http://news.drweb-av.de/news/ - Sicherheits-Newshttp://www.av-desk.com/static/drweb_logo_ru.gifhttp://news.drweb-av.de/news/http://news.drweb-av.de/show/?i=1070&c=7Tue, 07 May 2013 00:00:00 GMT Hanau, 7. Mai 2013 Die Sicherheitsexperten von Doctor Web haben vor kurzem Trojan.Mods.1 unter die Lupe genommen. Der Schädling gehört zu den Top 10 von Malware im April 2013. Früher führte er den Namen Trojan.Redirect.140. Laut Statistiken von Dr.Web CureIt! macht er 3,07% von der Gesamtzahl der entdeckten Infizierungen aus. Nachfolgend finden Sie eine Kurzanalyse des Trojaners. Der Trojaner besteht aus zwei Komponenten: Dropper und dynamische Bibliothek, die für die Malware-Verbreitung verantwortlich ist. Während der Installation auf dem PC des Opfers erstellt der Dropper seine Kopie in einem Ordner auf der Festplatte und führt sich aus. Im Betriebssystem Microsoft Windows Vista kann sich der Dropper als Java-Anwendung ausführen, um Benutzerkonten (User Accounts Control, UAC) zu umgehen. Der Benutzer soll in diesem Fall das Herunterladen der Anwendung bestätigen. screen Anschließend speichert der Dropper auf der Festplatte die Hauptbibliothek des Trojaners, die sich auf dem infizierten PC in alle gestarteten Prozesse integriert. Die Bibliothek läuft aber nur in den Browsern Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Interent, Yandex.Browser und Rambler Nichrom. Die Konfigurationsdatei von Trojan.Mods.1 liegt in der Bibliothek verschlüsselt. Die Hauptfunktion von Trojan.Mods.1 ist die Unterschiebung von Webseiten, indem die Übeltäter Systemfunktionen, die für die Übertragung von DNS-Namen der Websites in IP-Adressen verantwortlich ist. Wenn der Trojaner aktiviert ist, wird der Benutzer auf betrügerische Websites umgeleitet, wo er seine Mobiltelefonnummer eingeben und die zugeschickte SMS beantworten soll. Sollte der Benutzer dies akzeptieren, wird von seinem Konto ein bestimmter Betrag abgebucht. screen Die Architektur von Trojan.Mods.1 ist mit einem Algorithmus ausgerüstet, durch den die Umleitung des Browsers für eine bestimmte Gruppe von Adressen sich deaktivieren lässt. Die Signatur dieses Trojaners wurde in die Dr.Web Virendatenbank eingetragen. Trojan.Mods.1 stellt deshalb keine Gefahr für Anwender von Dr.Web Produkten dar. http://news.drweb-av.de/show/?i=1060&c=7Sun, 17 Mar 2013 00:00:00 GMT Hanau, 19. März 2013 Der IT-Sicherheitsspezialist Doctor Web teilt über ein rasantes Wachstum von Werbeapplikationen für Rechner unter Mac OS X mit. Darunter sei vor allem Trojan.Yontoo.1 erwähnt, der als Uploader Extras für beliebte Browser installiert. Seit Anfang 2013 beobachten die Sicherheitsexperten von Doctor Web das rapide wachsende Aufkommen von Werbeads für Mac OS X. So verdienen die Übeltäter an Partnerprogrammen der Werbenetzwerke. Gleichzeitig wächst auch das Interesse der digitalen Verbrecher für Apple-kompatible Rechnern. Ein gutes Beispiel dafür liefert der vor kurzem entdeckte Trojan.Yontoo.1. Dieser Trojaner dringt in Rechner seiner Opfer auf verschiedene Weise. Zur Verbreitung des Trojaners verwenden die Übeltäter Webseiten mit der Filmvorschau. Beim Aufrufen dieser Webseiten wird der Benutzer aufgefordert, ein Plug-in für seinen Browser zu installieren. Dieses Dialogfenster soll den Benutzer in die Irre führen. Nachdem der Benutzer auf „Install the plug-in“ gekickt hat, wird er zur Website weitergeleitet, wo er den als gewöhnliche Anwendung getarnte Trojan.Yontoo.1 herunterlädt. screen Die Übeltäter haben mehrere alternative Verbreitungsmethoden für den Trojaner vorgesehen. Das Opfer kann den Trojaner z.B. als Videoplayer oder ein anderes nützliches Video-Tool aus dem Internet herunterladen. Nachdem Trojan.Yontoo.1 gestartet wurde, wird auf dem Bildschirm des Opfers ein Dialogfenster angezeigt, wo man ihm anbietet, Free Twit Tube zu installieren. screen Statt des angegebenen Programms lädt der Trojaner das Yontoo-Plug-in für Mac OS X Betriebssysteme herunter: Safari, Chrome und Firefox. Dieses Plug-in läuft im Hintergrundmodus und übermittelt auf einen Remote-Server Daten über Webseiten, die vom Benutzer geöffnet werden. screen Anschließend lädt das Plug-in von den Übeltätern eine spezielle Datei, die es dem Benutzer ermöglicht, sich Werbewebseiten von verschiedenen Partnerprogrammen anzusehen. So würde z.B. auf einem infizierten Rechner die Website apple.com aussehen: screen Solche Plug-ins werden von Dr.Web als Adware.Plugin detektiert. Es sei bemerkt, dass eine vergleichbare Verbreitungsmethode des Werbe-Trojaners auch für Windows existiert. http://news.drweb-av.de/show/?i=1049&c=7Wed, 06 Feb 2013 00:00:00 GMT Hanau, 6. Februar 2013 Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Verbreitungswelle von Malware unter Facebook-Benutzern. Diesmal haben die Übeltäter auf die integrierte Anwendung abgezielt, die es ermöglicht, auf Facebook-Seiten den Schadcode zu platzieren. Zur Verbreitung von Trojanern verwendet man gefälschte thematische Gruppen, wo man auf die hinter dem Videospot getarnte Links zu einer böswilligen Anwendung trifft. Zur Verbreitung von Malware haben die Übeltäter eine Vielzahl von thematischen Facebook-Gruppen wie Videos Mega oder Mega Videos erstellt. Zum 5. Februar 2013 zählten die Gruppen mehrere Hundert Mitglieder. In jeder Gruppe haben die Übeltäter einen Link zur integrierten böswilligen Anwendung platziert. Der Benutzer sollte nach dem Szenario der Übeltäter auf den vorgeschobenen Videospot klicken und anschließend seinen Videoplayer über das gefälschte Facebook-Fenster aktualisieren. Nachdem der Benutzer das Update installiert hat, wird auf seinen Rechner das selbst auspackende Archiv mit Trojan.DownLoader8.5385 automatisch geladen. Dabei besitzt der Trojaner die legitime digitale Signatur Updates LTD von Comodo. Das ist der Grund, weshalb böswillige Anwendungen während der Installation vom Betriebssystem akzeptiert werden. screen Trojan.DownLoader8.5385 ist ein normaler Download-Trojaner, dessen Hauptaufgabe im Herunterladen und Starten von böswilliger Software besteht. In diesem Fall lädt der Trojaner Plug-ins für Google Chrome und Mozilla Firefox herunter, die für den Massenversand von Einladungen für den Beitritt zu verschiedenen Facebook-Gruppen sowie für die Installation von Like-Zeichen gedacht sind. Diese böswillige Software erfüllt folgende Funktionen: * Informationen über Facebook-Freunde des Opfers herausbekommen; * Like-Zeichen auf Facebook-Seiten oder bei einem externen Link setzen; * Den Zugang zum Fotoalbum Facebook-Seiten gewähren; * Gruppen beitreten; * Einladungen für den Gruppenbeitritt verschicken; * Links an den Benutzer-Wänden veröffentlichen; * Status ändern; * Chat-Fenster öffnen; * An Veranstaltungen teilnehmen; * Einladungen zu Veranstaltungen an Benutzer verschicken; * Kommentare veröffentlichen; * Angebote erhalten und verschicken; Die Konfigurationsdatei mit allen für die Plug-ins notwendigen Daten wird auf infizierten PC vom Server der Cyber-geladen. Diese Plug-ins werden von Antivirensoftware als Trojan.Facebook.310 detektiert. Darüber hinaus installiert Trojan.DownLoader8.5385 auf den infizierten PC den BackDoor.IRC.Bot.2344, der Workstations in Botnets einbindet. Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, die ihm via IRC (Internet Relay Chat) übermittelt werden. Dafür stellt er eine Verbindung zu den von Kriminellen angelegten Chat-Kanälen her. Unter Befehlen, die von BackDoor.IRC.Bot.2344 ausgeführt werden können, sind folgende hervorzuheben: * Befehle von CMD; * Dateien von definierten Internetseiten herunterladen und in einen lokalen Ordner platzieren; * Prüfen, ob der vorgegebene Prozess gestartet wurde; * An den Remote-Server eine Liste mit gestarteten Prozessen per tasklist.exe übermitteln; * Vorgegebene Prozesse stoppen; * Beliebige Anwendungen starten; * Plug-ins herunterladen und für Google Chrome installieren. Also kommt man zum Schluss, dass die aktuelle Sicherheitspolitik für integrierte Facebook-Anwendungen zur Verbreitung von Trojanern beiträgt. Alle erwähnten Schädlinge wurden von Doctor Web Analysten in die Virendatenbanken eingetragen und stellen für Dr.Web Benutzer keine Gefahr dar. Unsere Sicherheitsexperten von Doctor Web empfehlen den Anwendern Updates nur aus zuverlässigen Quellen zu installieren. http://news.drweb-av.de/show/?i=1050&c=7Mon, 04 Feb 2013 00:00:00 GMT Hanau, 4. Februar 2013 Der erste Monat des Jahres 2013 brachte insgesamt keine Überraschungen mit sich. Zum Haupttrend des Monats Januar wurde die Verbreitung von Trojan.Mayachok sowie neuer Virenbedrohungen für Windows und Android. Allgemeine Sicherheitslage Im Januar 2013 trat der Trojaner Trojan.Mayachok.2 in den Vordergrund. Trojan.Mayachok.2 ist uns bereits seit dem Frühling 2011 bekannt und stellt ein VBR-Bootkit dar. Dieser Schädling infiziert VBR (Volume Boot Record) des NTFS-Dateisystems. Dabei ist Trojan.Mayachok.2 mit Treibern sowohl für 32-Bit- als auch 64-Bit-Versionen von Microsoft Windows ausgerüstet. Der digitale Schädling sperrt den Internetzugang des Opfers sperren und bietet ein Sicherheits-Update zum Herunterladen an. Dabei soll das Opfer seine Handynummer sowie den entsprechenden SMS-Code im angebotenen Formular eingeben und sich mit den Bedingungen der kostenpflichtigen Nutzung einverstanden erklären. Auf diese Weise soll vom Konto des Opfers ein bestimmter Betrag monatlich abgebucht werden. screen screen screen Da der Schädling im Hauptspeicher des Rechners läuft, hilft die Neuinstallation der Browser, die Wiederherstellung des Betriebssystems und das Starten von Windows im geschützten Modus nicht weiter. Die effizienteste Lösung bietet nur das Tool Dr.Web CureIt!, mit dem der gefährliche Schädling entdeckt werden kann, und Dr.Web LiveCD. Eine detaillierte technische Analyse des Trojaners finden Sie hier. Unter den aufgespürten Bedrohungen sind auch Trojan.Mayachok.18550, BackDoor.IRC.NgrBot.42 und Trojan.SMSSend, der als kostenpflichtiges Archiv getarnt ist, zu finden. Eine detaillierte Übersicht der mit Dr.Web CureIt! entdeckten Viren & Co. finden Sie in der nachfolgenden Tabelle: Name % Trojan.MayachokMEM.4 4.85 Trojan.Mayachok.2 2.39 Trojan.SMSSend.2363 2.26 Trojan.Mayachok.18550 1.50 BackDoor.IRC.NgrBot.42 0.94 Trojan.BhoSiggen.6713 0.87 Trojan.StartPage.48148 0.85 Trojan.DownLoader7.16737 0.75 Win32.HLLP.Neshta 0.71 Trojan.Hosts.5268 0.66 Win32.HLLW.Phorpiex.54 0.64 Trojan.Mayachok.18024 0.60 Trojan.Mayachok.18397 0.59 Win32.Sector.22 0.54 Trojan.Mayachok.17994 0.53 Trojan.Mayachok.1 0.47 Win32.HLLW.Gavir.ini 0.46 Trojan.Click2.47013 0.46 BackDoor.Butirat.245 0.45 Trojan.Mayachok.18566 0.45 Botnet BlackEnergy lebt wieder auf Die Sicherheitsanalysten von Doctor Web haben im Januar eine neue Modifikation von BlackEnergy (BackDoor.BlackEnergy.36) entdeckt. Durch den Einsatz dieses Trojaners konnten die Übeltäter eines der weltweit größten Botnets für den Versand von Spam-Mails aufbauen. Vor kurzem haben Übeltäter es noch einmal versucht, ein Botnet auf Basis von BackDoor.BlackEnergy.36 aufzubauen. Die neue und die vorangegangen Versionen des Trojaners unterscheiden sich hauptsächlich dadurch, dass die Konfigurationsdatei des Trojaners nun in einem separaten Sektor der dynamischen Bibliothek verschlüsselt gespeichert wird. Diese Bibliothek ist auch in einem der Sektoren des Trojaners enthalten. Beim Ausführen des Trojaners dringt sie in den Prozess svchost.exe oder explorer.exe ein. Darüber hinaus haben die Übeltäter das Netzprotokoll abgeändert, über das BackDoor.BlackEnergy.36 mit seinem Verwaltungsserver Daten austauscht. Nach dem Aufbau des neuen Botnets haben die Übeltäter eine Pause eingelegt. Kurz danach wurde ein beliebtes Unterhaltungsportal attackiert. Die Sicherheitsspezialisten von Doctor Web haben BackDoor.BlackEnergy.36 im Botnet BackDoor.Andromeda aufgespürt. Weitere Informationen zu dieser Bedrohungen finden Sie in diesem Artikel. Virenbedrohungen für Android Die große Beliebtheit von mobilen Endgeräten unter Android bewirkte ein großes Interesse der Übeltäter an persönlichen Daten der Benutzer auf diesen Endgeräten. Das im Jahre 2012 stark gewachsene Malware-Aufkommen wird sich wohl auch 2013 weiter vergrößern. So wurde z.B. Anfang Januar der nächste Android-Schädling entdeckt, der persönliche Daten japanischer Benutzer klaute. Wie andere böswillige Anwendungen verbreitete sich Android.MailSteal.2.origin über Spam-Mails, wo das potenzielle Opfer aufgefordert wurde, ein das angeblich nützliche Programm zu installieren. Beim Klicken auf den vorhandenen Link wurde der Benutzer zum vorgetäuschten Google Play-Fenster weitergeleitet. Auf diese Weise konnte sich der gefährliche Trojaner auf seinem Rechner einnisten. Die Funktionsweise von Android.MailSteal.2.origin war gut durchdacht: der Schädling informierte den Benutzer über vorläufige Einstellungen, die er vorgenommen hat. Gleichzeitig suchte er verdeckt nach Kontakten und persönlichen Daten in E-Mails und lud diese auf einen Remote-Server hoch. Diese Daten konnten auch zum Aufbau eines neuen Botnets verwendet werden. screen Die Sicherheitsanalysten von Doctor Web haben darüber hinaus eine Vielzahl von neuer Spyware entdeckt: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Für BlackBerry sind auch folgende Exemplare zu nennen: BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3. Die kostenpflichtige Spyware kann unterschiedliche Funktionen übernehmen: SMS-Nachrichten, ein- und ausgehende Telefonate kontrollieren, Ihren Standort via GPS bestimmen usw. Vertrauliche Daten auf dem Endgerät mit solcher Spyware sind immer vom Diebstahl bedroht. Die wachsende Zahl solcher Programme ist auf eine stabile Nachfrage zurückzuführen. screen Weitere Bedrohungen im Rückblick Anfang Januar wurde BackDoor.Finder entdeckt, der die größte Verbreitung in den USA fand. Der Trojaner nistet sich in Prozessen beliebter Browser (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape oder Avant) ein, fängt Benutzerzugriffe in Suchmaschinen wie google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com oder yandex.com ab und zeigt Suchergebnisse mit den speziell angefertigten Links an. Weitere Informationen zu diesem Trojaner können Sie in diesem Artikel nachlesen. Im Januar ist auch eine neue Version von BackDoor.Butirat (BackDoor.Butirat.245) aufgetaucht. Dieser Trojaner ist in der Lage, Malware auf den infizierten Rechner hochzuladen, ausführbare Dateien auf Befehl des Verwaltungsservers zu starten und Passwörter für FTP-Clients klauen. Weitere Informationen zu diesem Trojaner finden Sie hier. Malware im E-Mail-Traffic für Januar 2013 01.01.2013 00:00 - 31.01.2013 23:00 1 JS.Redirector.162 1.11% 2 Trojan.PWS.Stealer.1932 0.73% 3 Win32.HLLM.MyDoom.54464 0.64% 4 Trojan.Oficla.zip 0.58% 5 BackDoor.Andromeda.22 0.54% 6 Trojan.PWS.Panda.547 0.47% 7 Trojan.PWS.Panda.655 0.47% 8 Win32.HLLM.MyDoom.33808 0.45% 9 Trojan.Winlock.7048 0.45% 10 Trojan.Packed.23728 0.41% 11 Win32.HLLM.Beagle 0.36% 12 Trojan.Inject.64560 0.36% 13 Win32.HLLM.Netsky.35328 0.26% 14 VBS.Rmnet.2 0.26% 15 Trojan.PWS.Stealer.715 0.26% 16 Win32.HLLM.Graz 0.26% 17 Trojan.PWS.Panda.2401 0.26% 18 BackDoor.Bebloh.21 0.24% 19 Trojan.PWS.Panda.786 0.24% 20 Win32.HLLM.Netsky.18401 0.24% Malware auf Rechnern der Benutzer für Januar 2013 01.01.2013 00:00 - 31.01.2013 23:00 1 JS.IFrame.363 0.75% 2 Tool.Unwanted.JS.SMSFraud.26 0.73% 3 SCRIPT.Virus 0.56% 4 Adware.Downware.774 0.47% 5 Tool.Unwanted.JS.SMSFraud.10 0.42% 6 Adware.Downware.179 0.41% 7 JS.IFrame.387 0.40% 8 Tool.Unwanted.JS.SMSFraud.30 0.38% 9 Adware.InstallCore.53 0.34% 10 Trojan.Fraudster.394 0.34% 11 Adware.Webalta.11 0.33% 12 Tool.Skymonk.11 0.32% 13 Trojan.SMSSend.2363 0.30% 14 JS.Redirector.175 0.29% 15 Trojan.Hosts.6613 0.28% 16 Win32.HLLW.Shadow 0.28% 17 Win32.HLLW.Autoruner.59834 0.27% 18 Adware.Downware.804 0.26% 19 Trojan.Fraudster.245 0.25% 20 JS.IFrame.356 0.25% http://news.drweb-av.de/show/?i=1044&c=7Thu, 24 Jan 2013 00:00:00 GMT Hanau, 24. Janaur 2013 Der IT-Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung des neuen Schädlings aus der Familie. Die neue Version, die man als BackDoor.Butirat.245 bezeichnet, verwendet eine neue Methode zur Generierung von Verwaltungsservernamen. So versuchen die Übeltäter, die Resistenz des böswilligen Programms bei der eventuellen Deaktivierung eines seiner Verwaltungsserver zu erhöhen. Die Trojaner aus der Familie BackDoor.Butirat sind in der Lage, ausführbare Dateien auf Befehl eines Verwaltungsservers auf den infizierten PC herunterzuladen und Passwörter für beliebte FTP-Clients (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP usw.) zu klauen. screen Das Infizierungsprinzip von BackDoor.Butirat ist alles andere als neu. Der Schädling erstellt seine Kopie in einem der Systemverzeichnisse und nimmt Änderungen im Registry vor, damit er beim Laden von Windows automatisch ausgeführt werden könnte. Das Besondere an BackDoor.Butirat.245 ist es, dass er eine neue Methode zur Generierung von Verwaltungsservernamen verwendet. Früher war die Adresse eines Kommandocenters nur beim böswilligen Programm zu finden. Wie bei neuen Versionen von BackDoor.BlackEnergy gab es bei der Untersuchung von BackDoor.Butirat.245 eine Überraschung: der Trojaner generiert automatisch Namen von Verwaltungsservern der dritten Ebene. Die Domain der zweiten Ebene ist für ein wohl bekanntes Unternehmen registriert, das in der Regel allfällige Beschwerden und Nachrichten ignoriert. Die Übeltäter glaubten, damit die Resistenz des böswilligen Programms bei der eventuellen Deaktivierung eines seiner Verwaltungsserver zu erhöhen. Die Signatur für BackDoor.Butirat.245 wurde in die Dr.Web Virendatenbank bereits eingetragen. Der Schädling stellt deshalb für Dr.Web Anwender keine Gefahr dar. http://news.drweb-av.de/show/?i=1043&c=7Thu, 17 Jan 2013 00:00:00 GMT Hanau, 17. Januar 2013 Der IT-Sicherheitsspezialist Doctor Web warnt vor der Verbreitung eines gefährlichen Trojaners aus der Familie BackDoor.BlackEnergy. Im Juli 2012 ist es in den Nachrichten aufgetaucht, dass Hauptverwaltungsserver des Botnets unter diesem Trojaner liquidiert wurden. Es sei aber bemerkt, dass das Botnet BlackEnergy noch einige Monate weiter lebte, bis es im Herbst 2012 endgültig verschwand. Im Januar 2013 ist plötzlich eine neue Variante des Schädlings aufgetaucht. Es sei erwähnt, dass BackDoor.BlackEnergy ein komplexes Trojanerprogramm für den Versand von Spam-Mails ist. Durch den Einsatz dieses Trojaners konnten die Übeltäter eines der weltweit größten Botnets für den Versand von Spam-Mails aufbauen. An einem Tag konnte der Trojaner bis zu 18 Mrd. Spam-Mails verschicken. Das Besondere an den Trojanern aus der Familie BackDoor.BlackEnergy ist es, dass sie Zusatzmoduls und eine XML-Konfigurationsdatei verwenden, die sie zunächst vom Verwaltungsserver laden. screen Die Besitzer der neuen Trojanerversion BackDoor.BlackEnergy.36 sind voraussichtlich dieselben Übeltäter, die frühere Modifikationen des Schädlings verwendet haben. Dies bestätigt die Tatsache, dass BackDoor.BlackEnergy.36 für die Datenverschlüsselung denselben Schlüssel wie bei einigen Botnets unter BlackEnergy verwendet. Man kann allgemein zwei Hauptunterschiede von BackDoor.BlackEnergy.36 zu den vorherigen Versionen des Trojaners feststellen. Die Konfigurationsdatei des Trojaners wird in einer separaten Sektion der dynamischen Bibliothek verschlüsselt gespeichert. Diese Bibliothek ist im Trojaner integriert und schleust sich in den Prozess svchost.exe oder explorer.exe ein. Darüber hinaus haben die Übeltäter das Netzprotokoll, durch das BackDoor.BlackEnergy.36 mit seinem Verwaltungsserver Daten austauschte, modifiziert. Zum jetzigen Zeitpunkt haben die Sicherheitsanalysten von Doctor Web mehrere Verwaltungsserver von BackDoor.BlackEnergy.36 entdeckt, mit denen die Cyber-Kriminellen ein neues Botnet für die massive Verbreitung von Spam-Mails aufzubauen versuchen. Unsere Sicherheitsanalysten beobachten weiter die Situation rund um den Trojaner BackDoor.BlackEnergy.36. Für Dr.Web Anwender stellt er keine Gefahr dar. Eine entsprechende Signatur wurde in die Dr.Web Virendatenbank bereits eingetragen. http://news.drweb-av.de/show/?i=1003&c=7Mon, 27 Aug 2012 00:00:00 GMT Hanau, 22.August 2012 Der IT-Sicherheitsspezialist Doctor Web berichtet vom ersten plattformübergreifenden Backdoor-Trojaner, der unter Linux und Mac OS X funktionieren kann. Dieses böswillige Programm soll Passwörter für beliebte Internet-Anwendungen klauen. BackDoor.Wirenet.1 ist in der Geschichte der Antiviren-Industrie der erste Trojaner mit solchen Funktionen. Die Verbreitungsmethode des Trojaners, der in die Dr.Web Virendatenbank bereits eingetragen wurde, wird zur Zeit herausgefunden. Eins steht fest: der Schädling ist ein Backdoor und kann sowohl unter Linux als auch unter Mac OS X funktionieren. Beim Starten von BackDoor.Wirenet.1 erstellt er eine Kopie im Benutzerverzeichnis. Für die Kommunikation mit seinem Befehlsserver, der sich unter 212.7.208.65 befindet, verwendet er die Verschlüsselungsmethode Advanced Encryption Standard (AES). [IMAGE] BackDoor.Wirenet.1 ist mit der Funktion eines Keyloggers ausgerüstet (d.h. er kann Aktionen des Benutzers überwachen und entsprechende Daten den Cyber-Kriminellen zusenden). Außerdem entwendet der Trojaner Passwörter, die vom Benutzer in den Browsern Opera, Firefox, Chrome, Chromium sowie den Programmen Thunderbird, SeaMonkey und Pidgin eingegeben werden. Dr.Web Antivirensoftware kann den Trojaner erfolgreich entdecken. Der digitale Bösewicht ist deshalb für Benutzer von Dr.Web Antivirus für Mac OS X und Dr.Web Antivirus für Linux nicht gefährlich. http://news.drweb-av.de/show/?i=989&c=7Mon, 02 Jul 2012 00:00:00 GMT Hanau, 2. Juli 2012 Der Juni 2012 verlief ziemlich ruhig für die Sicherheitsszene. Es gab weder Epidemien noch ungewöhnliche Fälle mit einer erhöhten Virenaktivität. Die Übeltäter gaben sich aber Mühe beim Versand von Massen-Mails, über die Schadsoftware verbreitet werden soll. Es sind ansonsten neue Trojaner für Android aufgetaucht. Insgesamt ist die Anzahl der aufgespürten Viren & Co. zurückgegangen, was für die Urlaubszeit typisch ist. Aktuelle Sicherheitslage Laut Statistiken, die durch Dr.Web CureIt! gesammelt wurden, erwies sich Trojan.Mayachok.1 als besonders beliebt. Seine Detektionsrate ist von 3,73% (45 327 Fälle) im Mai bis auf 5,82% (56 767 Fälle) im Juni gestiegen. Es wurden auch immer mehr verschiedene Varianten von Download-Trojanern entdeckt. Die Detektionsrate von Trojan.SMSSend blieb auf demselben Niveau. Die Verbreitung von Bank-Trojanern Trojan.Carberp verschiedener Versionen ist zurückgegangen. Wie sich die Virensituation entwickelt, ist auf dem nachfolgenden Bild dargestellt. Trojaner und Backdoors auf PCs der Anwender im Juni 2012 Als Tabellenführer unter böswilligen Objekten, die über Massen-Mails verbreitet werden, positioniert sich BackDoor.Andromeda.22. Über diesen Schädling wird jede Menge von gefährlichen Anwendungen auf infizierte Computer heruntergeladen. Diese Backdoors können verchlüsselte Daten mit einer böswilligen Website austauschen und auf Befehl unerwünschte Dateien herunterladen. Den zweiten und dritten Platz belegen die Download-Trojaner. Hinterher ist Trojan.Inject1.4969 über den wir einmal berichtet haben. Auch Würmer der Familie Win32.HLLM.MyDoom und Blocker-Trojaner sind im Ranking zu finden. Botnets Es mag erstaunlich sein, aber das von unseren Sicherheitsspezialisten entdeckte größte Botnet BackDoor.Flashback.39, welches eine Vielzahl von Apple-kompatiblen Computern infiziert hat, funktioniert bis jetzt. Die Zahl der eingebundenen PCs geht allmählich zurück. So hat sich die Anzahl aktiver Macs von 364 741 bis auf 191 756 für Ende Juni, d.h. um 47,4%. Der tägliche Zuwachs des Botnets BackDoor.Flashback.39 beträgt 25 infizierte PCs. Die Entwicklung des Botnets BackDoor.Flashback.39 im Juni 2012 können Sie auf dem nachfolgenden Bild sehen. Entwicklung des Botnets von BackDoor.Flashback.39 im Juni 2012 Tendenz sinkend. Detaillierte Informationen über den Schädling können Sie auf unserer Website drweb.com/flashback finden. Außerdem können Sie Ihren PC auf diesen Backdoor überprüfen. Um die Verbreitung von Win32.Rmnet.12 steht es aber anders. Nur nach einem Monat konnte der Schädling ein Botnet aus 3 292 190 infizierten PCs aufbauen, was ein Wachstum in Höhe von 17,5% im Vergleich zum Mai verzeichnet. Die meiste Verbreitung des Bots erfolgt in Indonesien, Bangladesch, Vietnam und Indien. Der Schädling greift aber allmählich auf andere Länder über. Täglich werden z.B. etwa 9 000–15 000 neue Bots in Subnetzwerken von Win32.Rmnet.12 registriert. Detaillierte Informationen können Sie dem nachfolgenden Bild entnehme. Entwicklung des Botnets von Win32.Rmnet.12 im Juni 2012 Das Botnet Win32.Rmnet.16 wird jeden Monat größer. So konnte es nach einem Monat durch die Verbreitung in Großbritannien und Australien von 84 491 bis auf 104 874 infizierte PCs zuwachsen. Die Entwicklung des Botnets Win32.Rmnet.16 können Sie auf dem nachfolgenden Bild sehen. Entwicklung des Botnets von Win32.Rmnet.16 im Juni 2012 Trojaner des Monats: Trojan.Hottrend In der Kategorie „Trojaner des Monats“ gewinnt der Bank-Trojaner Tinba (Tiny Banker) die Oberhand. Der Schädling wiegt nur 20 KB. In der Virendefinitionsdatei von Dr.Web, wo er seit Ende April 2012 enthalten ist, wird er als Trojan.Hottrend bezeichnet. Die Hauptfunktion dieses böswilligen Programms ist die Überwachung und der Abgriff von sensiblen Daten (u.a. Bankdaten). Außerdem haben unsere Sicherheitsexperten ein paar Bank-Trojaner wie Trojan.PWS.Banker.64540 entdeckt. Detaillierte Informationen über den Trojaner finden Sie auf der Website von Doctor Web. Viren & Co. für Android Während des Monats wurden über 35 neue Varianten von Android.SmsSend sowie weitere böswillige Programme, die mobilen Nutzern Schaden zufügen können, in die Virendatenbanken von Doctor Web eingetragen. Außerdem haben wir bereits vonAndroid.SpyEye.2.origin berichtet, der SMS auf einem infizierten mobilen Endgerät klauen kann. Ende des Monats machte auf sich der Trojaner Android.SmsBot.1.origin, aufmerksam, der sich durch Spam-Links verbreitet. Zur Verbindung mit einem Remote-Server verwendet der Schädling Twitter. Nachdem Android.SmsBot.1 die Verbindung mit seinem Befehlscenter aufgebaut hat, kann er Informationen über den infizierten PC an Kriminelle übergeben sowie verschiedene Befehle ausführen. Eine der Hauptfunktionen des Trojaners ist der Versand von SMS-Nachrichten ohne Kenntnis des Benutzers. Dieses Programm stellt eine ernsthafte Gefahr von Benutzer mobiler Endgeräte. Malware im E-Mail-Verkehr 01.06.2012 00:00 - 29.06.2012 16:00 1 BackDoor.Andromeda.22 2.14% 2 Win32.HLLW.Siggen.2984 2.06% 3 Trojan.DownLoader6.19810 1.53% 4 Trojan.Inject1.4969 1.23% 5 Trojan.DownLoader6.20943 1.18% 6 Trojan.DownLoader6.18049 1.09% 7 Win32.HLLM.MyDoom.33808 1.01% 8 Win32.HLLM.MyDoom.54464 0.88% 9 Trojan.Winlock.5600 0.83% 10 Trojan.AVKill.19024 0.74% 11 Trojan.AVKill.18763 0.66% 12 Win32.HLLM.Beagle 0.61% 13 Trojan.AVKill.18755 0.53% 14 Win32.HLLM.Netsky.35328 0.48% 15 Trojan.DownLoader6.18373 0.48% 16 SCRIPT.Virus 0.44% 17 Trojan.AVKill.18749 0.44% 18 Trojan.MulDrop3.55845 0.39% 19 Win32.HLLM.Netsky.based 0.39% 20 Trojan.PWS.Panda.786 0.35% Malware auf PCs der Anwender 01.06.2012 00:00 - 29.06.2012 16:00 1 Trojan.Fraudster.256 0.50% 2 SCRIPT.Virus 0.44% 3 Trojan.Fraudster.292 0.42% 4 Adware.Downware.179 0.38% 5 Tool.Unwanted.JS.SMSFraud.15 0.36% 6 Trojan.Fraudster.296 0.35% 7 Trojan.SMSSend.2925 0.35% 8 JS.IFrame.233 0.34% 9 Win32.HLLW.Shadow 0.34% 10 Trojan.Fraudster.261 0.33% 11 Trojan.Mayachok.1 0.33% 12 Trojan.SMSSend.2905 0.33% 13 Trojan.SMSSend.2884 0.33% 14 Tool.Unwanted.JS.SMSFraud.10 0.32% 15 Win32.HLLW.Autoruner.59834 0.32% 16 Trojan.SMSSend.2726 0.28% 17 Trojan.Fraudster.308 0.26% 18 Win32.HLLW.Shadow.based 0.26% 19 Adware.Downware.316 0.25% 20 Tool.InstallToolbar.55 0.24% http://news.drweb-av.de/show/?i=981&c=7Thu, 24 May 2012 00:00:00 GMT Hanau, 24. Mai 2012 Der Sicherheitsspezialist Doctor Web warnt vor der Verbreitung einer neuen Variante des IRC-Bots, der in der Virendefinitionsdatei von Dr.Web den Namen BackDoor.IRC.IMBot.2 trägt. Wie andere Vertreter dieser BackDoor-Familie verschickt der Schädling durch IM-Dienste Spam-Mails, lädt herunter und startet ausführbare Dateien. Darüber hinaus kann er auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Es gibt eine Menge von Trojanern, die das IRC-Protokoll (Internet Relay Chat) ausnutzen. Und neue Versionen des IRC-Bots tauchen immer häufiger auf. BackDoor.IRC.IMBot.2 könnte man als einen typischen Vertreter dieser BackDoor-Familie einstufen, wenn er eine interessante Funktion nicht hätte. BackDoor.IRC.IMBot.2 verbreitet sich wie andere IRC-Bots. Der Trojaner speichert sich auf Wechseldatenträgern unter dem Namen usb_driver.com und erstellt im Hauptverzeichnis eine autorun.inf-Datei, durch die der Trojaner beim Anschließen des Wechseldatenträgers gestartet wird (wenn diese Funktion in den Einstellungen des Betriebssystems aktiviert ist). Nachdem BackDoor.IRC.IMBot.2 sich gestartet hat, speichert er sich im Installationsverzeichnis von Windows und ändert das Systemregister, das für das automatische Starten von Anwendungen verantwortlich ist. BackDoor.IRC.IMBot.2 ändert auch die Einstellungen der Windows-Firewall, um eine Internetverbindung aufzubauen. Der Trojaner ist darüber hinaus mit einer Funktion für die Suche nach Prozessen wie dumpcap, SandboxStarter, tcpview, procmon, filemon ausgerüstet. Er greift auf HKEY_PERFORMANCE_DATA (Bereich des Systemregisters) zu, der für die Systemleistung verantwortlich ist, und sucht nach gestarteten Prozessen. Diese Funktion wurde früher von Cyber-Kriminellen nicht verwendet. BackDoor.IRC.IMBot.2 kann ausführbare Dateien herunterladen und diese auf dem infizierten Computer starten, Spam-Mails in IM-Diensten wie MSN Messenger, AOL Instant Messenger, Yahoo! Messenger verbreiten und auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Die Virendatenbanken von Dr.Web verfügen bereits über die entsprechende Signatur. Dr.Web Anwender müssen keine Angst vor dem Trojaner haben. http://news.drweb-av.de/show/?i=980&c=7Wed, 23 May 2012 00:00:00 GMT Hanau, 16. Mai 2012 Der Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung von Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf die vorgeschobene Website weiter, sperrt es aus und fordert Lösegeld per Kreditkarte. Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen. Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für Systemadressen der Websites und ihre DNS-Namen verantwortlich ist. Beim Wechseln auf eine beliebte Website wie Facebook, Google, Yahoo usw. wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm über den gesperrten Internetzugang mitgeteilt wird. Um seinen Internetzugang zu entsperren, muss das Opfer den Übeltätern seine Kreditkartendaten übermitteln. Die Signatur für Trojan.Hosts.5858 wurde in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Der Trojaner kann aus dem System erfolgreich entfernt werden. Sollte die Forderung nach Lösegeld erneut auftauchen, wird Ihnen dringend empfohlen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren, indem Sie unnötige Eintragungen löschen. http://news.drweb-av.de/show/?i=972&c=7Sat, 05 May 2012 00:00:00 GMT Hanau, 5. Mai 2012 Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Betrugsmasche, bei der Betrüger durch die speziell entwickelte Anwendung Profile Visitor an persönliche Daten der Facebook-Benutzer gelangen wollen. Dem Benutzer wird vorgegaukelt, dass er eine Liste mit Personen bekommt, die sich sein Profil angesehen haben. Dafür soll er den Zugang zur seiner Facebook-Wall gewähren. In der Tat soll der Benutzer ein Bild anklicken, welches ihn zu einer böswilligen Website weiterleitet. Die Freunde des Opfers erhalten in diesem Fall eine Nachricht, dass sie angeblich auf diesem Bild markiert wurden. So bekommt der böswillige Link einen größeren Spielraum. Es gibt bereits Fälle, wo der Benutzer seine persönliche Seite bei Facebook aufruft und bei aktuellen Nachrichten einen Link auf Profile Visitor findet. Dem Benutzer wird versprochen, eine Besucherliste für sein Profil zu erstellen. Der Link, welcher zur im Facebook integrierten Anwendung weiterleitet, ist angeblich von einem seiner Freunde. Um die Anwendung zu aktivieren, soll der Benutzer die Veröffentlichung von Inhalten in seinem Namen freigeben. Nachdem das Opfer auf die „Freigeben“ geklickt hat, erscheint auf seiner Profilseite und im News-Bereich ein Link auf die oben genannte Anwendung. Sollte aber der Benutzer die Veröffentlichung abgelehnt haben, werden alle Freunde des Benutzer auf einem Werbe-Bild markiert. Eine entsprechende Nachricht sollen alle Kontakte des Facebook-Benutzers erhalten. screen Danach öffnet sich im Browser des Opfers automatisch eine Website mit dynamischen Links. Sollte der Benutzer auf einen dieser Links geklickt haben, wird er sofort zu böswilligen Websites weitergeleitet. Inhalte dieser Websites richten sich nach IP-Adresse des Besuchers. Einige Webseiten fordern den Benutzer auf, Zugangsdaten für sein Bankkonto anzugeben. Die anderen bieten dem Benutzer an, seine Telefonnummer und einen Code einzugeben, den er kurz danach in einer SMS bekommen soll. screen Unter Betrugsinhalten wurden auch falsche Lotterien, Online-Casino, psychologische Tests usw. entdeckt. Diese Websites werden vom Datenfilter Dr.Web SpIDer Gate, mit dem Dr. Web Produkte ausgerüstet sind, automatisch gesperrt. screen screen Die Sicherheitsexperten von Doctor Web empfehlen den Facebook-Benutzern, vorsichtig zu sein und die Anwendung Profile Visitor sowie jeweilige Links, die bei Nachrichten erscheinen, zu ignorieren. http://news.drweb-av.de/show/?i=971&c=7Sat, 28 Apr 2012 00:00:00 GMT Hanau, 28. April 2012 Am 26. April 2012 wurden die Anwender über die Verbreitung von Spam-Mails mit einem gefährlichen Anhang informiert. Die Benutzerdateien werden verschlüsselt, sobald eine angehängte ausführbare Datei gestartet wurde. Heute möchten die Sicherheitsspezialisten von Doctor Web ein Tool präsentieren, mit dem die Anwender ihre Dateien entschlüsseln können. Das Tool ist als Gratis-Download verfügbar. Die verbreiteten Massen-Mails sind auf Deutsch geschrieben und haben den Betreff „Ute Lautensack Vertrag Nr 46972057“. Diese E-Mail enthält eine ZIP-Datei mir dem Namen Abrechnung oder Rechnung. Sobald das Opfer die Datei gestartet hat, werden seine Dateien verschlüsselt. Eine ernsthafte Gefahr stellt für Anwender Trojan.Matsnu.1 dar. Innerhalb der letzten 24 Stunden trafen bei Doctor Web über 50 Support-Anfragen aus Deutschland ein. Alle Opfer sind wegen dieses Schädlings zu Schaden gekommen. Die Sicherheitsspezialisten von Doctor Web konnten Trojan.Matsnu.1 in kürzester Zeit analysieren und ein Tool entwickeln, das verschlüsselte Benutzerdateien entschlüsseln soll. Dieses Tool können Sie unter ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe herunterladen. Sollten Sie Ihre Dateien selbständig nicht entschlüsseln können oder der Vorgang mit einem Fehler abgebrochen wurde, kontaktieren Sie das Virenlabor von Doctor Web, indem Sie ein Thema in der Kategorie „Desinfektion“ anlegen. Dieser Service ist für alle Anwender kostenfrei. http://news.drweb-av.de/show/?i=966&c=7Fri, 20 Apr 2012 00:00:00 GMT Hanau, 20. April 2012 Die Sicherheitsspezialisten von Doctor Web verfolgen die Lage um das zur Zeit größte Botnet aus Macs weiter. In letzter Zeit erscheinen immer wieder Meldungen, wo über zurückgehende Anzahl der von BackDoor.Flashback.39 infizierten Macs berichtet wird. Die Sicherheitsexperten von Doctor Web verfügen aber über Statistiken, die 650 000 infizierte Macs aufweisen und die verbreiteten Informationen widerlegen. Das Botnet von BackDoor.Flashback.39 besteht zum jetzigen Zeitpunkt aus 817 879 registrierten Bots. Täglich werden durchschnittlich 550 000 infizierte Macs aktiv. Am 16. April wurden im Botnet 717 004 unikale IP-Adressen und 595 816 UUIDs infizierter Apple-kompatibler Computer registriert. Am 17. April lag die Anzahl von IP-Adressen bei 714 483, die Anzahl von UUIDs – bei 582 405. Täglich tauchen im Botnet neue infizierte PCs auf. Das nachfolgende Diagramm zeigt die Wachstumsdynamik des Botnets vom 3. bis zum 19. April 2012. BackDoor.Flashback.39-Botnet vom 3. bis zum 19. April 2012 In letzter Zeit tauchen Meldungen auf, wo über die zurückgehende Epidemie von BackDoor.Flashback.39 berichtet wird. Diesen Meldungen liegen in der Regel abgefangene Daten von Servern des böswilligen Netzwerks zugrunde. Die Sicherheitsexperten von Doctor Web haben eine Studie durchgeführt, um die Ursachen der Unterschiede in Statistiken herauszufinden. Der Trojaner BackDoor.Flashback.39 verwendet eine komplexe Selektionsmethode für Domainnamen der Verwaltungsserver. Die Domainnamen werden anhand der im Schädling integrierten Konfigurationsdaten und je nach aktuellem Datum zusammengestellt. Der Trojaner führt dann eine konsequente Befragung von Kommandozentren durch. Die Hauptdomainnamen der Verwaltungsserver von BackDoor.Flashback.39 wurden von Doctor Web bereits Anfang April registriert. Die infizierten Computer greifen auf diese Domains in erster Linie zu. Am 16. April wurden Domains registriert, die je nach aktuellem Datum generiert werden. Da diese Domains von allen Varianten des BackDoor.Flashback.39-Botnets verwendet werden, konnte man durch die Registrierung zusätzlicher Verwaltungsserver die Größe des Botnets kalkulieren. Das lässt sich am Diagramm feststellen. Die Trojaner greifen auch auf das Kommandozentrum 74.207.249.7 zu, das Verbindungen zu Bots herstellt, die TCP-Verbindung aber nicht abbricht. Das führt dazu, dass Bots auf Antworten des Servers warten und folglich andere Server befragen, die extra für die Erforschung des Botnets von Doctor Web registriert wurden. Hier liegt die Ursache für unterschiedliche Statistiken, die Antivirenhersteller wie Symantec und Kaspersky vorweisen. Am nachfolgenden Bild können Sie sich ein Beispiel der TCP-Verbindung zu einem Kommandozentrum ansehen, das BackDoor.Flashback.39-Bots aufhängen lässt. Doctor Web warnt nochmals vor BackDoor.Flashback.39 und fordert alle Mac-Benutzer auf, das nötige Java-Update zu installieren. Ihren Computer können Sie auf BackDoor.Flashback.39 unter www.drweb.com/flashback überprüfen. Um den Trojaner zu entfernen, benutzen Sie das Gratis-Programm Dr.Web für Mac OS X Light. http://news.drweb-av.de/show/?i=965&c=7Thu, 19 Apr 2012 00:00:00 GMT Hanau, 19. Hanau 2012 Immer mehr Länder geraten ins Visier von Trojan.Encoder.94. So wenden sich an Doctor Web wegen des Trojaners Benutzer aus Frankreich, Belgien, der Schweiz, Niederlanden, Kroatien, Slowenien, Ungarn und Rumänien. Weitere Support-Anfragen kommen aus dem weiten Lateinamerika (Brasilien, Argentinien). Dieser Trojan.Encoder wurde zum ersten Verschlüsselungstrojaner mit einer englischsprachigen Benutzeroberfläche, der massiv um sich greift. Die ersten Meldungen über die Verbreitung von Trojan.Encoder.94 von Benutzern aus Westeuropa kamen am 9. und 10. April 2012. Die Schädlinge finden auf Festplatten der Computer Benutzerdateien (Microsoft Office, Musik-Dateien, Bilder usw.) und verschlüsseln sie. Danach werden die Benutzer aufgefordert, ein Lösegeld in Höhe von 50 EURO via Ukash oder Paysafecard zu zahlen. Zur Zeit haben die Sicherheitsspezialisten von Doctor Web fünf Versionen von Trojan.Encoder.94 entdeckt, die sich nur durch Verschlüsselungsschlüssel unterscheiden. In letzter Zeit kommen immer mehr Support-Anfragen wegen Trojan.Encoder.94 von Benutzern aus Brasilien, Argentinien und anderen Ländern Lateinamerikas. Der Trojaner baut Brücken über die Atlantik von Westeuropa nach Lateinamerika. Die Sicherheitsexperten von Doctor Web sind aber mit effizienten Technologien ausgerüstet und konnten Benutzerdateien in fast 100% der Fälle erfolgreich entschlüsseln. Vor kurzem kam eine Support-Anfrage von einer CERT-Zweigstelle (Computer Emergency Response Team) aus Slowenien. Das slowenische Computer Emergency Response Team wollte mit Doctor Web Erfahrungen bei der Bekämpfung von Trojan.Encoder.94 austauschen. Jetzt kann CERT auf die nötigen Dr.Web Technologien und aktuelle Informationen zugreifen und der Epidemie effizienten Widerstand leisten. Die Sicherheitsspezialisten von Doctor Web möchten alle Benutzer auffordern, einfache Regel im Umgang mit ihren Computern zu befolgen: * Sehen Sie davon ab, Ihr Betriebssystem neu zu installieren; * Versuchen Sie nicht, Dateien zu löschen; * Versuchen Sie auch nicht, Dateien selbständig wiederherzustellen; * Kontaktieren Sie den technischen Support von Doctor Web, indem Sie eine Support-Anfrage senden. Der Service ist kostenlos; * Hängen Sie die infizierten Dateien .doc oder .txt an; * Warten Sie ab, bis Sie eine Antwort vom Sicherheitsspezialisten erhalten. Dies kann aber einige Zeit in Anspruch nehmen http://news.drweb-av.de/show/?i=962&c=7Thu, 12 Apr 2012 00:00:00 GMT Hanau, 12. April 2012 Der Sicherheitsspezialist Doctor Web berichtet über die wachsende Anzahl von Infizierungen in Deutschland, Italien, Spanien, Großbritannien, Polen, Österreich, Norwegen und Bulgarien durch Trojan.Encoder. Die Schadsoftware aus dieser Familie verschlüsselt Dateien auf Festplatten und fordert Lösegeld. Lange Zeit litten nur Anwender aus dem GUS-Raum unter dem Trojaner. Vor ein paar Tagen hat sich das Blatt gewendet. Es wurden drei neue Varianten von Trojan.Encoder.94 entdeckt, die für westeuropäische Länder gedacht sind. Es ist anzunehmen, dass Autoren von Trojan.Encoder.94 die Verbreitungsmethode von Trojan.Winlock wiederholen. Der Trojaner besitzt die englischsprachige Benutzeroberfläche. Die Infizierungsfälle wurden aber auch in Deutschland, Italien, Spanien, Polen, Österreich, Norwegen und Bulgarien entdeckt. Anwender, die wegen Trojan.Encoder.94 zu Schaden gekommen sind, haben sich deswegen bereits am 9. und 10. April 2012 gemeldet. screen Nachdem der Trojaner Ihre Dateien verschlüsselt hat, fordert er 50 EUR/GBR via Ukash oder Paysafecard. Die drei Varianten von Trojan.Encoder.94 unterscheiden sich dabei nur durch einen Verschlüsselungsschlüssel, haben aber die gleiche Funktionsweise. Das Eindringen von Trojan.Encoder.94 auf PCs ist noch nicht vollständig erforscht. Man kann aber vermuten, das Übeltäter Upload-Trojaner einsetzen oder bekannte Sicherheitslücken ausnutzen. Die Sicherheitsexperten von Doctor Web forschen daran weiter. Um eventuelle Schäden durch Trojan.Encoder.94 zu minimieren, empfiehlt Doctor Web Sicherungskopien rechtzeitig zu erstellen. Wenn Sie aber wegen dieses Trojaners zu Schaden gekommen sind, gehen Sie folgenderweise vor: * Sehen Sie davon ab, Ihr Betriebssystem neu zu installieren; * Versuchen Sie nicht, Dateien zu löschen; * Versuchen Sie auch nicht, Dateien selbständig wiederherzustellen; * Kontaktieren Sie den technischen Support von Doctor Web, indem Sie eine Support-Anfrage senden. Der Service ist kostenlos; * Hängen Sie die infizierten Dateien .doc oder .txt an; * Warten Sie ab, bis Sie eine Antwort vom Sicherheitsspezialisten erhalten. Dies kann aber einige Zeit in Anspruch nehmen. http://news.drweb-av.de/show/?i=961&c=7Wed, 11 Apr 2012 00:00:00 GMT Hanau, 11. April 2012 Der IT-Sicherheitsspezialist Doctor Web lanciert ein spezielles Projekt, das die Verbreitung der BackDoor.Flashback.39-Epidemie auf Computern unter Mac OS X verhindern soll. Auf den Seiten des Projekts Anti-Flashback erfahren Sie, wie Sie BackDoor.Flashback.39 entdecken können, wie viele Macs infiziert sind und in welchem Lande sie sich befinden. Darüber hinaus können Sie die Chronik der Epidemie verfolgen und weitere nützliche Informationen zum Schädling finden. НоDas Projekt Anti-Flashback ist für Mac-Anwender gedacht, die wegen BackDoor.Flashback.39 zu Schaden gekommen sind. Es soll auch einen effizienten Schutz für diejenigen bieten, deren Macs gegen den Trojaner nicht geschützt sind. Auf den Anti-Flashback-Webseiten finden Sie weitere Informationen zum Botnet Flashback, und zwar zum Trojaner BackDoor.Flashback.39. Sie können auch die regionale Verbreitung des Trojaners, das Wachstum der Infizierung verfolgen und die Chronik der Epidemie einsehen. Außerdem finden Sie hier Sicherheitstipps sowie Informationen zu anderen Botnets und der Methode des Hintergrund-Uploads. Statt spezieller Tools, die von einigen Softwareherstellern angeboten werden, können Sie zum Löschen von BackDoor.Flashback.39 den Gratis-Scanner Dr.Web Light für Mac OS X benutzen. Die Anwendung spürt den Trojaner sowie andere Schadsoftware auf und erreicht Spitzenpositionen im Ranking kostenloser Anwendungen im Mac App Store. Darüber hinaus können Sie über das Formular Anti-Flashback erfahren, ob Ihr Mac von BackDoor.Flashback.39 infiziert ist. Im FAQ-Bereich finden Sie Antworten auf häufig gestellte Fragen der Mac-Anwender zu BackDoor.Flashback.39 und dessen Epidemie. http://news.drweb-av.de/show/?i=960&c=7Tue, 10 Apr 2012 00:00:00 GMT Hanau, 10. April 2012 Die Nachricht über eine massive Verbreitung des Trojaners BackDoor.Flashback.39, der zum jetzigen Zeitpunkt über 650 000 Computer unter Mac OS X infiziert hatte, ging um die Welt und fand eine hohe öffentliche Resonanz. Der Sicherheitsspezialist Doctor Web, der als erster von dieser Bedrohung mitteilte, präsentiert eine Kurzchronik der Epidemie von BackDoor.Flashback.39. * Februar 2012 Oracle veröffentlicht das Update für die virtuelle Java-Maschine, die die von BackDoor.Flashback.39 ausgenutzte Sicherheitslücke schließen soll. * 25. März 2012 Die ersten Domains des Flashback-Botnets werden registriert. * 27. März 2012 Der Sicherheitsspezialist Doctor Web trägt eine Virensignatur für BackDoor.Flashback.39 in seine Virendefinitionsdatei für Dr.Web für Mac OS X ein. * 3. April 2012 Die Sicherheitsspezialisten von Doctor Web analysieren die Generierungsmethode für Domainnamen der Verwaltungsserver von BackDoor.Flashback.39 und registrieren einige Domains zur Analyse von Bot-Anfragen. Kurz danach werden über 130 000 Rückmeldungen der Trojaner registriert. * 4. April 2012 Laut Daten, die über das Botnet gesammelt wurden, wächst es bis auf 550 000 infizierte Computer an. Doctor Web veröffentlicht eine Pressemitteilung, wo über die Epidemie von BackDoor.Flashback.39 berichtet wird. * 4. April 2012 (3. April in Nordamerika) Apple veröffentlichte das Update für die virtuelle Java-Maschine, die die Sicherheitslücke für BackDoor.Flashback.39 schließen soll. An verschiedenen Standorten erhielten die Mac OS X-Anwender das Update mit einer Verspätung. * 4. April 2012 Die Größe des Botnets überstieg 600 000 infizierte Macs. * 6. April 2012 Apple veröffentlicht ein weiteres Update, das die von BackDoor.Flashback.39 ausgenutzten Sicherheitslücken schließen soll. * 9-10. April Ein Großunternehmen versucht Domains zu blockieren, die von Doctor Web zur Erforschung des Botnets BackDoor.Flashback.39 verwendet werden. * 10. April Die Gesamtzahl der vom Trojaner infizierten Computer beträgt 650 000. Zur Zeit liegt die Gesamtzahl der von BackDoor.Flashback.39 infizierten Computer bei 655 700. Die Mac OS X-Anwender können ihre Computer mit dem Gratis-Tool von Doctor Web unter www.drweb.com/flashback/ überprüfen. Dr.Web Light für Mac OS X Gratis-Download http://news.drweb-av.de/show/?i=957&c=7Wed, 04 Apr 2012 00:00:00 GMT Hanau, 4. April 2012 Der Antivirensoftware-Hersteller Doctor Web führte eine Untersuchung durch, die Verbreitungsmethoden des Trojaners BackDoor.Flashback klar machen sollte. Laut der Untersuchung greift der Schädling Computer unter Mac OS X an und hat ein Botnet mit 550 000 infizierten Workstations gebastelt. Der größte Anteil davon befindet sich in den USA und Kanada. Dies entkräftet Erklärungen vieler Sicherheitsexperten, die die Existenz von Sicherheitsbedrohungen für Macs für unmöglich hielten. Die Infizierung durch BackDoor.Flashback.39 erfolgt über infizierte Websites und Datenübertragungssysteme (Traffic Direction System), die Mac OS X-Anwender auf böswillige Webseiten weiterleiten. Diese Webseiten enthalten einen Java-Skript, der in den Browser einen Java-Applet mit einem Exploit herunterlädt. Unter entdeckten böswilligen Websites sind folgende zu nennen: * godofwar3.rr.nu * ironmanvideo.rr.nu * killaoftime.rr.nu * gangstasparadise.rr.nu * mystreamvideo.rr.nu * bestustreamtv.rr.nu * ustreambesttv.rr.nu * ustreamtvonline.rr.nu * ustream-tv.rr.nu * ustream.rr.nu So sollte nach einigen Informationen auch Google über 4 Mio. infizierte Webseiten angezeigt haben. In Apple-Foren wurden auch Infizierungsfälle durch BackDoor.Flashback.39 beim Aufrufen von dlink.com bekannt. Seit Februar 2012 nutzen die Übeltäter zur Verbreitung von Malware die Sicherheitslücken CVE-2011-3544 und CVE-2008-5353 aus. Nach dem 16. März wurde ein weiteres Sicherheitsmanko (CVE-2012-0507) bekannt. Ein entsprechendes Sicherheits-Update wurde erst am 3. April 2012 veröffentlicht. [IMAGE] Das Exploit speichert auf der Festplatte eine ausführbare Datei, die Daten von Verwaltungsservern herunterladen soll. Die Sicherheitsspezialisten von Doctor Web entdeckten zwei Versionen des Trojaners. Seit dem 1. April verwenden Internet-Kriminelle eine modifizierte Variante von BackDoor.Flashback.39. Wie in den vorherigen Versionen prüft das böswillige Programm das Vorhandensein folgender Komponenten auf der Festplatte: * /Library/Little Snitch * /Developer/Applications/Xcode.app/Contents/MacOS/Xcode * /Applications/VirusBarrier X6.app * /Applications/iAntiVirus/iAntiVirus.app * /Applications/avast!.app * /Applications/ClamXav.app * /Applications/HTTPScoop.app * /Applications/Packet Peeper.app Sollten diese Komponenten nicht gefunden werden, erstellt der Trojaner eine Liste von Verwaltungsservern, sendet eine Nachricht über eine erfolgreiche Installation an den Statistikserver und macht eine konsequente Umfrage unter Verwaltungscentern. Jedes Bot übermittelt dem Verwaltungsserver die Identifikationsnummer eines infizierten Computers. Durch die Sinkhole-Methode konnten die Sicherheitsspezialisten von Doctor Web die Botnet-Daten auf eigene Server umleiten. So konnte man die Gesamtzahl infizierter Computer kalkulieren. Zum 4. April sind im Botnet nach unseren Angaben über 550 000 infizierte Computer unter Mac OS X eingebunden. Es geht dabei um die Infizierung durch BackDoor.Flashback. Der größte Anteil infizierter Computer entfällt auf die USA (56,6% oder 303449 infizierte Computer). Den zweiten Platz belegte Kanada (19,8% oder 106379 infizierte Computer). Dahinter ist Großbritannien mit 12,8% oder 68577 infizierten Workstations. Australien mit 6,1% oder 32527 infizierten Computern ist auf Platz 4. [IMAGE] Die Sicherheitsspezialisten von Doctor Web empfehlen Mac-Anwendern, das Sicherheits-Update von Apple unter support.apple.com/kb/HT5228 herunterzuladen und zu installieren, um sich gegen BackDoor.Flashback.39 gefreit zu machen. http://news.drweb-av.de/show/?i=949&c=7Tue, 28 Feb 2012 00:00:00 GMT Hanau, 28. Februar 2012 Der Sicherheitsspezialist Doctor Web entdeckte den Backdoor-Trojaner Android.Anzhu, der von Übeltätern per Fernzugriff verwaltet wird. Der Schädling installiert Anwendungen ohne Kenntnis des Benutzers und ändert auf Befehl Registerkarten Ihres Browsers. Android.Anzhu wird durch chinesische Websites verbreitet, die kostenfreie Software für Android anbieten. Der Backdoor-Trojaner ist im Programm Screen Off And Lock integriert, das für die Sperrung Ihres Bildschirms und Ausschaltung Ihres mobilen Endgeräts gedacht ist. Während der Installation des Schädlings wird auch das Programm Screen Off And Lock installiert. Anschließend wird ein Icon zur weiteren Konfiguration von Screen Off And Lock erstellt. Wenn diese Anwendung vom offiziellen Android Market heruntergeladen wurde, stellt es keine Gefahr dar. Sollte das Programm aber von einer chinesischen Website stamen, wird ein Backdoor gestartet, der eine Verbindung mit seinem Virenschreiber aufbaut und auf seine Befehle wartet. Der Schädling Android.Anzhu kann auch ohne Kenntnis des Benutzers beliebige Programme herunterladen und installieren. Nachdem Android.Anzhu die vorgegebene Anwendung heruntergeladen hat, kann er ihre Privilegien ändern und diese ausführen. Der Trojaner ist auch in der Lage, Registerkarten im Browser für Android zu modifizieren. Android.Anzhu installiert nicht nur Registerkarten aus der von Übeltätern übermittelten Liste, sondern ändert ihre Eigenschaften (u.a. markiert diese als besucht). Android.Anzhu kann auch das Systemprotokoll von Android überwachen, und zwar das Starten und Abbrechen anderer Anwendungen verfolgen. Der Trojaner kann auch Informationen über das Gerät sammeln (installierte Anwendungen, IMEI) und diese an Übeltäter weiterleiten. Die größte Gefahr stellt Android.Anzhu für Benutzer von gerooteten Android-Telefonen dar, wo man Betriebssystem-Administrator ist. Die Anwender von Dr.Web müssen sich aber keine Sorgen machen. Ab sofort enthalten Dr.Web für Android Antivirus + Antispam und Dr.Web für Android Light eine entsprechende Signatur. http://news.drweb-av.de/show/?i=945&c=7Thu, 02 Feb 2012 00:00:00 GMT Hanau, 2. Februar 2012 Der Sicherheitsspezialist Doctor Web warnt vor der neuen Familie von Trojan.OneX-Schädlingen, die bei der Infizierung eines Computers Spam-Mails an Facebook-Nutzer verschicken. Zur Zeit stehen zwei Modifikationen dieses Trojaners fest, die sich in ihren Funktionen unwesentlich unterscheiden. Die Anzahl der Opfer kann bei einer solchen Verbreitungsmethode außerordentlich hoch sein. Trojan.OneX funktioniert nur unter einer 32-Bit-Version von Windows. Unter einer 64-Bit-Version bricht er nach dem Herunterladen einer Text-Datei vom Verwaltungsserver ab. Nach dem Starten auf einem infizierten PC überprüft Trojan.OneX.1 das Betriebssystem auf seine Kopien und entschlüsselt danach eine Adresse des Remote-Servers, von dem eine spezielle Text-Datei heruntergeladen wird. Diese Datei enthält einige Zeilen in der englischen Sprache, wie z.B. hahaha! http://goo.gl[…].jpeg, die danach statt Nachrichten, die von Facebook-Benutzern im Netzwerk hinterlassen werden, auftauchen. Die Nachrichten werden durch Zeilen aus dieser Datei ausgetauscht. Stündlich lädt der Trojaner eine neue Konfigurationsdatei vom Remote-Server herunter. Trojan.OneX.1 sucht im Betriebssystem nach gestarteten Prozessen mit den Namen firefox, iexplore und IEXPLORE, schleust sich ein und blockiert Funktionen, die für die Absendung von Nachrichten verantwortlich sind. Nachdem die erste Variante des Trojaners in die Hände der Virenanalysten von Doctor Web gelangt ist, ist ein weiterer Schädling aufgetaucht, der Trojan.OneX.2 heißt. Im Vergleich zur ersten Variante, nutzt die zweite Version von Trojan.OneX beliebte Messaging-Programme durch Prozesse pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk und xfire.exe aus. Beim Verschicken von Nachrichten werden Maus und Tastatur des infizierten Computers blockiert. Im Vergleich zu Trojan.OneX.1 kann Trojan.OneX.2 auf Konfigurationsdateien in einer Unicode-Kodierung zugreifen. screen Unter den durch Trojaner verschickten Nachrichten sind auch Links zu gefälschten Websites wie RapidShare zu finden. Dem Benutzer wird u.a. angeboten, ein ZIP-Archiv mit einer JPEG-Datei herunterzuladen, wo sich in der Tat die ausführbare Datei Photo14.JPG.scr (Trojan.Packed.22289) befindet, wo BackDoor.IRC.Bot.1446 eingeschachtelt ist. Dieser Trojaner eröffnet den Übeltätern nicht nur die Hintertür zum infizierten PC, sondern auch kann vertrauliche Daten klauen und an den infizierten PC verschiedene Befehle für das Starten und die Installation anderer Anwendungen versenden. Bemerkenswert ist es, dass die Verbreitung von Trojanern auch durch BackDoor.IRC.Bot erfolgt, den gefährlichsten Schädling der Trojan.OneX-Familie, die ihrerseits die Verbreitung von BackDoor.IRC.Bot fördert. Die entsprechenden Signaturen sind in die Dr.Web Virendatenbank bereits eingetragen worden. Die Anwender von Dr.Web Antivirensoftware sind sicher geschützt und brauchen sich keine Sorgen um ihre Sicherheit zu machen.