, Google Talk und Digsby.

Die Signatur für Trojan.SkypeSpam.11 wurde in die Dr.Web Virendatenbank am 22. Mai eingetragen.

Sicherheitsbedrohungen für Android

Im Monat Mai sind mehrere Exemplare von Spyware für Android aufgetaucht.

So ist z.B. Android.Pincer.2.origin, der Mitte Mai entdeckt wurde, ein gefährlicher Trojaner, der SMS-Nachrichten abfangen und Remote-Server weiterleiten soll. Der Autor von Android.Pincer.2.origin hat die Malware mit Funktionen ausgerüstet, die das Verfolgen von SMS von bestimmten Telefonnummern ermöglichen. Der durch das Sicherheitszertifikat verbreitete Schädling ist gefährlich, vor allem wenn es um das Online-Banking geht. Weitere Informationen zu diesem böswilligen Programm finden Sie hier.

Malware im E-Mail-Traffic

Malware auf PCs der Anwender

Hanau, 4. Februar 2013

Der erste Monat des Jahres 2013 brachte insgesamt keine Überraschungen mit sich. Zum Haupttrend des Monats Januar wurde die Verbreitung von Trojan.Mayachok sowie neuer Virenbedrohungen für Windows und Android.

Allgemeine Sicherheitslage

Im Januar 2013 trat der Trojaner Trojan.Mayachok.2 in den Vordergrund. Trojan.Mayachok.2 ist uns bereits seit dem Frühling 2011 bekannt und stellt ein VBR-Bootkit dar. Dieser Schädling infiziert VBR (Volume Boot Record) des NTFS-Dateisystems. Dabei ist Trojan.Mayachok.2 mit Treibern sowohl für 32-Bit- als auch 64-Bit-Versionen von Microsoft Windows ausgerüstet. Der digitale Schädling sperrt den Internetzugang des Opfers sperren und bietet ein Sicherheits-Update zum Herunterladen an. Dabei soll das Opfer seine Handynummer sowie den entsprechenden SMS-Code im angebotenen Formular eingeben und sich mit den Bedingungen der kostenpflichtigen Nutzung einverstanden erklären. Auf diese Weise soll vom Konto des Opfers ein bestimmter Betrag monatlich abgebucht werden.

Da der Schädling im Hauptspeicher des Rechners läuft, hilft die Neuinstallation der Browser, die Wiederherstellung des Betriebssystems und das Starten von Windows im geschützten Modus nicht weiter. Die effizienteste Lösung bietet nur das Tool Dr.Web CureIt!, mit dem der gefährliche Schädling entdeckt werden kann, und Dr.Web LiveCD. Eine detaillierte technische Analyse des Trojaners finden Sie hier.

Unter den aufgespürten Bedrohungen sind auch Trojan.Mayachok.18550, BackDoor.IRC.NgrBot.42 und Trojan.SMSSend, der als kostenpflichtiges Archiv getarnt ist, zu finden. Eine detaillierte Übersicht der mit Dr.Web CureIt! entdeckten Viren & Co. finden Sie in der nachfolgenden Tabelle:

Botnet BlackEnergy lebt wieder auf

Die Sicherheitsanalysten von Doctor Web haben im Januar eine neue Modifikation von BlackEnergy (BackDoor.BlackEnergy.36) entdeckt. Durch den Einsatz dieses Trojaners konnten die Übeltäter eines der weltweit größten Botnets für den Versand von Spam-Mails aufbauen.

Vor kurzem haben Übeltäter es noch einmal versucht, ein Botnet auf Basis von BackDoor.BlackEnergy.36 aufzubauen. Die neue und die vorangegangen Versionen des Trojaners unterscheiden sich hauptsächlich dadurch, dass die Konfigurationsdatei des Trojaners nun in einem separaten Sektor der dynamischen Bibliothek verschlüsselt gespeichert wird. Diese Bibliothek ist auch in einem der Sektoren des Trojaners enthalten. Beim Ausführen des Trojaners dringt sie in den Prozess svchost.exe oder explorer.exe ein. Darüber hinaus haben die Übeltäter das Netzprotokoll abgeändert, über das BackDoor.BlackEnergy.36 mit seinem Verwaltungsserver Daten austauscht. Nach dem Aufbau des neuen Botnets haben die Übeltäter eine Pause eingelegt. Kurz danach wurde ein beliebtes Unterhaltungsportal attackiert. Die Sicherheitsspezialisten von Doctor Web haben BackDoor.BlackEnergy.36 im Botnet BackDoor.Andromeda aufgespürt. Weitere Informationen zu dieser Bedrohungen finden Sie in diesem Artikel.

Virenbedrohungen für Android

Die große Beliebtheit von mobilen Endgeräten unter Android bewirkte ein großes Interesse der Übeltäter an persönlichen Daten der Benutzer auf diesen Endgeräten. Das im Jahre 2012 stark gewachsene Malware-Aufkommen wird sich wohl auch 2013 weiter vergrößern.

So wurde z.B. Anfang Januar der nächste Android-Schädling entdeckt, der persönliche Daten japanischer Benutzer klaute. Wie andere böswillige Anwendungen verbreitete sich Android.MailSteal.2.origin über Spam-Mails, wo das potenzielle Opfer aufgefordert wurde, ein das angeblich nützliche Programm zu installieren. Beim Klicken auf den vorhandenen Link wurde der Benutzer zum vorgetäuschten Google Play-Fenster weitergeleitet. Auf diese Weise konnte sich der gefährliche Trojaner auf seinem Rechner einnisten. Die Funktionsweise von Android.MailSteal.2.origin war gut durchdacht: der Schädling informierte den Benutzer über vorläufige Einstellungen, die er vorgenommen hat. Gleichzeitig suchte er verdeckt nach Kontakten und persönlichen Daten in E-Mails und lud diese auf einen Remote-Server hoch. Diese Daten konnten auch zum Aufbau eines neuen Botnets verwendet werden.

Die Sicherheitsanalysten von Doctor Web haben darüber hinaus eine Vielzahl von neuer Spyware entdeckt: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Für BlackBerry sind auch folgende Exemplare zu nennen: BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Die kostenpflichtige Spyware kann unterschiedliche Funktionen übernehmen: SMS-Nachrichten, ein- und ausgehende Telefonate kontrollieren, Ihren Standort via GPS bestimmen usw. Vertrauliche Daten auf dem Endgerät mit solcher Spyware sind immer vom Diebstahl bedroht. Die wachsende Zahl solcher Programme ist auf eine stabile Nachfrage zurückzuführen.

Weitere Bedrohungen im Rückblick

Anfang Januar wurde BackDoor.Finder entdeckt, der die größte Verbreitung in den USA fand. Der Trojaner nistet sich in Prozessen beliebter Browser (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape oder Avant) ein, fängt Benutzerzugriffe in Suchmaschinen wie google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com oder yandex.com ab und zeigt Suchergebnisse mit den speziell angefertigten Links an. Weitere Informationen zu diesem Trojaner können Sie in diesem Artikel nachlesen.

Im Januar ist auch eine neue Version von BackDoor.Butirat (BackDoor.Butirat.245) aufgetaucht. Dieser Trojaner ist in der Lage, Malware auf den infizierten Rechner hochzuladen, ausführbare Dateien auf Befehl des Verwaltungsservers zu starten und Passwörter für FTP-Clients klauen. Weitere Informationen zu diesem Trojaner finden Sie hier.

Malware im E-Mail-Traffic für Januar 2013

Malware auf Rechnern der Benutzer für Januar 2013

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Lockscreens - und kein Ende in Sicht

Auch der letzte Monat des Jahres 2012 stand wie seine Vorgänger ganz im Zeichen der allgegenwärtigen Lockscreens. Hierbei handelt es sich um Sperrbildschirme, die sämtliche Tastureingaben blockieren und zur Entsperrung des infizierten Computers eine Art "Lösegeld" fordern, welches per paysafe card oder ukash bezahlt werden soll. Oft geht die Sperrung einher mit der Verschlüsselung aller Dateien, wodurch diese nach eigenmächtiger Entfernung der Malware unbrauchbar sind – und aufgrund der Komplexität der verwendeten Algorithmen oft auch bleiben.

Besonders prägnant im Dezember war dabei die starke Zunahme der Lockscreens mit "GVU"-Logo. Ein Blick auf die internen Statistiken von Doctor Web Deutschland macht dies besonders deutlich: So wurde das Thema „GVU-Lockscreen“ im Dezember mehr als doppelt so häufig aufgegriffen wie im November. Der Gesamtanteil an allen thematisierten Infektionsfällen lag bei beachtlichen 42 % (!), während es im November immerhin schon fast 23 % waren. Als sehr wahrscheinlicher Grund hierfür gilt die verstärkte Verbreitung des Trojaners über die vielgenutzten Streaming-Portale kinox.to und movie2k.to. Laut der News von WinFuture reichte „schon der Besuch dieser Webseiten […] aus, um die Systeme erfolgreich unterwandern zu können“ (siehe http://winfuture.de/news,73699.html).

Im Gegensatz dazu hat der Anteil der Lockscreen - Gruppe, die unter Vorhaltung angeblicher Gesetzesverstöße Polizeilogos diverser europäischer Länder zur Erpressung nutzt, abgenommen – im Gegensatz zu knapp 23% im November stellte deren Anteil an allen berichteten Infektionen im Dezember nur noch etwa 14% dar.

Betroffenen von Lockscreens, die bereits per paysafe card bezahlt haben, können diese sperren lassen. Informationen hierzu findet man unter http://www.paysafecard.com/de/sicherheit/; dort findet sich auch ein Kontaktformular, mittels dessen man mit dem paysafe-team Kontakt aufnehmen kann. Alternativ kann man auch die Service-Hotline unter 00800 07297233 anrufen.

Für ukash existiert ebenfalls eine (kostenfreie) Servicenummer (00800 000 85274) sowie ein Kontaktformular für die Meldung gestohlener Codes oder Betrugsfälle unter http://www.ukash.com/de-DE/support/contact/.

In jedem Falle sollte zusätzlich die örtliche Polizeidienststelle kontaktiert werden.

>
Aktuelle Ausführung des GVU-Trojaners mit Webcam-Fenster und Bezahlfeldern. Quelle:malware.dontneedcoffee.com.

Nicht nur Fliegen ist schöner: Lufthansa-Spam mit gefährlichem Anhang

Zwischem dem 17. und 18. Dezember erreichte viele PC-Nutzer eine E-Mail des Absenders online@lufthansa-booking.com mit dem Betreff „Flugdetails und Reiseinformationen“. Unter Angabe eines Buchungscodes wurde der E-Mail-Empfänger auf eine angeblich getätigte Flugbuchung hingewiesen.

Im Anhang der Mail befand sich in einem Zip-Archiv eine als PDF getarnte ausführbare Datei. Hinter dem 38,5 KB großen, in C/C++ programmierten Programm wiederum verbarg sich ein Trojaner aus der ZBot-Familie, der es besonders auf Onlinebanking-Daten abgesehen hatte.

Er erstellte eine Kopie von sich selbst sowie einen passenden Autorun-registry-Eintrag. Meist unbemerkt vom Benutzer wurden anschließend mehrere Server kontaktiert sowie unter Umständen weitere Malware nachgeladen.

Bei solchen oder ähnlichen Mails empfiehlt sich stets, die angeblich verantwortliche Firma oder Organisation vor Öffnen des Anhangs zu kontaktieren. Oft genügt schon eine gründliche Online-Recherche – so warnte in vorliegendem Fall die Firma Lufthansa selbst auf ihrer Homepage in der Kategorie „Aktuelle Fluginformationen“ vor der aktuellen Spam-Welle.

Ein Virustotal-Scan des Mailanhangs ist unter https://www.virustotal.com/file/106026c21b0c973dbd18eb435a90e65bc87a7ee5d08f3773a0a6d951f8ff264e/analysis/ abrufbar.

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Ein gefährliches Duo: Trojan.DownLoader7.14920 und Trojan.Fakealert.34665

Die Adware „Sanctioned Media“ alias Trojan.DownLoader7.14920 macht auf den ersten Blick einen recht seriösen Eindruck, wird sie doch meist durch Installer legitimer Programme unter Zustimmung des Users mitinstalliert. Einmal auf dem PC, sendet die .NET-basierende Adware Informationen über Betriebssystem und zuletzt besuchte Seiten sowie eine eindeutige Nutzer- und Produkt-ID an einen entfernten Server, um gegebenenfalls Links und Parameter zu Werbeanzeigen zu empfangen, die dann im Browser eingeblendet werden. Dies kann zwar lästig sein und durch den Netzwerktraffic die Performance beeinträchtigen, ist aber zunächst einmal nicht verboten.

Auf der zugehörigen Internetpräsenz unter sanctionedmedia.com existieren sowohl Lizenzbestimmungen als auch eine Datenschutzerklärung sowie eine Anleitung zur Deinstallation der Adware, die sich im Falle einer ordnungsgemäßen Installation auch tatsächlich 1:1 umsetzen lässt.

Soweit ist alles schön und gut; schwierig wird die Entfernung aber dann, wenn Sanctioned Media plötzlich als Payload eines Trojaners daherkommt. So geschah es im November in einigen im Malware-Entfernungs-Forum trojaner-board.de beschriebenen Fällen. Einen dieser Fälle hat sich Malware-Analystin Olivia von Westernhagen im Rahmen eines Artikels in der Dezemberausgabe des IT-Security-Magazins hakin9 genauer angesehen.

Dabei hat sie festgestellt, dass der in C++ geschriebene und auch als „Ponmocup“ oder „Pirminay“ bekannte Trojaner Trojan.Fakealert.34665 über gehackte Seiten verbreitet wird, die Anfragen per HTTP-Statuscode 302 unter Übermittlung der Adresse zu weiteren gehackten Servern und letztendlich zu einem Zip-Archiv-Archiv mit dem Schadcode weiterleiten. Der Redirect findet allerdings nur dann statt, wenn der gesetzte Referrer auf eine Suchmaschine verweist.

Verwirrend: Wählt man „Standard“, so werden die Browser-Startseiten automatisch geändert. Quelle: Doctor Web.

Trojan.DownLoader7.14920 fungiert nun als Dropper für Sanctioned Media, kopiert die Adware unter zufälligem Namen in den system32-Ordner. Da weder der neue Dateiname noch die zusätzlich angelegten Registrykeys mit den Werten übereinstimmen, die in der uninstall-Routine von Trojan.DownLoader7.14920 hinterlegt sind, kann diese nicht funktionieren. Hinzu kommt, dass die Routine aufgrund eines fehlenden Uninstall-Registrykeys gar nicht über das „Software“-Menü in der Systemsteuerung aufgerufen werden kann. Die Deinstallation wird somit zu einem Fall für ein Anti-Viren-Programm. Schnelle Abhilfe schafft beispielsweise das kostenlose CureIt!.

Lästige Umleitungen : Claro Search und fbDownloader

Neben den allgegenwärtigen GVU- und BKA-Lockscreens fühlten sich viele PC-Nutzer im November vor allem durch geänderte Startseiten in ihren Browsern und begleitenden Performance-Problemen gestört. Die häufigsten Ursachen waren die Browser-Hijacker „Claro Search“ und „fbDownloader“.

Bei „Claro“ handelt es sich um Adware, deren Installation im Bundle mit anderen Programmen von Usern jedoch oft zunächst gar nicht bemerkt wird. Im Browser wird als neue Startseite „clarosearch.com“ festgelegt. Passend dazu gibt es noch einen ebenso hartnäckigen Toolbar, der Suchanfragen wiederum auf clarosearch.com umleitet. Ähnlich ist es beim fbDownloader, einem Downloader für Facebook, dessen Installation offenbar die Startseite „search.fbdownloader.com“ zur Folge hat.

Ähnliche Optik, selbe Masche: clarosearch.com und search.fbdownloader.com.

Beide Startseiten sehen mit ihrem schlichten weißen Design der Google-Suche zum Verwechseln ähnlich. Betroffenen Usern ist zu raten, keine Begriffe in die dort eingebauten Suchfelder einzugeben – diese könnten von den entsprechenden Firmen zum Zwecke personalisierter Werbung oder ähnlichem verwendet werden. Beide Anwendungen sind oft schwer zu entfernen – Anleitungen finden sich jedoch reichlich im Internet. Sicherheitshalber empfiehlt sich ein anschließender Komplettscan des Systems.

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Neue Welle von E-Mails mit Backdoor-Trojanern im Anhang

Im letzten Monat berichteten viele Nutzer in einschlägigen Anti-Malware-Foren darüber, sich eine Infektion per E-Mail-Anhang zugezogen zu haben. Bei den E-Mails handelte es sich zumeist um gefälschte Anschreiben unter Verwendung der bekannten Firmennamen „Vodafone“ bzw. „1&1“, denen als Anhang ein Zip-Archiv mit einer angeblichen Rechnung beigefügt war. Statt eines PDFs enthielt dieses Archiv jedoch einen Backdoor-Trojaner.

Bei Erhalt einer solchen E-Mail empfiehlt es sich, vor Öffnen des Anhangs die Kundenhotline des angeblichen Absenders zu kontaktieren. Oft machen auch Rechtschreibfehler im Text des Anschreibens oder eine seltsame Absenderadresse bereits stutzig. Zusätzlich sollten die Anhänge vor dem Öffnen mit einem AV-Programm – wie z.B. Doctor Web Antivirus - überprüft werden

Bei den gefährlichen E-Mail-Anhängen handelte es sich in vielen Fällen um BackDoor.Andromeda.22; einen entsprechenden VirusTotal-Scan finden Sie unter https://www.virustotal.com/file/cd3e6a441f64afb86360aca4983db734e495e21df2d4d98422288a4f1664a480/analysis/1352190486/.

Startfenster.com - Unerwünschte Startseite nach VLC-Installation

Ein weiteres heiß diskutiertes Thema in deutschen Foren ist zur Zeit eine Browser-Startseite namens „startfenster.com“, welche augenscheinlich ohne nachvollziehbare Ursache auf den Bildschirmen vieler User erscheint.

Natürlich gab und gibt es hierfür eine Ursache. Grund für die geänderte Seite ist zunächst der Download des VLC Mediaplayers von der Seite vlc.de. Hierbei handelt es sich nicht um die Originalseite des Herstellers, obwohl viele Nutzer genau dies glauben.

Bereits im Impressum von vlc.de stößt man auf folgenden Hinweis:

Die angebotene Software wird von unserem Installationsprogramm ausgeliefert. Das Installationsprogramm verändert an Ihrem PC die Startseite der Software von Firefox, Internet Explorer, Opera und Google Chrome. Weitere Einstellungen werden nicht verändert.

Der Betreiber der Seite verpackt den Original-Player in einem NSIS-Installer, der, sofern diese Option bei der Installation nicht bewusst abgewählt wird, neben der regulären Player-Installation in den vier genannten Browsern die Startseite verändert.

Weitere (schädliche) Änderungen am System werden nicht vorgenommen – es handelt sich hier also nicht um eine wirkliche Malware-Infektion, sondern „nur“ um eine Strategie, mit der Unwissenheit der Nutzer Geld zu verdienen. Auf startseite.de findet man Werbelinks, durch deren Anklicken der Betreiber von vlc.de profitiert. Wer auf Werbung dieser Art verzichten möchte, sollte sich den VLC-Player von der Originalseite videolan.org herunterladen.

Verwirrend: Wählt man „Standard“, so werden die Browser-Startseiten automatisch geändert. Quelle: Doctor Web.

Weiterhin ein Thema: Rogue-Sicherheitssoftware à la „System Progressive Protection“

Gefälschte Anti-Viren-Programme wie das im Vormonat beschriebene System Progressive Protection alias BackDoor.Slym.825 bleiben weiterhin eine gefährliche Bedrohung. Besonders interessant für Betroffene ist die Tatsache, dass die aktuellen Varianten meist mit der einheitlichen Seriennummer AA39754E-715219CE registriert werden können.

Vorteil dieser Registrierung ist die Tatsache, dass die Malware anschließend die Ausführung anderer Programme nicht mehr blockiert; die Entfernung, beispielsweise mit Doctor Web CureIt!, fällt dann sehr viel leichter. Vorsicht: Die Rogue zeigt zwar nach der Registrierung einen Eintrag im „Software“-Menü der Windows-Systemsteuerung – die dortige Deinstallation ist jedoch nicht vollständig, sondern entfernt nur die ausführbare Datei, nicht aber die anderen Komponenten bzw. die Registry-Keys.

Oberfläche von System Progressive Protection nach der Registrierung. Quelle: Doctor Web.

Wichtig zu wissen ist außerdem, dass im Falle einer Zahlung des geforderten Betrags für die „Vollversion“ nicht nur dieser, sondern die gesamten Kreditkartendaten entwendet werden. Der als Payment-Gate getarnte Server, an den die Informationen gesendet werden, gehört nämlich ebenfalls zu den Autoren der Malware.

Wer sich für technische Details sowie Einzelheiten zur manuellen Entfernung interessiert, dem sei der Fachartikel von Doctor-Web-Analystin Olivia von Westernhagen empfohlen. Unter der Überschrift „Rogue-Sicherheitssoftware - wenn der Freund zum Feind wird“ beschäftigt sie sich intensiv mit den Mechanismen und Eigenheiten von System Progressive Protection und gibt Hilfestellung zur manuellen Analyse und Entfernung. Der Artikel erscheint am 12. November im IT-Security-Magazin haking9.

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Ganz sicher unsicher: System Progressive Protection aka BackDoor.Slym.825

Unter dem Namen BackDoor.Slym.825 erkennen die AV-Produkte von Doctor Web die gefälschte Anti-Viren-Software „System Progressive Protection“. Nutzern, die in der Vergangenheit Schwierigkeiten mit Programmen wie „System Tool“ hatten, wird die grafische Oberfläche von BackDoor.Slym.825 bekannt vorkommen. Tatsächlich handelt es sich hier um eine ganze Malware-„Familie“, die seit Jahren immer weiterentwickelt wird, von Mal zu Mal resistenter und grafisch überzeugender, um PC-Nutzer und AV-Engines noch besser an der Nase herumführen zu können.

BackDoor.Slym.825 kopiert sich nach der Ausführung in den Ordner Documents and Settings\All Users\Application Data. Die Backdoor legt zudem einen neuen Registrywert unter HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\(Dateiname) an, der den Pfad zur Malware-Kopie enthält. Auf diese Weise wird sichergestellt, dass diese beim Systemstart ebenfalls gestartet wird. Sofern eine Internetverbindung besteht, zeigt „System Progressive Protection“ innerhalb seiner grafischen Oberfläche neben über 30 angeblichen Virenfunden ein Formular zur Kreditkartenzahlung an, mittels dessen der Nutzer des infizierten PCs diese Funde „entfernen“ kann.

Entfernen Sie stattdessen lieber BackDoor.Slym.825 – zum Beispiel mit den kostenfreien CureIt!.

Gefährliche“ Warnungen und Pop-Up: System Progressive Protection in Aktion. Quelle: Doctor Web

Lockscreens und Fake-AV-Programme stellen unverändert Gefahr dar

Die Malware-Landschaft in Deutschland hat sich im September im Gegensatz zum Vormonat nicht wesentlich verändert. Die drei am häufigsten gesichteten Bedrohungen sind nach wie vor Lockscreens mit Polizei- oder GVU-Logo sowie „Live Security Platinum“, über das wir bereits im Juli-Report berichteten.

Der Anteil der Polizei-Lockscreens an der Malware, über die am meisten in Benutzerforen diskutiert wurde, betrug nach Auswertungen des deutschen Doctor-Web-Teams sowohl im August wie auch im September zwischen 35 und 40 %. Hierunter fallen nicht nur die den meisten deutschen Nutzern bekannten Erpressermeldungen mit BKA-Logo, sondern auch unterschiedlichste ausländische Varianten, von denen die meisten auf europäische Länder abzielen. So existiert beispielsweise neben einer österreichischen und einer schweizerischen Variante nun auch eine mit niederländischem Text, die sich an PC-Nutzer aus Holland richtet.

Neben dem Logo der niederländischen Polizei ist auf gesperrten Bildschirmen auch der Schriftzug „Bumra/Stemra“ zu sehen; hierbei handelt es sich um eine Firma, die sich mit dem Schutz von Urheberrechten im Musikbusiness beschäftigt. Somit lassen sich Parallelen zum hiesigen Missbrauch des GEMA- oder GVU-Logos ziehen. Aufgrund angeblich auf ihrem PC befindlicher illegale Downloads sollen die Niederländer denn auch 50 Euro per paysafecard zahlen, um den PC zu entsperren.

Nun auch in Holland: Erpresserische Lockscreens. Quelle: buma-stemra-virus.isoke.nl.

Neben erpresserischen Lockscreens und gefälschten Anti-Viren-Programmen sind PDF-Exploits derzeit ein wichtiges Thema. Hierunter versteht man Sicherheitslücken, die einerseits Eigenheiten des PDF-Dateiformats und andererseits Schwachstellen in den jeweiligen PDF-Readern ausnutzen, um beim Öffnen eines Dokuments eingebetteten Schadcode ausführen zu können. Die Tatsache, dass viele Nutzer glauben, PDF-Dateien stellten keine Gefahr dar, erleichtert den Malware-Autoren die Arbeit enorm. Wir empfehlen, stets eine aktuelle Version des jeweiligen PDF-Readers zu verwenden und insbesondere Reader zu meiden, deren kontinuierliche Weiterentwicklung nicht gewährleistet ist. Dr. Web erkennt viele PDF-Exploits unter dem Alias Exploit.PDF.(Zahl) schon beim Kopieren des Dokuments auf den PC und macht diese unschädlich.

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Zu Hause auf zwei Plattformen: BackDoor.Wirenet.1

Wirklich bemerkenswert ist ein Ende August von den Doctor-Web-Analysten entdeckter Trojaner, welcher als BackDoor.Wirenet.1 in der internen Datenbank abgelegt wurde. Der Trojaner ist in der Lage, plattformübergreifend Passwörter sowohl von Linux- als auch von Mac OS X-System zu stehlen.

Besonders gefährdet sind Passworteingaben in Formulare der Browser Opera, Firefox, Chrome und Chromium; aber auch bestimmte Anwendungen wie zum Beispiel der E-Mail-Client Thunderbird oder der Chat-Client Pidgin sind Ziel der Trojanerattacke. Ganz allgemein können aber auch andere Tastatureingaben mitgeloggt werden (Keylogger-Funktion).

Der als Backdoor agierende Trojaner schickt die gesammeleten Daten unter Verwendung des Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) an einen Command&Control-Server.

BackDoor.Wirenet.1 wird von den Doctor-Web AV-Produkten Dr. Web für Mac OS X bzw. Dr. Web für Linux zuverlässig erkannt und entfernt.

Lockscreen-Alarm: Polizeiaufgebote und Neues aus Software- und Musikindustrie

Auch im August gab es zahlreiche neue Vertreter der leidigen Lockscreen-Fraktion. Besonders fiel dabei auf, dass auch unsere Nachbarländer Österreich und die Schweiz vermehrt zu Opfern lokaler Varianten des „BKA-Trojaners“ wurden. Je nach Land ist das Logo der österreichischen Polizei bzw. das Logo der Bundesbehörden der Schweizerischen Eidgenossenschaft auf dem Sperrbildschirm zu sehen. Für die angebliche Entsperrung werden 100 Euro bzw. 150 Schweizer Franken gefordert.

Landesunabhängig meldet sich die „Musikindustrie“ mit einem weiteren Mitglied im Lockscreen-Verband zurück. Genutzt wird nun neben den Logos von GEMA , AKM und GVU nun auch verstärkt das Logo der CELAS. Hierbei handelt es sich um eine GmbH zur Vergabe von Nutzungsrechten von Musikstücken. Die verwendete Masche ist nicht neu: Wieder einmal werden PC-Nutzer bezichtigt, illegal Musik aus dem Internet heruntergeladen zu haben. Doctor Web findet die diversen Varianten dieses Trojaners als Trojan.AVKill.(Zahl) und entfernt sie zuverlässig.

Ein besonders interessantes neues Lockscreen-Exemplar trat erstmals Mitte August in Erscheinung – sporadisch noch, aber mit viel Potenzial für die Zukunft. Trojan.AVKill.21611 nutzt das so genannte Windows Genuine Advantage-Logo, welches von Microsoft verwendet wird, um Nutzer gefälschter oder „geklauter“ Windows-Lizenzen zum Kauf legitimer Versionen zu veranlassen. Laut des Lockscreens von Trojan.AVKill.21611 ist eine Lizenz für 50 Euro per ukash-Zahlung zu erwerben, um den gesperrten PC wieder nutzen zu können. Interessierte sollen für 100 Euro alternativ auf Windows 8 upgraden können.

Die kostenlose Doctor Web LiveCD schafft Abhilfe.

Bietet vermeintliches Upgrade auf Windows 8: Der Lockscreen des Trojaners Trojan.AVKill.21611. Quelle: www.trojaner-board.de/

Neuer Facebook-Virus: Trojan.DownLoader6.45943

Nachdem es in deutschen Anti-Viren-Foren einige Monate eher still um Malware auf Facebook war, schlugen um den 19. August herum viele User Alarm. Auslöser war ein Trojaner, welcher per Link in einer Chat-Meldung verbreitet wurde.

Unter der Überschrift „weeeeeeeer ist daas????“ wurde auf ein angebliches Foto im jpg-Format verwiesen, welches sich bei näherem Hinsehen als Screensaver mit .scr-Endung - und somit als ausführbare Datei – entpuppte.

Zuckersüß und unschuldig wirkt diese angebliche „Bildvorschau“ wohl auf die meisten User. Quelle: Doctor Web

Einmal angeklickt, führt die in Delphi geschriebene Malware Änderungen an der Registry durch, lädt weitere Malware aus dem Internet nach und versendet unter Umständen weitere schädliche Links an die Facebook-Kontake des PC-Nutzers.

Es ist sehr wahrscheinlich, dass weitere Varianten mit geänderten Datei-Icons, Namen und Funktionalitäten folgen werden; daher ist auch weiterhin Vorsicht geboten.

Doctor Web erkennt den Trojaner mit IRC-Bot-Funktionalitäten als Trojan.DownLoader6.45943; Aliases weiterer Hersteller können unter https://www.virustotal.com/file/0a8b6a97312f83ebcecdf7cea3984da8d11847cf39f96353d6ffc967ddf41b34/analysis/1346844057/ abgerufen werden.

Jeden Monat durchkämmen Mitarbeiter von Doctor Web Deutschland private und professionelle Benutzerforen, die sich dem Thema „Malware“ widmen. Sie analysieren, welche Schädlinge momentan am heißesten diskutiert werden und stellen die relevantesten und spannendsten Themen in einem Report zusammen.

Trojan.Yaryar.1 – ein Trojaner setzt sich zur Wehr

Gegen Ende des Monats entdeckten die Analysten aus dem Virenlabor von Doctor Web einen besonders interessanten neuen Trojaner, welcher unter dem Namen Trojan.Yaryar.1 in die Virendatenbank aufgenommen wurde.

Wird auf dem infizierten PC das – heute gängigste – Dateisystem NTFS verwendet, so ist der Trojaner in der Lage, auf Dateien zuzugreifen, ohne die sonst üblichen Funktionen der Windows- Programmierschnittstellen zu verwenden. Die „Standardfunktionen“ für den Dateizugriff sind sowohl durch Anti-Viren- Engines als auch durch Analysten sofort identifizierbar; werden sie nicht verwendet, so erschwert dies die Erkennung immens.

Doch dies ist nicht die einzige Stärke des in C++ geschriebenen Trojan.Yaryar.1: Zusätzlich verfügt er über ein ganzes Arsenal an Funktionen, um Analyse-Tools zu erkennen und sich gegebenenfalls selbst vom System zu löschen, um die Analyse zu verhindern. Solche so genannten „Anti-Debugging-Techniken“ sind zwar bei Malware keine Seltenheit, sind aber selten in solch großer Zahl in einem einzigen Schädling zu beobachten.

Trojan.Yaryar.1 deaktiviert die Windows-Firewall sowie die automatischen Windows-Updates; anschließend werden weitere schädliche Dateien nachgeladen.

Um sich vor Trojanern wie Trojan.Yaryar.1 zu schützen, ist die Verwendung eines Anti-Viren-Programms mit den aktuellsten Updates zwingend erforderlich. Doctor Web Security Space verfügt über eine Firewall mit Selbstschutz (SpIDergate), welche nur über die Eingabe eines Codes deaktiviert werden kann. Durch Verwendung einer solchen Technik kann die Deaktivierung der Firewall durch Schädlinge verhindert werden.

Gefahren beim Online-Banking – ein Fallbeispiel

Gerade in der Sommer- und Ferienzeit sind Gefahren beim Onlinebanking ein Thema, über welches sich die meisten Menschen keine Gedanken machen. Darum bemerken Bankkunden viele der von Trojanern angewendeten und immer ausgefeilteren Tricks zunächst gar nicht – bis es zu spät ist und ein geplündertes Konto nicht nur die Urlaubsreise gefährdet.

Ein Beispiel für einen recht „gewieften“ und von AV-Programmen häufig kaum erkannten Trojaner ist BackDoor.Hermes.486. Der in C++ geschriebene Trojaner verfügt über eine aufwändige Funktion, um seinen verschlüsselten Code bei der Ausführung zu entschlüsseln. Um eine Erkennung zu erschweren genügt es demnach, die Verschlüsselung zu ändern und dem Trojaner damit eine völlig neue Gestalt zu verleihen.

Angriffsziel des Trojaners sind Kunden der Sparkasse und der Deutschen Bank. Statt sich jedoch mit der bloßen Übermittlung von Log-In-Daten an einen entfernten Server zufriedenzugeben, zeigt BackDoor.Hermes.486 nach dem Einloggen ins Bankingportal ein Formular an, das in vergleichsweise gutem Deutsch auf eine angebliche „Synchronisierungsaktion“ in Zusammenarbeit mit Visa und MasterCard hinweist, welche zu „einem erhöhten Schutz der Bezahlvorgänge“ führen soll.

Zu diesem Zweck sollen in eine dem Layout des Portals angepassten Formular des Trojaners alle für die Zahlung mit Kreditkarte relevanten Daten eingegeben werden.

Doch damit nicht genug: Visa-Kunden sollen auf einer Folgeseite auch noch Ihren „Verified by Visa-Code“ zurücksetzen. Dieser dient für gewöhnlich dem Schutz vor Onlinebetrug – und wird durch die Rücksetzung gnadenlos ausgehebelt.

Nach der Eingabe leitet der Trojaner zu den gewohnten Banking-Seiten weiter, was es für den Kunden noch schwerer macht, den Betrug zu erkennen.

Perfekt an das „Sparkassen“-Design angepasstes Formular des Trojaners BackDoor.Hermes.486. Quelle: www.sparkasse-oberpfalz-nord.de

Betroffene sollten ihren Onlinebanking-Account sowie gegebenenfalls auch ihre Kreditkarte umgehend sperren lassen; für beides existieren so genannte „Notfallnummern“, die im Internet leicht zu finden sind.

Lockscreens und gefälschte AV-Programme weiterhin brandgefährlich

Der von uns im letzten Monat beschriebene Lockscreen mit GVU-Logo und „Webcam-Funktion“ (siehe [Link zum Artikel]) hat sich im Laufe des vergangenen Monats rasant ausgebreitet und ist nun, neben diversen Varianten des inzwischen allseits bekannten „BKA“-Lockscreens , eine der am häufigsten zu beobachtenden Erpresser-Malwares auf deutschen PCs.

Im Bereich der gefälschten Anti-Viren-Programme, die sich unaufgefordert selbst installieren und mit nervigen und kaum unterdrückbaren Pop-Ups auf angebliche Gefahren sowie teure Kaufversionen aufmerksam machen, ist Live Security Platinum momentan der Spitzenreiter. Da hier häufig Rootkits mitinstalliert werden, ist ein Neuaufsetzen des PCs meist die sicherste Lösung, um den Schädling ein für alle Mal loszuwerden.

Screenshot des gefälschten AV-Programms „Live Security Platinum“. Quelle: www.trojaner-board.de

Hanau, 2. Juli 2012

Der Juni 2012 verlief ziemlich ruhig für die Sicherheitsszene. Es gab weder Epidemien noch ungewöhnliche Fälle mit einer erhöhten Virenaktivität. Die Übeltäter gaben sich aber Mühe beim Versand von Massen-Mails, über die Schadsoftware verbreitet werden soll. Es sind ansonsten neue Trojaner für Android aufgetaucht. Insgesamt ist die Anzahl der aufgespürten Viren & Co. zurückgegangen, was für die Urlaubszeit typisch ist.

Aktuelle Sicherheitslage

Laut Statistiken, die durch Dr.Web CureIt! gesammelt wurden, erwies sich Trojan.Mayachok.1 als besonders beliebt. Seine Detektionsrate ist von 3,73% (45 327 Fälle) im Mai bis auf 5,82% (56 767 Fälle) im Juni gestiegen. Es wurden auch immer mehr verschiedene Varianten von Download-Trojanern entdeckt. Die Detektionsrate von Trojan.SMSSend blieb auf demselben Niveau. Die Verbreitung von Bank-Trojanern Trojan.Carberp verschiedener Versionen ist zurückgegangen. Wie sich die Virensituation entwickelt, ist auf dem nachfolgenden Bild dargestellt.

Als Tabellenführer unter böswilligen Objekten, die über Massen-Mails verbreitet werden, positioniert sich BackDoor.Andromeda.22. Über diesen Schädling wird jede Menge von gefährlichen Anwendungen auf infizierte Computer heruntergeladen. Diese Backdoors können verchlüsselte Daten mit einer böswilligen Website austauschen und auf Befehl unerwünschte Dateien herunterladen.

Den zweiten und dritten Platz belegen die Download-Trojaner. Hinterher ist Trojan.Inject1.4969 über den wir einmal berichtet haben. Auch Würmer der Familie Win32.HLLM.MyDoom und Blocker-Trojaner sind im Ranking zu finden.

Botnets

Es mag erstaunlich sein, aber das von unseren Sicherheitsspezialisten entdeckte größte Botnet BackDoor.Flashback.39, welches eine Vielzahl von Apple-kompatiblen Computern infiziert hat, funktioniert bis jetzt. Die Zahl der eingebundenen PCs geht allmählich zurück. So hat sich die Anzahl aktiver Macs von 364 741 bis auf 191 756 für Ende Juni, d.h. um 47,4%. Der tägliche Zuwachs des Botnets BackDoor.Flashback.39 beträgt 25 infizierte PCs. Die Entwicklung des Botnets BackDoor.Flashback.39 im Juni 2012 können Sie auf dem nachfolgenden Bild sehen.

Tendenz sinkend. Detaillierte Informationen über den Schädling können Sie auf unserer Website drweb.com/flashback finden. Außerdem können Sie Ihren PC auf diesen Backdoor überprüfen.

Um die Verbreitung von Win32.Rmnet.12 steht es aber anders. Nur nach einem Monat konnte der Schädling ein Botnet aus 3 292 190 infizierten PCs aufbauen, was ein Wachstum in Höhe von 17,5% im Vergleich zum Mai verzeichnet. Die meiste Verbreitung des Bots erfolgt in Indonesien, Bangladesch, Vietnam und Indien. Der Schädling greift aber allmählich auf andere Länder über. Täglich werden z.B. etwa 9 000–15 000 neue Bots in Subnetzwerken von Win32.Rmnet.12 registriert. Detaillierte Informationen können Sie dem nachfolgenden Bild entnehme.

Das Botnet Win32.Rmnet.16 wird jeden Monat größer. So konnte es nach einem Monat durch die Verbreitung in Großbritannien und Australien von 84 491 bis auf 104 874 infizierte PCs zuwachsen. Die Entwicklung des Botnets Win32.Rmnet.16 können Sie auf dem nachfolgenden Bild sehen.

Trojaner des Monats: Trojan.Hottrend

In der Kategorie „Trojaner des Monats“ gewinnt der Bank-Trojaner Tinba (Tiny Banker) die Oberhand. Der Schädling wiegt nur 20 KB. In der Virendefinitionsdatei von Dr.Web, wo er seit Ende April 2012 enthalten ist, wird er als Trojan.Hottrend bezeichnet.

Die Hauptfunktion dieses böswilligen Programms ist die Überwachung und der Abgriff von sensiblen Daten (u.a. Bankdaten). Außerdem haben unsere Sicherheitsexperten ein paar Bank-Trojaner wie Trojan.PWS.Banker.64540 entdeckt. Detaillierte Informationen über den Trojaner finden Sie auf der Website von Doctor Web.

Viren & Co. für Android

Während des Monats wurden über 35 neue Varianten von Android.SmsSend sowie weitere böswillige Programme, die mobilen Nutzern Schaden zufügen können, in die Virendatenbanken von Doctor Web eingetragen. Außerdem haben wir bereits vonAndroid.SpyEye.2.origin berichtet, der SMS auf einem infizierten mobilen Endgerät klauen kann.

Ende des Monats machte auf sich der Trojaner Android.SmsBot.1.origin, aufmerksam, der sich durch Spam-Links verbreitet. Zur Verbindung mit einem Remote-Server verwendet der Schädling Twitter. Nachdem Android.SmsBot.1 die Verbindung mit seinem Befehlscenter aufgebaut hat, kann er Informationen über den infizierten PC an Kriminelle übergeben sowie verschiedene Befehle ausführen. Eine der Hauptfunktionen des Trojaners ist der Versand von SMS-Nachrichten ohne Kenntnis des Benutzers. Dieses Programm stellt eine ernsthafte Gefahr von Benutzer mobiler Endgeräte.

Malware im E-Mail-Verkehr

Malware auf PCs der Anwender

Hanau, 4. April 2011

Der Monat März 2011 war ziemlich reich an Sicherheitsvorfällen. Für Schlagzeilen hat das Eindringen der Trojaner in Terminals und die Beseitigung des weltweit größten Spam-Netzwerks Trojan.Spambot gesorgt. Außerdem haben Cyber-Kriminelle soziale Netzwerke attackiert. Die Atomkatastrophe in Japan lieferte ein weiteres Thema für Spammer und nachfolgenden Spekulationen.

Botnet Trojan.Spambot neutralisiert

Am 17. März 2011 wurde der größte Spam-Versender Trojan.Spambot neutralisiert. Seine 26 Kommandozentren sind auf einmal unzugänglich geworden. Hundert tausende Bots sind ungesteuert eingeschlafen.

Nach Einschätzungen von Microsoft versendete der von Trojan.Spambot infizierte Computer bis zu 10 000 Spam-Mails pro Stunde. In diesem Spam-Netzwerk waren 815 000 Bots eingebunden. Der gesamte Spam-Traffic lag bei mehreren Milliarden Spam-Mails pro Stunde. Die Verantwortung für die Beseitigung von Trojan.Spambot hat die Microsoft Corporation, die eine entsprechende Aktion in Zusammenarbeit mit amerikanischen Behörden durchgeführt hat, übernommen.

Das Botnet Trojan.Spambot, dessen Erscheinen auf das Jahr 2005 zurückgeht, war der stärkste und technisch ausgefeilte Vertreter aktueller Trojaner-Software.

Als juristische Grundlage für die Zerschlagung diente eine zivilrechtliche Klage von Microsoft gegen die nicht identifizierten Personen hinter dem Botnet.

Die Zukunft der Spam-Branche lässt sich nun nicht genau voraussagen. Der wesentliche Schaden, den die ganze Spam-Branche erlitten hat, kann sehr schnell durch das Wachstum anderer Botnets ersetzt werden. Führende Positionen bei der Verbreitung von Spam-Mails hat schon lange das Botnet Win32.HLLM.Beagle eingenommen. Die beiden Spambots sind auf den sogenannten Pharma-Spam (Werbung von Arzneimitteln) spezialisiert.

Die Sicherheitsspezialisten müssen in der Zukunft auf die Dezentralisierung der Software-Architektur gefasst sein. Man schätzt, dass Trojan.Spambot wiederhergestellt werden kann.

Trojaner in Terminals

Im März 2011 entdeckte Doctor Web eine neue Variante von Trojan.PWS.OSMP. Der Trojaner ist für die Infizierung von Bezahlungs-Terminals gedacht und ändert Kontonummern von Zahlungsempfängern. Mit der letzten Modifikation können Cyber-Kriminelle sogar ein virtuelles Terminal entwickeln.

Der Trojaner wurde bei der Überwachung des Botnets eines anderen Trojaners, der für die Einschleusung von Trojan.PWS.OSMP in Terminals verantwortlich war, entdeckt.

Die Terminals werden in zwei Schritten infiziert. Zunächst schleust sich BackDoor.Pushnik ins Terminal ein. Der Schädling stellt eine ausführbare Datei auf Delphi dar und ist ~620 KB groß. Er verbreitet sich über Wechseldatenträger und erhält nach der Installation die Verwaltungsdaten von seinen Verwaltungszentren. Anschließend lädt er hoch und startet die 60-70 KB große Datei mit Trojan.PWS.OSMP. Dieser sucht gestartete Prozesse im Prozess maratl.exe, der zur Software-Umgebung der Terminals gehört. Im Erfolgsfall schleust sich der Trojaner in den Prozess ein und ändert das Empfängerkonto zugunsten der Cyber-Täter.

Die letzte entdeckte Version des Schädlings setzt eine andere Technik ein: Trojan.PWS.OSMP kopiert auf seinen Server die Konfigurationsdatei der Terminals-Software. Der Diebstahl einer Konfigurationsdatei setzt die Schaffung eines gefälschten Terminals auf PCs der Übeltäter voraus. Auf diese Weise kann das Geld auf Konten der Cyber-Kriminellen fließen.

Neue Sicherheitslücken in Adobe

Am 14. März 2011 teilte Adobe über eine weitere Sicherheitslücke im Adobe Flash Player 10.2.152.33 und in den früheren Versionen mit.

Die Schwachstelle ermöglicht den Übeltätern einen Angriff auf das System durch eine spezielle swf-Datei, die für verschiedenen Versionen dieses Software-Produktes für Windows, Mac OS, Linux, Solaris und frühere Versionen von Android gemeinsam war.

Updates, die diese Sicherheitslücke schließen sollten, wurden erst am 21. März herausgegeben. So konnte man die Sicherheitslücke eine Woche lang ausnutzen. Im freien Zugang gab es auch Codes für die Ausnutzung dieser Schwachstelle.

Beim Angriff wird die xls-Datei mit einem eingebetteten swf-Objekt verwendet:

Bild 1. Eingebettete swf-Datei in der Excel-Tabelle.

Diese swf-Datei lädt in den Speicher den Shell-Code hoch und führt einen Angriff auf den anfälligen Flash-Player durch Heap Spray durch. Danach lädt der Code dieser swf-Datei eine andere swf-Datei hoch, die eine Sicherheitslücke des Interpretators von ActionScript CVE-2011-0609 ausnutzt.

Die Sicherheitslücke provozierte den Versand von Mails mit einem Trojaner als xls-Datei, die Exploit.SWF.169 enthält. Beim Starten der Trojaner-Datei signalisiert MS Excel keine Rückmeldung. Dabei sieht der Anwender eine leere Tabelle mit einem eingebetteten Flash-Video.

Bild 2. Laden einer MS-Excel-Datei mit Exploit.SWF.169.

Während dessen führt Exploit.SWF.169 seinen lokalen Angriff durch, speichert und startet eine ausführbare Datei mit Trojan.MulDrop1.64014 oder Trojan.MulDrop.13648.

Angriffe gegen soziale Netzwerke

Zur Zeit sind soziale Netzwerke eine beliebte Zielscheibe für Hacker. Dies bestätigen die jüngsten Angriffe gegen LiveJournal und Facebook.

Am 4. März 2011 wurde der Massen-Versand von Phishing-Mails im Namen der Administration von LiveJournal gestartet. Die Mails enthielten Benachrichtigungen über blockierte und eventuell gelöschte LiveJournal-Benutzerkonten.

Als Absender-Adresse wurde do-not-reply@livejournal.com verwendet. Diese E-Mail-Adresse wird auch in der Tat von LiveJournal zum Versenden von Benachrichtigungen verwendet. Ein vorgeschobener Link leitet zur gefälschten Website livejorrnal.com oder xn--livejurnal-ivi.com weiter.

Beim Übergang gelangt der Benutzer auf die Seite, die an das LiveJournal-Design erinnert. Die hier angegebenen Daten werden an Übeltäter weitergeleitet.

Bild 3. Gefälschte LiveJournal-Seite.

Auf ähnliche Weise wurde einige Tage später Facebook angegriffen. Die Facebook-Nutzer erhielten Spam-Mails von aktiven Facebook-Benutzerkonten. Diese Mails enthielten einen kurzen Link (die Methode wird öfters bei solchen Angriffen verwendet). Dabei kann der Nutzer im Voraus nicht erkennen, wohin ihn dieser Link weiterführt. In diesem Fall wurde der Benutzer auf eine Malware-Website mit dem gefälschten Facebook-Design weitergeleitet. Auf dieser Seite war eine Benachrichtigung mit dem Formular für persönliche Daten des Benutzers platziert. Wenn ein potenzielles Opfer das Formular ausgefüllt hat, werden seine persönlichen Daten an Cyber-Kriminelle weitergeleitet. Danach versenden sie solche Mails an Freunde des Opfers.

Die Übeltäter feilen weiter an Social-Engineering-Techniken bei Angriffen durch soziale Netzwerke.

Am 30. März 2011 passierte ein DDoS-Angriff auf LiveJournal. Nach Einschätzung der Administration war das einer der massivsten Angriffe in der Geschichte des sozialen Netzwerks. Der Angriff dauerte mehrere Stunden. Der Service war dabei nicht zugänglich.

Spam-Mails zum Thema Atomkatastrophe in Japan

Es haben sich auch Übeltäter gefunden, die das Unglück in Japan ausnutzen wollten. Einige Spam-Mails enthielten Spenden-Aufrufe für Rotes Kreuz usw.

Im E-Mail-Körper gab es einen Link zur gefälschten Webseite, wo das Geld gespendet werden konnte.

Bild 4. Gefälschte Webseite des Roten Kreuzes.

In anderen Fällen wurden die Anwender auf Malware-Websites durch Links in versendeten E-Mails geködert.

Bild 5. Spam-Mail mit einem Videospot über die Katastrophe in Japan

Beim Ansehen wird der Anwender auf eine böswillige Website weitergeleitet. Anschließend wird auf seinem PC Trojan.FakeAlert installiert.

Bild 6. Angebliches Video über die Katastrophe in Japan.

Die Cyber-Kriminellen verbreiten gefälschte Antivirensoftware, Systemtools, Blocker usw.

Malware im März 2011 im E-Mail-Traffic

Malware im März 2011 auf PCs der Anwender

Hanau, 31. Dezember 2010

Das sich dem Ende neigende Jahr 2010 blickt auf eine florierende Cyber-Kriminalität zurück. Trotz Maßnahmen, die Sicherheitsunternehmen und Behörden gegen virtuelle Verbrecher treffen, entwickelt sich die digitale Betrügerszene intensiv weiter. Es besteht also Handlungsbedarf nicht nur für Hersteller von Antiviruslösungen, sondern auch für Finanzunternehmen, über die das Geld der Opfer an Betrüger fließt, Sicherheitsbehörden und geschädigte Anwender. Diese Anwender können die Infizierung ihrer PCs sowie die Erpressung beim Bundesamt für Sicherheit in der Informationstechnik sowie ihrem Anbieter von Sicherheitslösungen melden. Solche Informationen können im Kampf gegen Cyber-Kriminelle nützlich sein.

Topliste der Betrüger 2010

Damit Sie sich einen Überblick über das Jahr 2010 beschaffen können, haben wir hier die Topliste von Malware zusammengestellt, die Cyber-Kriminelle häufig verwendet haben. Neben Malware-Typen finden Sie auch entsprechende Bezeichnungen nach Dr.Web Klassifikation.

10. Pseudodienstleistungen

Ziemlich oft bieten die Betrüger interessante und gleichzeitig illegale Informationen (Privatinformationen über Anwender sozialer Netzwerke sowie Geheimdaten, die angeblich nur für Sicherheitsdienste gedacht sind) gegen eine kleine Geldsumme an. Bezahlt wird per SMS. Die Infromationen erweisen sich danach als unvertrauenswürdig oder werden überhaupt nicht zur Verfügung gestellt. Links zu Websites mit solchen Daten werden über Werbe-Banner oder Websites mit Gratis-Inhalten weiter verbreitet.

9. Falsche Archive. Trojan.SMSSend

Die Cyber-Kriminellen generieren gefälschte Torrent Tracker und Dateilager, wo man beliebte Musik, Filme und elektronische Bücher herunterladen kann. Entsprechende Websites gelangen deshalb sofort in die Topliste der Suchanfragen. Oft handelt es sich dabei um ein selbstextrahierendes Archiv, das während der Entpackung das Opfer auffordert, für die endgültige Entpackung der heruntergeladenen Datei zu zahlen. Der Anwender wird auf diese Weise zweimal betrogen. Er zahlt für Inhalte und bekommt keine. Die Archive enthalten in der Regel keine brauchbaren Inhalte oder Informationen. Die Wachsamkeit des Anwenders wird durch eine Dateigröße von über 70 MB und mehr eingeschläfert.

8. Download-Blocker. Trojan.MBRlock

Im November 2010 wurde die Verbreitung eines Blockers festgestellt, der sich bei der Infizierung im Bootsektor einer Festplatte einschreibt und das Laden des verwendeten Betriebssystems blockiert. Bei der Einschaltung Ihres PC werden Sie mit Forderungen der Übeltäter konfrontiert.

7. Blocker von IM-Clients. Trojan.IMLock

Im Laufe mehrerer Monate haben die Cyber-Kriminellen Malware verbreitet, die Instant Messaging Programme blockierte. Ins Visier sind ICQ-, QIP- und Skype-Anwender geraten. Statt des blockierten IM-Clients wurde ein ähnliches Programmfenster angezeigt, wo der Zugriff angeblich gegen eine kostenpflichtige SMS wiederhergestellt werden kann.

6. Falsche Antivirenprogramme. Trojan.Fakealert

Gefälsche Antivirenprogramme sehen beliebter Sicherheitssoftware ähnlich aus. Manchnal erinnern sie gleichzeitg an mehrere Antivirenpodukte. In der Tat haben die Fälschungen mit authentischen Antivirenprogrammen nichts zu tun. Wenn sie installierten werden, melden sie sofort, dass Ihr System infiziert ist und Sie eine kostenpflichtige Programmversion kaufen sollen.

5. Redirect-Malware. Trojan.Hosts.

Diese böswilligen Programme greifen die HOSTS-Datei an. So kann z.B. bei Ihrem Versuch, auf die Webseite eines bekannten sozialen Netzwerkes zu gelangen, passieren, dass Ihnen im Webbrowser eine gefälschte Webseite vorgeschoben wird. Dabei kann der Zugriff auf die Ihnen bekannte Webseite auch kostenpflichtig sein. Sollte der Anwender dies akzeptieren, wird er abgezockt.

4. Redirect-Malware für einen lokalen Web-Server. Trojan.HttpBlock

Im Unterschied zu Trojan.Hosts leiten diese Schadprogramme den Anwender auf Webseiten weiter, die von einem lokal installierten Web-Server generiert werden. In diesem Fall finden die Betrüger leicht einen Hoster, der Malware-Websites von seinen Adressen vor der Infizierung eines Anwenders nicht entfernt.

3. Verschlüsselungs-Malware. Trojan.Encoder

2010 ist eine Menge neuer Varianten von Verschlüsselungs-Trojanern aufgetaucht, die auf Dateien der Anwender abgezielt haben. Nachdem der Trojaner Dateiein verschlüsselt hat, fordert er Geld für die Entschlüsselung. In den meisten Fällen werden von uns schnellstens Tools entwicklet, die betroffene Dateien entschlüsseln sollen.

2. Windows-Blocker. Trojan.Winlock

Den zweiten Platz belegen klassische Windows-Blocker, die seit dem Herbst 2009 für Unruhe gesorgt haben. Zu den Windows-Blockern gehören Schädlinge, die Programmfenster blockieren. Der Anwender kann deswegen nicht arbeiten und soll für die Entschlüsselung seines Betriebssystems zahlen. Im Laufe dieses Jahres haben die Sicherheitsspezialisten von Doctor Web mehrere Höhepunkte bei der Verbretung neuer Winlocks feststellen können. Die Verbreitung der Malware setzt sich fort.

1. Bank-Trojaner. Trojan.PWS.Ibank, Trojan.PWS.Banker, Trojan.PWS.Multi

Den ersten Platz haben Bank-Trojaner belegt, die einen illegalen Zugriff auf Konten von Privatpersonen und Firmen per Fenzugriff erwerben. Die Verwaltung eines privaten Bankkontos per Internet wird immer beliebter. Dies wird von Betrügern ausgenutzt. 2011 werden immer mehr Firmen ins Visier der Hacker geraten. Denn hier winken höhere Geldsummen.

Statistik der Anwender-Anfragen

Nun zeigen wir Ihnen ein paar Grafiken, die die allgemeine Dynamik der Anwender-Anfragen im Jahr 2010 darstellen.

Das erste Diagramm zeigt die tägliche durchschnittliche Anzahl von Support-Anfragen wegen Betrugsfälle. Im Juni lag z.B. diese Anzahl bei 400. Im August ist diese Verbreitungswelle zurückgegangen. Ende des Jahres sind die Betrüger auf neue Techniken umgestiegen. Die Anzahl von Support-Anfragen ist deshalb angewachsen.

Anhand des nächsten Bildes können Sie sich das Verhältnis zwischen der Anzahl von Anwender-Anfragen wegen böswilliger Programme in verschiedenen Monaten 2010 ansehen. Die blaue Kurve zeigt Statistiken für Anfragen, wo Anwender ihr Geld auf das Handy-Konto der Betrüger überweisen sollten. Dem Diagramm ist zu entnehmen, dass Cyber-Kriminelle ab November 2010 die zweite Methode vorziehen.

Das dritte Diagramm zeigt das prozentuale Verhältnis zwischen der Anzahl von Anwender-Anfragen und Fällen, wo Cyber-Kriminelle Anwender aufforderten, ihr Guthaben über Zahlungsterminale aufzuladen. Die rote und blaue Kurven entsprechen Statistiken jeweiliger Mobilfunkanbieter. Im Dezember des vergangenen Jahres haben digitale Räuber eine neue Masche entwickelt, deren Statistiken eine grüne Kurve darstellt. Die Anwender wurden aufgefordert, ihr Geld per SMS auf ein Handy-Konto zu überweisen. In diesem Fall können Betrüger uneingeschränkt agieren und müssen keine Verträge mit Kurznummer-Providern haben.

Malware-Szene 2010

Unter den vielen Ereignissen im Jahr 2010 kann man das 64-Bit-Rootkit BackDoor.Tdss hervorheben. Der Schädling infizierte 64-Bit-Betriebssysteme Windows durch seine Bootkit-Komponente. Die Verwendung von Bootkits in komplexen Schadprogrammen wird immer beliebter.

Die Anzahl von Android-Angreifern ist inzwischen angestiegen. Es werden auch weitere mobile Betriebssysteme attackiert. Der Sicherheitsspezialist Doctor Web bietet gegen solche Schädlinge neue Antivirenprodukte für beliebte mobile Betriebssysteme an.

Die Anwender müssen sich wie zuvor an die einfachsten Sicherheitsregeln halten, und zwar ihr Betriebssystem und ihre Software (einschließlich der Antivirensoftware) automatisch aktualisieren, auf alternative Internet-Browser umsteigen und die Administratorrechte im System mit einer Internetverbindung nicht verwenden.

Der Monat Mai zeichnete sich durch eine neue Welle von Windows-Blockern (Trojan.Winlock, Trojan.AdultBan) aus. Den Löwenanteil der verbreiteten Malware machen Variationen aus, die diesmal keinen SMS-Versand vorsehen. In diesem Monat haben die Anwender mit neuen Modifikationen von Verschlüsselungs-Malware (Trojan.Encoder) zu tun. Darüber hinaus wurden neue Bootkits entdeckt, für die Doctor Web ein entsprechendes Neutralisierungs-Tool entwickelte. Die Verbreitung von gefälschter Antivirensoftware (Trojan.Fakealert) geht langsam zurück.

Neue Welle von Windows-Blockern

Ab dem 14. Mai verzeichnete der Statistikserver von Doctor Web den mehrfachen Anstieg einer durchschnittlichen täglichen Detektionsrate bei Windows-Blockern. Am 18. Mai wurden 215 000 detektierte Exemplare von Trojan.Winlock und Trojan.AdultBan registriert. Und das bei einer Tagesnorm von 1 500 detektierten Exemplaren.

Insgesamt wurden 920 000 detektierte Exemplare von Trojan.Winlock im Monat registriert. Das Ergebnis übertraf den Höchststand der Verbreitung von Trojan.Winlock im Januar 2010. Diese Entwicklung können Sie am Bild unten verfolgen.

Trojan.Winlock-Blocker

Am 7. Mai tauchten neue Windows-Blocker auf, die nicht den Versand einer kostenpflichtigen SMS, sondern die Überweisung von Bargeld per Zahlungsterminals forderten. Zuvor hatten die Cyber-Kriminellen mehrere Zahlungsmethoden wie WebMoney, RBKMoney, "Wallet One" verwendet. Solche Blocker und ihre vielfältige Varianten werden von Dr.Web als Trojan.Winlock eingestuft.

Ende des Monats wurden die Anwender aufgefordert, ihr Geld auf das angegebene Konto zu überweisen. Dabei wurden die Mobiltelefonnummern ständig gewechselt, um die Entdeckung durch Rechtsschutzbehörden zu erschweren.

Der Entschlüsselungscode soll laut Meldungen von neuen Trojan.Winlock-Varianten auf einem Rechungszettel stehen.

Bei der Infektion mit Trojan.Winlock handelt es sich um Beträge von 8 bis zu 16 €.

Diese Schadprogramme bewirkten eine neue Verbreitungswelle von Windows-Blockern. Alternative Monetisierungsmodelle ermöglichen es den Cyber-Kriminellen, gemeinsame Aktionen von Mobilfunkanbietern, Service-Aggregatoren, Aufsichtsbehörden und IT-Security-Unternehmen zu umgehen. Der Kampf gegen Cyber-Kriminalität wird durch die Nutzung verschiedener Zahlungssysteme erschwert.

Wir möchten alle zu Schaden gekommenen Anwender darauf aufmerksam machen, dass Doctor Web auf der Seite Dr.Web Unlocker regelmäßig neue Entschlüsselungscodes veröffentlicht. Hier kann man auch neue Passwörter finden, mit denen man die durch Trojan.Encoder verschlüsselten Dateien entschlüsseln kann.

Unten finden Sie die Galerie der meist verbreiteten Windows-Blocker im Mai.

Trojan.Winlock Galerie

Neue Bootkits

Im Mai haben die Sicherheitsspezialisten von Doctor Web neue Bootkits (Rootkit-Vurus, der sich im Boot-Bereich einschleust und sich vor dem Systemstart ausführt) wie Trojan.Alipop und Trojan.Hashish entdeckt. Das erste Bootkit war für chinesiche Anwender gedacht und sollte die Besucherzahl einiger Websites manipulieren. Das zweite Boot-Virus sollte entsprechende böswillige Module starten. Zur Zeit enthält Trojan.Hashish Schadprogramme der Win32.HLLC.Asdas-Familie, die Banner in Webbrowsern anzeigen. Dieses böswillige Programm ist auch mit Funktionen ausgerüstet, die die Infektion von ausführbaren Dateien ermöglicht.

Die Sicherheitsspezialisten von Doctor Web haben blitzschnell reagiert und den Dr.Web GUI-Scanner für Windows gegen neue Bootkits aktualisiert. Nicht alle IT-Security-Unternehmen sind zur Zeit in der Lage, ein effizientes Tool gegen Malware auf den Markt zu bringen. Viele Antivirenprodukte verfügen überhaupt über keine Funktionen gegen Bootkits und können das infizierte System nicht reparieren. Einige Antivirenprogramme können Bootkits überhaupt nicht entdecken.

Verbreitung von gefälschter Antivirensoftware lässt nach

Trotz zurückgehender Verbreitung von Trojan.Fakealert basteln die Cyber-Kriminellen weiter an neuen Malware-Variationen. Dies macht verschiedene Artikel, die vielfältige Vorgehensweisen gegen gefälschte Antivirensoftware empfehlen, nur für einen bestimmten Zeitraum nützlich.

Unten finden Sie die Galerie der meist verbreiteten gefälschten Antivirensoftware im Mai.

Trojan.Fakealert Galerie

Verschlüsselungs-Malware

Im Mai sind einige neue Varianten von Trojan.Encoder aufgetaucht. Deren Verbreitung geht mit der Verbreitung von entsprechenden Baukasten-Programme einher. Vom 15. bis zum 17. Mai wurde der Anstieg der Detektionsrate bei Verschlüsselungssoftware registriert. Die Opfer wurden aufgefordert, sich mit den Cyber-Kriminellen via ICQ in Verbindung zu setzen oder eine kostenpflichtige SMS zu versenden. Täglich wurden etwa 1 300 - 1 900 Exemplare bei einer Tagesnorm von bis zu 500 Exemplaren detektiert.

Neue Variationen von Trojan.Encoder verfolgen öfters das Ziel, Doctor Web bei Anwendern in Mißkredit zu bringen. In deisem Fall haben die verschlüsselten Dateien Dr.Web Firmensymbolik.

Doctor Web empfiehlt den Anwendern, bei Problemen wegen Verschlüsselungs-Malware das Virenlabor von Doctor Web zu kontaktieren.

Der Anteil von Malware unter allen durch Dr.Web geprüften Dateien ist im Mai 2010 sowohl im E-Mail-Traffic als auch auf PCs der Anwender zurückgegangen. Dies lässt sich auf die zurückgehende Verbreitung von gefälschter Antivirensoftware und nachlassende Aktivität der größten Botnets zurückführen.

Top 20 Malware im E-Mail-Traffic

Top 20 Malware auf PCs der Anwender

Hanau, 1. Mai 2010

Im April haben sich Cyber-Kriminelle auf den SMS-Betrug konzentriert. Diesmal haben sie Torrent-Tracker und Download-Portale anvisiert, die sie durch gefälschte Websites zu ersetzen versuchen. Im April wurde auch neue Schadsoftware für Smartphones entdeckt. Unter den Top 20 Malware im E-Mail-Traffic landete auch gefälschte Antivirensoftware.

Gefälschte Torrent-Tracker und Download-Portale

Die Sicherheitsexperten von Doctor Web haben ein Netz von gefälschten Torrent-Trackern und Download-Portalen entdeckt, die Anwender im GUS-Raum anvisiert haben. Gefähliche Web-Inhalte werden aktiv promotet. Sie tauchen in beliebten Suchanfragen ganz hoch auf und sind vor allem auf ein breites Publikum abgezielt, das Filme, Bücher, Musik, Spiele und Software herunterladen will. Solche Websites sind auch mit einem Suchsystem ausgerüstet, das Anwendern Antworten auf beliebige Fragen bietet.

Der Anwender soll nach Plan der Cyber-Kriminellen über Links in der Suchanfrage oder Werbe-Links auf die Website gelangen. Danach soll er eine ausführbare Datei (ca. 16 MB) herunterladen, die er zunächst per Kreditkarte bezahlen soll. Dr.Web klassifiziert diese Datei als Tool.SMSSend.2. Der Statistikserver verzeichnete täglich 6 000 detektierte Malware-Exemplare.

Copyright-Virus

Im April hat sich auch Trojan.Fakealert.14886 aktiv breit gemacht. Der Schädling meldet bei der Infizierung des Systems vermeintlich illegale Torrent-Dateien, die dem Anwender Rechtsprobleme bereiten können.

Trojan.Fakealert.14886 verbreitet sich als Installationsassistent für die Software. Wenn der Anwender das Schadprogramm durch Standardtools nicht entfernt und seinen PC neu startet, wird der Zugriff auf das System gesperrt. Der Schädling geht in dieser Hinsicht wie Trojan.Winlock vor.

Im April wurde auch eine neue Variante von Trojan.Winlock identifiziert, die dem Anwender mitteilt, dass er Urheberrechte verletzt. Dabei bietet der Trojaner alternative Download-Kanäle gegen kostenpflichtige SMS an.

Gefälschte Antivirensoftware

Gefälschte Antivirensoftware verbreitet sich weiter massiv in englischsprachigen Ländern. Ea tauchen immer wieder neue Varianten mit modifizierten Layouts und Benutzeroberflächen auf. Die Verbreitungsmethoden von Trojan.Fakealert blieben unverändert. Der Statistikserver verzeichnete im April 750 000 detektierte Exemplare. Im März waren es nahezu 1 000 000 Exemplare.

Trojan.Fakealert Galerie

Windows-Blocker

Die Verbreitung von Windows-Blockern im April hat nachgelassen und lag bei 720 detektierten Exemplaren pro Tag. Im März waren es täglich ca. 1 300 Malware-Exemplare. Die Zahl von neuen Trojan.Winlock Varianten ist aber weiter gewachsen. Die Anwender sprachen regelmäßig den Technischen Support von Doctor Web an, weil sie das Problem selbständig nicht loswerden konnten.

Trojan.Winlock Galerie

Dialer für Smartphones

In diesem Monat wurde auch WinCE.Dialer.1 entdeckt, der auf Pocket-PCs unter Windows Mobile kostenpflichtige Telefonnummern in verschiedenen Ländern anruft.

Der Dialer verbreitet sich als Spiel für Pocket-PCs und wird in 2 Tagen nach einer erfolgreichen Infiizierung aktiv.

Der Malware-Anteil in dem durch Dr.Web geprüften E-Mail-Traffic im April 2010 ist um 28 % gewachsen. Der Malware-Anteil auf PCs der Anwender hat sich verdoppelt. Das Ergebnis lässt sich auf eine intensive Verbreitung von Malware über infizierte Websites, PDF-Exploits, Flash (SWF), Browser usw. zurückführen.

Top 20 Malware im E-Mail-Traffic

Top 20 Malware auf PCs der Anwender