Hanau, 7. Mai 2013

Die Sicherheitsexperten von Doctor Web haben vor kurzem Trojan.Mods.1 unter die Lupe genommen. Der Schädling gehört zu den Top 10 von Malware im April 2013. Früher führte er den Namen Trojan.Redirect.140. Laut Statistiken von Dr.Web CureIt! macht er 3,07% von der Gesamtzahl der entdeckten Infizierungen aus. Nachfolgend finden Sie eine Kurzanalyse des Trojaners.

Der Trojaner besteht aus zwei Komponenten: Dropper und dynamische Bibliothek, die für die Malware-Verbreitung verantwortlich ist. Während der Installation auf dem PC des Opfers erstellt der Dropper seine Kopie in einem Ordner auf der Festplatte und führt sich aus. Im Betriebssystem Microsoft Windows Vista kann sich der Dropper als Java-Anwendung ausführen, um Benutzerkonten (User Accounts Control, UAC) zu umgehen. Der Benutzer soll in diesem Fall das Herunterladen der Anwendung bestätigen.

Anschließend speichert der Dropper auf der Festplatte die Hauptbibliothek des Trojaners, die sich auf dem infizierten PC in alle gestarteten Prozesse integriert. Die Bibliothek läuft aber nur in den Browsern Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Interent, Yandex.Browser und Rambler Nichrom. Die Konfigurationsdatei von Trojan.Mods.1 liegt in der Bibliothek verschlüsselt.

Die Hauptfunktion von Trojan.Mods.1 ist die Unterschiebung von Webseiten, indem die Übeltäter Systemfunktionen, die für die Übertragung von DNS-Namen der Websites in IP-Adressen verantwortlich ist. Wenn der Trojaner aktiviert ist, wird der Benutzer auf betrügerische Websites umgeleitet, wo er seine Mobiltelefonnummer eingeben und die zugeschickte SMS beantworten soll. Sollte der Benutzer dies akzeptieren, wird von seinem Konto ein bestimmter Betrag abgebucht.

Die Architektur von Trojan.Mods.1 ist mit einem Algorithmus ausgerüstet, durch den die Umleitung des Browsers für eine bestimmte Gruppe von Adressen sich deaktivieren lässt.

Die Signatur dieses Trojaners wurde in die Dr.Web Virendatenbank eingetragen. Trojan.Mods.1 stellt deshalb keine Gefahr für Anwender von Dr.Web Produkten dar.

Hanau, 19. März 2013

Der IT-Sicherheitsspezialist Doctor Web teilt über ein rasantes Wachstum von Werbeapplikationen für Rechner unter Mac OS X mit. Darunter sei vor allem Trojan.Yontoo.1 erwähnt, der als Uploader Extras für beliebte Browser installiert.

Seit Anfang 2013 beobachten die Sicherheitsexperten von Doctor Web das rapide wachsende Aufkommen von Werbeads für Mac OS X. So verdienen die Übeltäter an Partnerprogrammen der Werbenetzwerke. Gleichzeitig wächst auch das Interesse der digitalen Verbrecher für Apple-kompatible Rechnern. Ein gutes Beispiel dafür liefert der vor kurzem entdeckte Trojan.Yontoo.1.

Dieser Trojaner dringt in Rechner seiner Opfer auf verschiedene Weise. Zur Verbreitung des Trojaners verwenden die Übeltäter Webseiten mit der Filmvorschau. Beim Aufrufen dieser Webseiten wird der Benutzer aufgefordert, ein Plug-in für seinen Browser zu installieren. Dieses Dialogfenster soll den Benutzer in die Irre führen. Nachdem der Benutzer auf „Install the plug-in“ gekickt hat, wird er zur Website weitergeleitet, wo er den als gewöhnliche Anwendung getarnte Trojan.Yontoo.1 herunterlädt.

Die Übeltäter haben mehrere alternative Verbreitungsmethoden für den Trojaner vorgesehen. Das Opfer kann den Trojaner z.B. als Videoplayer oder ein anderes nützliches Video-Tool aus dem Internet herunterladen.

Nachdem Trojan.Yontoo.1 gestartet wurde, wird auf dem Bildschirm des Opfers ein Dialogfenster angezeigt, wo man ihm anbietet, Free Twit Tube zu installieren.

Statt des angegebenen Programms lädt der Trojaner das Yontoo-Plug-in für Mac OS X Betriebssysteme herunter: Safari, Chrome und Firefox. Dieses Plug-in läuft im Hintergrundmodus und übermittelt auf einen Remote-Server Daten über Webseiten, die vom Benutzer geöffnet werden.

Anschließend lädt das Plug-in von den Übeltätern eine spezielle Datei, die es dem Benutzer ermöglicht, sich Werbewebseiten von verschiedenen Partnerprogrammen anzusehen. So würde z.B. auf einem infizierten Rechner die Website apple.com aussehen:

Solche Plug-ins werden von Dr.Web als Adware.Plugin detektiert. Es sei bemerkt, dass eine vergleichbare Verbreitungsmethode des Werbe-Trojaners auch für Windows existiert.

Hanau, 6. Februar 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Verbreitungswelle von Malware unter Facebook-Benutzern. Diesmal haben die Übeltäter auf die integrierte Anwendung abgezielt, die es ermöglicht, auf Facebook-Seiten den Schadcode zu platzieren. Zur Verbreitung von Trojanern verwendet man gefälschte thematische Gruppen, wo man auf die hinter dem Videospot getarnte Links zu einer böswilligen Anwendung trifft.

Zur Verbreitung von Malware haben die Übeltäter eine Vielzahl von thematischen Facebook-Gruppen wie Videos Mega oder Mega Videos erstellt. Zum 5. Februar 2013 zählten die Gruppen mehrere Hundert Mitglieder. In jeder Gruppe haben die Übeltäter einen Link zur integrierten böswilligen Anwendung platziert. Der Benutzer sollte nach dem Szenario der Übeltäter auf den vorgeschobenen Videospot klicken und anschließend seinen Videoplayer über das gefälschte Facebook-Fenster aktualisieren.

Nachdem der Benutzer das Update installiert hat, wird auf seinen Rechner das selbst auspackende Archiv mit Trojan.DownLoader8.5385 automatisch geladen. Dabei besitzt der Trojaner die legitime digitale Signatur Updates LTD von Comodo. Das ist der Grund, weshalb böswillige Anwendungen während der Installation vom Betriebssystem akzeptiert werden.

Trojan.DownLoader8.5385 ist ein normaler Download-Trojaner, dessen Hauptaufgabe im Herunterladen und Starten von böswilliger Software besteht. In diesem Fall lädt der Trojaner Plug-ins für Google Chrome und Mozilla Firefox herunter, die für den Massenversand von Einladungen für den Beitritt zu verschiedenen Facebook-Gruppen sowie für die Installation von Like-Zeichen gedacht sind. Diese böswillige Software erfüllt folgende Funktionen:

• Informationen über Facebook-Freunde des Opfers herausbekommen;
• Like-Zeichen auf Facebook-Seiten oder bei einem externen Link setzen;
• Den Zugang zum Fotoalbum Facebook-Seiten gewähren;
• Gruppen beitreten;
• Einladungen für den Gruppenbeitritt verschicken;
• Links an den Benutzer-Wänden veröffentlichen;
• Status ändern;
• Chat-Fenster öffnen;
• An Veranstaltungen teilnehmen;
• Einladungen zu Veranstaltungen an Benutzer verschicken;
• Kommentare veröffentlichen;
• Angebote erhalten und verschicken;

Die Konfigurationsdatei mit allen für die Plug-ins notwendigen Daten wird auf infizierten PC vom Server der Cyber-geladen. Diese Plug-ins werden von Antivirensoftware als Trojan.Facebook.310 detektiert.

Darüber hinaus installiert Trojan.DownLoader8.5385 auf den infizierten PC den BackDoor.IRC.Bot.2344, der Workstations in Botnets einbindet. Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, die ihm via IRC (Internet Relay Chat) übermittelt werden. Dafür stellt er eine Verbindung zu den von Kriminellen angelegten Chat-Kanälen her. Unter Befehlen, die von BackDoor.IRC.Bot.2344 ausgeführt werden können, sind folgende hervorzuheben:

• Befehle von CMD;
• Dateien von definierten Internetseiten herunterladen und in einen lokalen Ordner platzieren;
• Prüfen, ob der vorgegebene Prozess gestartet wurde;
• An den Remote-Server eine Liste mit gestarteten Prozessen per tasklist.exe übermitteln;
• Vorgegebene Prozesse stoppen;
• Beliebige Anwendungen starten;
• Plug-ins herunterladen und für Google Chrome installieren.

Also kommt man zum Schluss, dass die aktuelle Sicherheitspolitik für integrierte Facebook-Anwendungen zur Verbreitung von Trojanern beiträgt. Alle erwähnten Schädlinge wurden von Doctor Web Analysten in die Virendatenbanken eingetragen und stellen für Dr.Web Benutzer keine Gefahr dar. Unsere Sicherheitsexperten von Doctor Web empfehlen den Anwendern Updates nur aus zuverlässigen Quellen zu installieren.

Hanau, 4. Februar 2013

Der erste Monat des Jahres 2013 brachte insgesamt keine Überraschungen mit sich. Zum Haupttrend des Monats Januar wurde die Verbreitung von Trojan.Mayachok sowie neuer Virenbedrohungen für Windows und Android.

Allgemeine Sicherheitslage

Im Januar 2013 trat der Trojaner Trojan.Mayachok.2 in den Vordergrund. Trojan.Mayachok.2 ist uns bereits seit dem Frühling 2011 bekannt und stellt ein VBR-Bootkit dar. Dieser Schädling infiziert VBR (Volume Boot Record) des NTFS-Dateisystems. Dabei ist Trojan.Mayachok.2 mit Treibern sowohl für 32-Bit- als auch 64-Bit-Versionen von Microsoft Windows ausgerüstet. Der digitale Schädling sperrt den Internetzugang des Opfers sperren und bietet ein Sicherheits-Update zum Herunterladen an. Dabei soll das Opfer seine Handynummer sowie den entsprechenden SMS-Code im angebotenen Formular eingeben und sich mit den Bedingungen der kostenpflichtigen Nutzung einverstanden erklären. Auf diese Weise soll vom Konto des Opfers ein bestimmter Betrag monatlich abgebucht werden.

Da der Schädling im Hauptspeicher des Rechners läuft, hilft die Neuinstallation der Browser, die Wiederherstellung des Betriebssystems und das Starten von Windows im geschützten Modus nicht weiter. Die effizienteste Lösung bietet nur das Tool Dr.Web CureIt!, mit dem der gefährliche Schädling entdeckt werden kann, und Dr.Web LiveCD. Eine detaillierte technische Analyse des Trojaners finden Sie hier.

Unter den aufgespürten Bedrohungen sind auch Trojan.Mayachok.18550, BackDoor.IRC.NgrBot.42 und Trojan.SMSSend, der als kostenpflichtiges Archiv getarnt ist, zu finden. Eine detaillierte Übersicht der mit Dr.Web CureIt! entdeckten Viren & Co. finden Sie in der nachfolgenden Tabelle:

Botnet BlackEnergy lebt wieder auf

Die Sicherheitsanalysten von Doctor Web haben im Januar eine neue Modifikation von BlackEnergy (BackDoor.BlackEnergy.36) entdeckt. Durch den Einsatz dieses Trojaners konnten die Übeltäter eines der weltweit größten Botnets für den Versand von Spam-Mails aufbauen.

Vor kurzem haben Übeltäter es noch einmal versucht, ein Botnet auf Basis von BackDoor.BlackEnergy.36 aufzubauen. Die neue und die vorangegangen Versionen des Trojaners unterscheiden sich hauptsächlich dadurch, dass die Konfigurationsdatei des Trojaners nun in einem separaten Sektor der dynamischen Bibliothek verschlüsselt gespeichert wird. Diese Bibliothek ist auch in einem der Sektoren des Trojaners enthalten. Beim Ausführen des Trojaners dringt sie in den Prozess svchost.exe oder explorer.exe ein. Darüber hinaus haben die Übeltäter das Netzprotokoll abgeändert, über das BackDoor.BlackEnergy.36 mit seinem Verwaltungsserver Daten austauscht. Nach dem Aufbau des neuen Botnets haben die Übeltäter eine Pause eingelegt. Kurz danach wurde ein beliebtes Unterhaltungsportal attackiert. Die Sicherheitsspezialisten von Doctor Web haben BackDoor.BlackEnergy.36 im Botnet BackDoor.Andromeda aufgespürt. Weitere Informationen zu dieser Bedrohungen finden Sie in diesem Artikel.

Virenbedrohungen für Android

Die große Beliebtheit von mobilen Endgeräten unter Android bewirkte ein großes Interesse der Übeltäter an persönlichen Daten der Benutzer auf diesen Endgeräten. Das im Jahre 2012 stark gewachsene Malware-Aufkommen wird sich wohl auch 2013 weiter vergrößern.

So wurde z.B. Anfang Januar der nächste Android-Schädling entdeckt, der persönliche Daten japanischer Benutzer klaute. Wie andere böswillige Anwendungen verbreitete sich Android.MailSteal.2.origin über Spam-Mails, wo das potenzielle Opfer aufgefordert wurde, ein das angeblich nützliche Programm zu installieren. Beim Klicken auf den vorhandenen Link wurde der Benutzer zum vorgetäuschten Google Play-Fenster weitergeleitet. Auf diese Weise konnte sich der gefährliche Trojaner auf seinem Rechner einnisten. Die Funktionsweise von Android.MailSteal.2.origin war gut durchdacht: der Schädling informierte den Benutzer über vorläufige Einstellungen, die er vorgenommen hat. Gleichzeitig suchte er verdeckt nach Kontakten und persönlichen Daten in E-Mails und lud diese auf einen Remote-Server hoch. Diese Daten konnten auch zum Aufbau eines neuen Botnets verwendet werden.

Die Sicherheitsanalysten von Doctor Web haben darüber hinaus eine Vielzahl von neuer Spyware entdeckt: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Für BlackBerry sind auch folgende Exemplare zu nennen: BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Die kostenpflichtige Spyware kann unterschiedliche Funktionen übernehmen: SMS-Nachrichten, ein- und ausgehende Telefonate kontrollieren, Ihren Standort via GPS bestimmen usw. Vertrauliche Daten auf dem Endgerät mit solcher Spyware sind immer vom Diebstahl bedroht. Die wachsende Zahl solcher Programme ist auf eine stabile Nachfrage zurückzuführen.

Weitere Bedrohungen im Rückblick

Anfang Januar wurde BackDoor.Finder entdeckt, der die größte Verbreitung in den USA fand. Der Trojaner nistet sich in Prozessen beliebter Browser (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape oder Avant) ein, fängt Benutzerzugriffe in Suchmaschinen wie google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com oder yandex.com ab und zeigt Suchergebnisse mit den speziell angefertigten Links an. Weitere Informationen zu diesem Trojaner können Sie in diesem Artikel nachlesen.

Im Januar ist auch eine neue Version von BackDoor.Butirat (BackDoor.Butirat.245) aufgetaucht. Dieser Trojaner ist in der Lage, Malware auf den infizierten Rechner hochzuladen, ausführbare Dateien auf Befehl des Verwaltungsservers zu starten und Passwörter für FTP-Clients klauen. Weitere Informationen zu diesem Trojaner finden Sie hier.

Malware im E-Mail-Traffic für Januar 2013

Malware auf Rechnern der Benutzer für Januar 2013

Hanau, 24. Janaur 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung des neuen Schädlings aus der Familie. Die neue Version, die man als BackDoor.Butirat.245 bezeichnet, verwendet eine neue Methode zur Generierung von Verwaltungsservernamen. So versuchen die Übeltäter, die Resistenz des böswilligen Programms bei der eventuellen Deaktivierung eines seiner Verwaltungsserver zu erhöhen.

Die Trojaner aus der Familie BackDoor.Butirat sind in der Lage, ausführbare Dateien auf Befehl eines Verwaltungsservers auf den infizierten PC herunterzuladen und Passwörter für beliebte FTP-Clients (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP usw.) zu klauen.

Das Infizierungsprinzip von BackDoor.Butirat ist alles andere als neu. Der Schädling erstellt seine Kopie in einem der Systemverzeichnisse und nimmt Änderungen im Registry vor, damit er beim Laden von Windows automatisch ausgeführt werden könnte.

Das Besondere an BackDoor.Butirat.245 ist es, dass er eine neue Methode zur Generierung von Verwaltungsservernamen verwendet. Früher war die Adresse eines Kommandocenters nur beim böswilligen Programm zu finden. Wie bei neuen Versionen von BackDoor.BlackEnergy gab es bei der Untersuchung von BackDoor.Butirat.245 eine Überraschung: der Trojaner generiert automatisch Namen von Verwaltungsservern der dritten Ebene. Die Domain der zweiten Ebene ist für ein wohl bekanntes Unternehmen registriert, das in der Regel allfällige Beschwerden und Nachrichten ignoriert. Die Übeltäter glaubten, damit die Resistenz des böswilligen Programms bei der eventuellen Deaktivierung eines seiner Verwaltungsserver zu erhöhen.

Die Signatur für BackDoor.Butirat.245 wurde in die Dr.Web Virendatenbank bereits eingetragen. Der Schädling stellt deshalb für Dr.Web Anwender keine Gefahr dar.

Hanau, 17. Januar 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor der Verbreitung eines gefährlichen Trojaners aus der Familie BackDoor.BlackEnergy. Im Juli 2012 ist es in den Nachrichten aufgetaucht, dass Hauptverwaltungsserver des Botnets unter diesem Trojaner liquidiert wurden. Es sei aber bemerkt, dass das Botnet BlackEnergy noch einige Monate weiter lebte, bis es im Herbst 2012 endgültig verschwand. Im Januar 2013 ist plötzlich eine neue Variante des Schädlings aufgetaucht.

Es sei erwähnt, dass BackDoor.BlackEnergy ein komplexes Trojanerprogramm für den Versand von Spam-Mails ist. Durch den Einsatz dieses Trojaners konnten die Übeltäter eines der weltweit größten Botnets für den Versand von Spam-Mails aufbauen. An einem Tag konnte der Trojaner bis zu 18 Mrd. Spam-Mails verschicken. Das Besondere an den Trojanern aus der Familie BackDoor.BlackEnergy ist es, dass sie Zusatzmoduls und eine XML-Konfigurationsdatei verwenden, die sie zunächst vom Verwaltungsserver laden.

Die Besitzer der neuen Trojanerversion BackDoor.BlackEnergy.36 sind voraussichtlich dieselben Übeltäter, die frühere Modifikationen des Schädlings verwendet haben. Dies bestätigt die Tatsache, dass BackDoor.BlackEnergy.36 für die Datenverschlüsselung denselben Schlüssel wie bei einigen Botnets unter BlackEnergy verwendet.

Man kann allgemein zwei Hauptunterschiede von BackDoor.BlackEnergy.36 zu den vorherigen Versionen des Trojaners feststellen. Die Konfigurationsdatei des Trojaners wird in einer separaten Sektion der dynamischen Bibliothek verschlüsselt gespeichert. Diese Bibliothek ist im Trojaner integriert und schleust sich in den Prozess svchost.exe oder explorer.exe ein. Darüber hinaus haben die Übeltäter das Netzprotokoll, durch das BackDoor.BlackEnergy.36 mit seinem Verwaltungsserver Daten austauschte, modifiziert.

Zum jetzigen Zeitpunkt haben die Sicherheitsanalysten von Doctor Web mehrere Verwaltungsserver von BackDoor.BlackEnergy.36 entdeckt, mit denen die Cyber-Kriminellen ein neues Botnet für die massive Verbreitung von Spam-Mails aufzubauen versuchen. Unsere Sicherheitsanalysten beobachten weiter die Situation rund um den Trojaner BackDoor.BlackEnergy.36. Für Dr.Web Anwender stellt er keine Gefahr dar. Eine entsprechende Signatur wurde in die Dr.Web Virendatenbank bereits eingetragen.

Hanau, 22.August 2012

Der IT-Sicherheitsspezialist Doctor Web berichtet vom ersten plattformübergreifenden Backdoor-Trojaner, der unter Linux und Mac OS X funktionieren kann. Dieses böswillige Programm soll Passwörter für beliebte Internet-Anwendungen klauen. BackDoor.Wirenet.1 ist in der Geschichte der Antiviren-Industrie der erste Trojaner mit solchen Funktionen.

Die Verbreitungsmethode des Trojaners, der in die Dr.Web Virendatenbank bereits eingetragen wurde, wird zur Zeit herausgefunden. Eins steht fest: der Schädling ist ein Backdoor und kann sowohl unter Linux als auch unter Mac OS X funktionieren.

Beim Starten von BackDoor.Wirenet.1 erstellt er eine Kopie im Benutzerverzeichnis. Für die Kommunikation mit seinem Befehlsserver, der sich unter 212.7.208.65 befindet, verwendet er die Verschlüsselungsmethode Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 ist mit der Funktion eines Keyloggers ausgerüstet (d.h. er kann Aktionen des Benutzers überwachen und entsprechende Daten den Cyber-Kriminellen zusenden). Außerdem entwendet der Trojaner Passwörter, die vom Benutzer in den Browsern Opera, Firefox, Chrome, Chromium sowie den Programmen Thunderbird, SeaMonkey und Pidgin eingegeben werden. Dr.Web Antivirensoftware kann den Trojaner erfolgreich entdecken. Der digitale Bösewicht ist deshalb für Benutzer von Dr.Web Antivirus für Mac OS X und Dr.Web Antivirus für Linux nicht gefährlich.

Hanau, 2. Juli 2012

Der Juni 2012 verlief ziemlich ruhig für die Sicherheitsszene. Es gab weder Epidemien noch ungewöhnliche Fälle mit einer erhöhten Virenaktivität. Die Übeltäter gaben sich aber Mühe beim Versand von Massen-Mails, über die Schadsoftware verbreitet werden soll. Es sind ansonsten neue Trojaner für Android aufgetaucht. Insgesamt ist die Anzahl der aufgespürten Viren & Co. zurückgegangen, was für die Urlaubszeit typisch ist.

Aktuelle Sicherheitslage

Laut Statistiken, die durch Dr.Web CureIt! gesammelt wurden, erwies sich Trojan.Mayachok.1 als besonders beliebt. Seine Detektionsrate ist von 3,73% (45 327 Fälle) im Mai bis auf 5,82% (56 767 Fälle) im Juni gestiegen. Es wurden auch immer mehr verschiedene Varianten von Download-Trojanern entdeckt. Die Detektionsrate von Trojan.SMSSend blieb auf demselben Niveau. Die Verbreitung von Bank-Trojanern Trojan.Carberp verschiedener Versionen ist zurückgegangen. Wie sich die Virensituation entwickelt, ist auf dem nachfolgenden Bild dargestellt.

Als Tabellenführer unter böswilligen Objekten, die über Massen-Mails verbreitet werden, positioniert sich BackDoor.Andromeda.22. Über diesen Schädling wird jede Menge von gefährlichen Anwendungen auf infizierte Computer heruntergeladen. Diese Backdoors können verchlüsselte Daten mit einer böswilligen Website austauschen und auf Befehl unerwünschte Dateien herunterladen.

Den zweiten und dritten Platz belegen die Download-Trojaner. Hinterher ist Trojan.Inject1.4969 über den wir einmal berichtet haben. Auch Würmer der Familie Win32.HLLM.MyDoom und Blocker-Trojaner sind im Ranking zu finden.

Botnets

Es mag erstaunlich sein, aber das von unseren Sicherheitsspezialisten entdeckte größte Botnet BackDoor.Flashback.39, welches eine Vielzahl von Apple-kompatiblen Computern infiziert hat, funktioniert bis jetzt. Die Zahl der eingebundenen PCs geht allmählich zurück. So hat sich die Anzahl aktiver Macs von 364 741 bis auf 191 756 für Ende Juni, d.h. um 47,4%. Der tägliche Zuwachs des Botnets BackDoor.Flashback.39 beträgt 25 infizierte PCs. Die Entwicklung des Botnets BackDoor.Flashback.39 im Juni 2012 können Sie auf dem nachfolgenden Bild sehen.

Tendenz sinkend. Detaillierte Informationen über den Schädling können Sie auf unserer Website drweb.com/flashback finden. Außerdem können Sie Ihren PC auf diesen Backdoor überprüfen.

Um die Verbreitung von Win32.Rmnet.12 steht es aber anders. Nur nach einem Monat konnte der Schädling ein Botnet aus 3 292 190 infizierten PCs aufbauen, was ein Wachstum in Höhe von 17,5% im Vergleich zum Mai verzeichnet. Die meiste Verbreitung des Bots erfolgt in Indonesien, Bangladesch, Vietnam und Indien. Der Schädling greift aber allmählich auf andere Länder über. Täglich werden z.B. etwa 9 000–15 000 neue Bots in Subnetzwerken von Win32.Rmnet.12 registriert. Detaillierte Informationen können Sie dem nachfolgenden Bild entnehme.

Das Botnet Win32.Rmnet.16 wird jeden Monat größer. So konnte es nach einem Monat durch die Verbreitung in Großbritannien und Australien von 84 491 bis auf 104 874 infizierte PCs zuwachsen. Die Entwicklung des Botnets Win32.Rmnet.16 können Sie auf dem nachfolgenden Bild sehen.

Trojaner des Monats: Trojan.Hottrend

In der Kategorie „Trojaner des Monats“ gewinnt der Bank-Trojaner Tinba (Tiny Banker) die Oberhand. Der Schädling wiegt nur 20 KB. In der Virendefinitionsdatei von Dr.Web, wo er seit Ende April 2012 enthalten ist, wird er als Trojan.Hottrend bezeichnet.

Die Hauptfunktion dieses böswilligen Programms ist die Überwachung und der Abgriff von sensiblen Daten (u.a. Bankdaten). Außerdem haben unsere Sicherheitsexperten ein paar Bank-Trojaner wie Trojan.PWS.Banker.64540 entdeckt. Detaillierte Informationen über den Trojaner finden Sie auf der Website von Doctor Web.

Viren & Co. für Android

Während des Monats wurden über 35 neue Varianten von Android.SmsSend sowie weitere böswillige Programme, die mobilen Nutzern Schaden zufügen können, in die Virendatenbanken von Doctor Web eingetragen. Außerdem haben wir bereits vonAndroid.SpyEye.2.origin berichtet, der SMS auf einem infizierten mobilen Endgerät klauen kann.

Ende des Monats machte auf sich der Trojaner Android.SmsBot.1.origin, aufmerksam, der sich durch Spam-Links verbreitet. Zur Verbindung mit einem Remote-Server verwendet der Schädling Twitter. Nachdem Android.SmsBot.1 die Verbindung mit seinem Befehlscenter aufgebaut hat, kann er Informationen über den infizierten PC an Kriminelle übergeben sowie verschiedene Befehle ausführen. Eine der Hauptfunktionen des Trojaners ist der Versand von SMS-Nachrichten ohne Kenntnis des Benutzers. Dieses Programm stellt eine ernsthafte Gefahr von Benutzer mobiler Endgeräte.

Malware im E-Mail-Verkehr

Malware auf PCs der Anwender

Hanau, 24. Mai 2012

Der Sicherheitsspezialist Doctor Web warnt vor der Verbreitung einer neuen Variante des IRC-Bots, der in der Virendefinitionsdatei von Dr.Web den Namen BackDoor.IRC.IMBot.2 trägt. Wie andere Vertreter dieser BackDoor-Familie verschickt der Schädling durch IM-Dienste Spam-Mails, lädt herunter und startet ausführbare Dateien. Darüber hinaus kann er auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen.

Es gibt eine Menge von Trojanern, die das IRC-Protokoll (Internet Relay Chat) ausnutzen. Und neue Versionen des IRC-Bots tauchen immer häufiger auf. BackDoor.IRC.IMBot.2 könnte man als einen typischen Vertreter dieser BackDoor-Familie einstufen, wenn er eine interessante Funktion nicht hätte.

BackDoor.IRC.IMBot.2 verbreitet sich wie andere IRC-Bots. Der Trojaner speichert sich auf Wechseldatenträgern unter dem Namen usb_driver.com und erstellt im Hauptverzeichnis eine autorun.inf-Datei, durch die der Trojaner beim Anschließen des Wechseldatenträgers gestartet wird (wenn diese Funktion in den Einstellungen des Betriebssystems aktiviert ist).

Nachdem BackDoor.IRC.IMBot.2 sich gestartet hat, speichert er sich im Installationsverzeichnis von Windows und ändert das Systemregister, das für das automatische Starten von Anwendungen verantwortlich ist. BackDoor.IRC.IMBot.2 ändert auch die Einstellungen der Windows-Firewall, um eine Internetverbindung aufzubauen.

Der Trojaner ist darüber hinaus mit einer Funktion für die Suche nach Prozessen wie dumpcap, SandboxStarter, tcpview, procmon, filemon ausgerüstet. Er greift auf HKEY_PERFORMANCE_DATA (Bereich des Systemregisters) zu, der für die Systemleistung verantwortlich ist, und sucht nach gestarteten Prozessen. Diese Funktion wurde früher von Cyber-Kriminellen nicht verwendet.

BackDoor.IRC.IMBot.2 kann ausführbare Dateien herunterladen und diese auf dem infizierten Computer starten, Spam-Mails in IM-Diensten wie MSN Messenger, AOL Instant Messenger, Yahoo! Messenger verbreiten und auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Die Virendatenbanken von Dr.Web verfügen bereits über die entsprechende Signatur. Dr.Web Anwender müssen keine Angst vor dem Trojaner haben.

Hanau, 16. Mai 2012

Der Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung von Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf die vorgeschobene Website weiter, sperrt es aus und fordert Lösegeld per Kreditkarte.

Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen.

Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für Systemadressen der Websites und ihre DNS-Namen verantwortlich ist. Beim Wechseln auf eine beliebte Website wie Facebook, Google, Yahoo usw. wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm über den gesperrten Internetzugang mitgeteilt wird. Um seinen Internetzugang zu entsperren, muss das Opfer den Übeltätern seine Kreditkartendaten übermitteln.

Die Signatur für Trojan.Hosts.5858 wurde in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Der Trojaner kann aus dem System erfolgreich entfernt werden. Sollte die Forderung nach Lösegeld erneut auftauchen, wird Ihnen dringend empfohlen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren, indem Sie unnötige Eintragungen löschen.

Hanau, 5. Mai 2012

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Betrugsmasche, bei der Betrüger durch die speziell entwickelte Anwendung Profile Visitor an persönliche Daten der Facebook-Benutzer gelangen wollen. Dem Benutzer wird vorgegaukelt, dass er eine Liste mit Personen bekommt, die sich sein Profil angesehen haben. Dafür soll er den Zugang zur seiner Facebook-Wall gewähren. In der Tat soll der Benutzer ein Bild anklicken, welches ihn zu einer böswilligen Website weiterleitet. Die Freunde des Opfers erhalten in diesem Fall eine Nachricht, dass sie angeblich auf diesem Bild markiert wurden. So bekommt der böswillige Link einen größeren Spielraum.

Es gibt bereits Fälle, wo der Benutzer seine persönliche Seite bei Facebook aufruft und bei aktuellen Nachrichten einen Link auf Profile Visitor findet. Dem Benutzer wird versprochen, eine Besucherliste für sein Profil zu erstellen. Der Link, welcher zur im Facebook integrierten Anwendung weiterleitet, ist angeblich von einem seiner Freunde. Um die Anwendung zu aktivieren, soll der Benutzer die Veröffentlichung von Inhalten in seinem Namen freigeben. Nachdem das Opfer auf die „Freigeben“ geklickt hat, erscheint auf seiner Profilseite und im News-Bereich ein Link auf die oben genannte Anwendung. Sollte aber der Benutzer die Veröffentlichung abgelehnt haben, werden alle Freunde des Benutzer auf einem Werbe-Bild markiert. Eine entsprechende Nachricht sollen alle Kontakte des Facebook-Benutzers erhalten.

Danach öffnet sich im Browser des Opfers automatisch eine Website mit dynamischen Links. Sollte der Benutzer auf einen dieser Links geklickt haben, wird er sofort zu böswilligen Websites weitergeleitet. Inhalte dieser Websites richten sich nach IP-Adresse des Besuchers. Einige Webseiten fordern den Benutzer auf, Zugangsdaten für sein Bankkonto anzugeben. Die anderen bieten dem Benutzer an, seine Telefonnummer und einen Code einzugeben, den er kurz danach in einer SMS bekommen soll.

Unter Betrugsinhalten wurden auch falsche Lotterien, Online-Casino, psychologische Tests usw. entdeckt. Diese Websites werden vom Datenfilter Dr.Web SpIDer Gate, mit dem Dr. Web Produkte ausgerüstet sind, automatisch gesperrt.

Die Sicherheitsexperten von Doctor Web empfehlen den Facebook-Benutzern, vorsichtig zu sein und die Anwendung Profile Visitor sowie jeweilige Links, die bei Nachrichten erscheinen, zu ignorieren.

Hanau, 28. April 2012

Am 26. April 2012 wurden die Anwender über die Verbreitung von Spam-Mails mit einem gefährlichen Anhang informiert. Die Benutzerdateien werden verschlüsselt, sobald eine angehängte ausführbare Datei gestartet wurde. Heute möchten die Sicherheitsspezialisten von Doctor Web ein Tool präsentieren, mit dem die Anwender ihre Dateien entschlüsseln können. Das Tool ist als Gratis-Download verfügbar.

Die verbreiteten Massen-Mails sind auf Deutsch geschrieben und haben den Betreff „Ute Lautensack Vertrag Nr 46972057“. Diese E-Mail enthält eine ZIP-Datei mir dem Namen Abrechnung oder Rechnung. Sobald das Opfer die Datei gestartet hat, werden seine Dateien verschlüsselt.

Eine ernsthafte Gefahr stellt für Anwender Trojan.Matsnu.1 dar. Innerhalb der letzten 24 Stunden trafen bei Doctor Web über 50 Support-Anfragen aus Deutschland ein. Alle Opfer sind wegen dieses Schädlings zu Schaden gekommen.

Die Sicherheitsspezialisten von Doctor Web konnten Trojan.Matsnu.1 in kürzester Zeit analysieren und ein Tool entwickeln, das verschlüsselte Benutzerdateien entschlüsseln soll. Dieses Tool können Sie unter ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe herunterladen. Sollten Sie Ihre Dateien selbständig nicht entschlüsseln können oder der Vorgang mit einem Fehler abgebrochen wurde, kontaktieren Sie das Virenlabor von Doctor Web, indem Sie ein Thema in der Kategorie „Desinfektion“ anlegen. Dieser Service ist für alle Anwender kostenfrei.

Hanau, 20. April 2012

Die Sicherheitsspezialisten von Doctor Web verfolgen die Lage um das zur Zeit größte Botnet aus Macs weiter. In letzter Zeit erscheinen immer wieder Meldungen, wo über zurückgehende Anzahl der von BackDoor.Flashback.39 infizierten Macs berichtet wird. Die Sicherheitsexperten von Doctor Web verfügen aber über Statistiken, die 650 000 infizierte Macs aufweisen und die verbreiteten Informationen widerlegen.

Das Botnet von BackDoor.Flashback.39 besteht zum jetzigen Zeitpunkt aus 817 879 registrierten Bots. Täglich werden durchschnittlich 550 000 infizierte Macs aktiv. Am 16. April wurden im Botnet 717 004 unikale IP-Adressen und 595 816 UUIDs infizierter Apple-kompatibler Computer registriert. Am 17. April lag die Anzahl von IP-Adressen bei 714 483, die Anzahl von UUIDs – bei 582 405. Täglich tauchen im Botnet neue infizierte PCs auf. Das nachfolgende Diagramm zeigt die Wachstumsdynamik des Botnets vom 3. bis zum 19. April 2012.

BackDoor.Flashback.39-Botnet vom 3. bis zum 19. April 2012

In letzter Zeit tauchen Meldungen auf, wo über die zurückgehende Epidemie von BackDoor.Flashback.39 berichtet wird. Diesen Meldungen liegen in der Regel abgefangene Daten von Servern des böswilligen Netzwerks zugrunde. Die Sicherheitsexperten von Doctor Web haben eine Studie durchgeführt, um die Ursachen der Unterschiede in Statistiken herauszufinden.

Der Trojaner BackDoor.Flashback.39 verwendet eine komplexe Selektionsmethode für Domainnamen der Verwaltungsserver. Die Domainnamen werden anhand der im Schädling integrierten Konfigurationsdaten und je nach aktuellem Datum zusammengestellt. Der Trojaner führt dann eine konsequente Befragung von Kommandozentren durch. Die Hauptdomainnamen der Verwaltungsserver von BackDoor.Flashback.39 wurden von Doctor Web bereits Anfang April registriert. Die infizierten Computer greifen auf diese Domains in erster Linie zu. Am 16. April wurden Domains registriert, die je nach aktuellem Datum generiert werden. Da diese Domains von allen Varianten des BackDoor.Flashback.39-Botnets verwendet werden, konnte man durch die Registrierung zusätzlicher Verwaltungsserver die Größe des Botnets kalkulieren. Das lässt sich am Diagramm feststellen. Die Trojaner greifen auch auf das Kommandozentrum 74.207.249.7 zu, das Verbindungen zu Bots herstellt, die TCP-Verbindung aber nicht abbricht. Das führt dazu, dass Bots auf Antworten des Servers warten und folglich andere Server befragen, die extra für die Erforschung des Botnets von Doctor Web registriert wurden. Hier liegt die Ursache für unterschiedliche Statistiken, die Antivirenhersteller wie Symantec und Kaspersky vorweisen. Am nachfolgenden Bild können Sie sich ein Beispiel der TCP-Verbindung zu einem Kommandozentrum ansehen, das BackDoor.Flashback.39-Bots aufhängen lässt.

Doctor Web warnt nochmals vor BackDoor.Flashback.39 und fordert alle Mac-Benutzer auf, das nötige Java-Update zu installieren. Ihren Computer können Sie auf BackDoor.Flashback.39 unter www.drweb.com/flashback überprüfen. Um den Trojaner zu entfernen, benutzen Sie das Gratis-Programm Dr.Web für Mac OS X Light.