Frankfurt, 27. Juni 2017

Wegen Informationen über Angriffe eines Encoders gegen Öl-, Telekom- und Finanzunternehmen in Russland und der

Ukraine teilt Doctor Web mit, dass dieser Encoder von Dr.Web erfolgreich erkannt wird.

Anhand von Informationen, die unsere Spezialisten heute zur Verfügung haben, verbreitet sich der Trojaner ähnlich wie WannaCry. Es gibt aber noch keine genauen Daten, wie der Verbreitungsmechanismus aussieht. Einige Medien vergleichen den Schädling mit Petya (Trojaner, der von Dr.Web als Trojan.Ransom.369 erkannt wird), weil er wie ein Erpresser agiert. Die Verbreitungsmethode der neuen Bedrohung sieht aber anders als bei Petya aus.

Heute um 15:30 Uhr (CET) wurde der Trojaner in der Dr.Web Virendefinitionsdatei als Trojan.Encoder.12544 erfasst.

Das Team von Doctor Web ruft alle Nutzer auf, höchste Vorsicht walten zu lassen und verdächtige E-Mails nicht aufzumachen. Es ist außerdem empfehlenswert, Backups von sensiblen Daten zu machen und alle Sicherheits-Updates für installierte Apps zu installieren. Ein Virenschutz muss im System installiert sein.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Schutz-Modul gegen Exploits Dr.Web Shellguard (11.01.09.06190) und das Selbstschutz-Modul Dr.Web SelfPROtect (11.01.10.06210) in Dr.Web Produkten 11.0 für Windows, Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 10.0, 10.1 und Dr.Web AV-Desk 10.0. Das Selbstschutz-Modul wurde auch im Cure-Tool Dr.Web CureNet! aktualisiert. Das Update behebt früher entdeckte Fehler.

Ursachen für Detektionsfehler von Dr.Web Shellguard während der gleichzeitigen Nutzung von MS Word 2016 und Office Tab wurden behoben.

Ursachen für einen BSOD-Fehler im Selbstschutz-Modul auf Rechnern unter Windows 2008 R2 wurden auch beseitigt.

Das Update erfolgt automatisch. Anschließend ist der Neustart Ihres Rechners erforderlich.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web veröffentlicht Dr.Web Version 11.0 für Internet-Gateways Kerio unter Linux.

Die neue Version bietet Unterstützung für Kerio Control 9.2.1 und 9.2.2, während frühere Versionen des Internet-Gateways vom Dr.Web 9.0 unterstützt werden.

Bevor Sie Dr.Web 11.0 für Internet-Gateways Kerio installieren, müssen Sie eine alte Version des Plug-ins deinstallieren.

Mehr zu den Systemanforderungen und zur Installation des Plug-ins finden Sie hier.

20.06.2017

Man hat seit längerem versucht, uns zu überzeugen, dass Clouds sicher sind und Linux ein cooles Betriebssystem ist. Die Wahl brauchte ein Nutzer nur zwischen zwei mehr oder wenigen komfortablen Benutzeroberflächen zu treffen. Nun sieht es nicht ganz wolkenlos aus.

Aus Sicht der Sicherheitsspezialisten ist der Fall nicht ungewöhnlich. Es geht um Software, die nicht regelmäßig aktualisiert wurde, Fehler in den Einstellungen usw. Aber die Höhe des gezahlten Lösegeldes überrascht die Branche. Somit ist dieser Angriff der bisher erfolgreichste Angriff auf ein Linux-System.

Wer ist schuldig?

1. Der Serviceanbieter, der für seine Kunden keine Backup-Funktion bereitgestellt und selbst seine eigene Infrastruktur nicht gesichert hat.
2. Kunden, die ihre Daten nicht gesichert und auf die Zuverlässigkeit des Anbieters gesetzt haben.

Erfolgreiche Attacken gegen Hostinganbieter hat es auch in der Vergangenheit gegeben, aber Angriffe, die so aggressiv und aufsehenerregend waren, gab es bisher nicht.

Wir bei Doctor Web rechnen mit einem rapiden Wachstum von solchen Angriffen.

Jede solche Meldung spornt Nachahmer an. Es kann durchaus sein, dass eine neue Angriffswelle im Sand verläuft, aber sie kann auch zu einem Trend werden. Ein Beleg dafür sind bereits verübte Angriffe gegen Linux-Systeme. Voraussagen lässt es sich nicht.

Dr.Web empfiehlt:

1. Nutzer, die ihre Daten in der Cloud haben und keine Back-ups erstellen, sollten doch damit beginnen, ihre Daten zu sichern und diese entweder bei einem anderen Anbieter oder auf ihren Heimrechnern aufzubewahren.
2. Wenn Sie einen Server oder eine Webseite in der Cloud mieten, brauchen Sie immer noch einen Virenschutz. Sicherheit ist Ihre Sorge. Neben Back-ups brauchen Sie noch einen Virenschutz – sowohl in der Cloud als auch auf Ihrem PC.

Für die Sicherheit der Infrastruktur der Serviceanbieter sorgen Produkte von Dr. Web Server Security Suite, die Server gegen Malware schützen sowie Dr.Web Gateway Security Suite, die eingehende Daten auf böswillige Apps und Web-Inhalte auf Riskware prüfen.

Für die Sicherheit der Kunden von Serviceanbietern sorgen Produkte für Geschäftsanwender aus der Produktpalette Dr. Web Enterprise Security Suite. Bitte denken Sie daran, dass der Virenschutz sowohl auf der Seite des Serviceanbieters als auch in einem lokalen Netzwerk und auf Rechnern der Mitarbeiter vorhanden sein muss. Nur so kann ein Unternehmen gegen Man-in-the-Middle-Angriffe geschützt werden.

Frankfurt, 19. Juni 2017

Die Sicherheitsspezialisten von Doctor Web haben einen Android-Trojaner entdeckt, den Cyber-Kriminelle via Telegram steuern. Der Schädling klaut vertrauliche Daten der Nutzer und führt Befehle der Cyber-Kriminellen aus.

Der Trojaner, der als Android.Spy.377.origin erfasst wurde, stellt ein Remote Administration Tool dar. Es verbreitet sich als harmlose App, attackiert aber iranische Nutzer. Der Schädling kann unter dem Namen «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») und «Cleaner Pro» installiert werden.

Beim Start wird dem Nutzer vorgeschlagen, die Beliebtheit seines Profils bei Telegram-Nutzern zu prüfen. Der Trojaner fordert dabei seine ID an und zeigt vermeintliche „Profilbesucher“ an, nachdem das Opfer seine ID eingegeben hat. Diese Funktion soll beim Nutzer den Eindruck erwecken, dass die App keine Gefahr für ihn darstellt. Nach kurzer Zeit löscht Android.Spy.377.origin seine Menüverbindung aus der Liste von installierten Apps und versucht, seine Präsenz im System zu verschleiern.

Android.Spy.377.origin ist eine klassische Spyware, die Befehle von Cyber-Kriminellen ausführen kann. Der Hauptunterschied des Schädlings im Vergleich zu anderen Android-Trojanern ist die Verwaltung via Telegram. Das ist der erste Schädling für Android, der ausgerechnet via Telegram gesteuert wird.

Nach dem Löschen der Desktop-Verbindung kopiert Android.Spy.377.origin Kontakte aus dem Telefonbuch, ein- und ausgehende Kurznachrichten sowie Google-Konto-Informationen. Anschließend speichert er diese Daten in einer Textdatei in seinem Arbeitsverzeichnis. Außerdem macht der Trojaner ein Gesichtsfoto des Nutzers mit der Frontalkamera. Danach lädt der Spion das Foto mit geklauten Daten auf einen Remote-Server hoch und sendet an den Telegram-Bot der Cyber-Kriminellen ein Signal über eine erfolgreiche Infizierung des Geräts.

Nachfolgend sehen Sie Beispiele von Dateien, die Android.Spy.377.origin an Cyber-Kriminelle übermittelt.

Nachdem vertrauliche Daten geklaut wurden, baut Android.Spy.377.origin eine Verbindung zum Bot auf und wartet auf seine Befehle. Der Trojaner ist in der Lage, folgende Anweisungen zu erhalten:

• call – Anruf tätigen;
• sendmsg – SMS senden;
• getapps – Daten zu installieren Apps an einen Server übermitteln;
• getfiles – Informationen über alle vorhanden Dateien versenden;
• getloc – Standort des Geräts an einen Server versenden;
• upload – Vordefinierte Datei auf den Server hochladen;
• removeA – Vordefinierte Datei löschen;
• removeB – Gruppe von Dateien löschen;
• lstmsg – Datei mit allen ein- und ausgehenden Kurznachrichten an einen Server senden.

Der Telegram-Bot informiert auch Virenschreiber, sobald ein Befehl ausgeführt wurde.

Android.Spy.377.origin sammelt für Cyber-Kriminelle sensible Daten, verfolgt alle ein- und ausgehenden Kurznachrichten und ortet den Standort des Geräts. Wenn SMS empfangen oder versendet werden oder der Standort des Geräts sich ändert, benachrichtigt der Schädling den Telegram-Bot der Cyber-Kriminellen.

Die Virenanalysten von Doctor Web möchten Nutzer darauf aufmerksam machen, dass Virenschreiber den Trojaner als harmlose App verbreiten. Um sich gegen Android-Trojaner zu schützen, müssen Sie Apps nur von bekannten Entwicklern und aus verlässlichen Quellen wie Google Play herunterladen. Alle bekannten Versionen von Android.Spy.377.origin werden von Dr.Web Produkten für Android erfolgreich erkannt, deshalb stellt der Spion für unsere Anwender keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 15. Juni 2017

Mining-Trojaner sind Schädlinge, die CPU-Ressourcen von infizierten Geräten zur Gewinnung von Kryptowährung ausnutzen. Die Virenanalysten von Doctor Web haben einen solchen Trojaner, der Rechner unter Microsoft Windows infiziert, unter die Lupe genommen und liefern erste Ergebnisse der Analyse.

Dieser Schädling wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der Letzte verbreitet sich über die Backdoor DoublePulsar.

Trojan.BtcMine.1259 prüft nach seinem Start, ob auf dem infizierten PC seine Kopie läuft. Anschließend bestimmt er, wie viele Kerne der Prozessor besitzt. Wenn die Anzahl der Kerne seinen Parametern entspricht, wird seine Bibliothek entschlüsselt und in den Hauptspeicher hochgeladen. Diese Bibliothek ist eine abgeänderte Version des Remote-Verwaltungssystems mit offenem Quellcode (auch als Gh0st RAT oder BackDoor.Farfli.96 bekannt). Danach speichert Trojan.BtcMine.1259 auf der Festplatte seine Kopie und startet diese als Systemdienst. Nach einem erfolgreichen Start versucht der Trojaner, sein Update unter der in der Konfigurationsdatei angegebenen Adresse herunterzuladen.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Die Konfigurationsdatei dieses Moduls enthält Parameter für Kerne und CPU-Ressourcen zum Mining und bestimmt unter anderem, in welchem Zeitraum der Schädling automatisch neu gestartet werden soll. Der Trojaner verfolgt laufende Prozesse auf dem infizierten Rechner. Wenn ein Task-Manager gestartet wurde, bricht er ab.

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Immerhin wird die Malware, die CPU-Ressourcen des Rechners anzapft, von Cyber-Kriminellen weiter verbreitet. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein. Trojan.BtcMine.1259 sowie alle seine Komponenten werden von Dr.Web Antivirus erfolgreich entfernt, deshalb stellt der Schädling für unsere Nutzer keine Bedrohung dar.

Mehr zum Trojaner

Frankfurt, 13. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Plug-in Dr.Web für IBM Lotus Domino bis auf Version 11.0.2. Das Update rüstet das Plug-in mit neuen Funktionen und behebt früher entdeckte Fehler.

Das Plug-in unterstützt jetzt Windows Server 2016.

Folgende Änderungen wurden vorgenommen:

• Statistiken sollen fehlerfrei an den zentralen Schutzserver übermittelt werden;
• Ursachen für das Aufhängen eines SMTP-Tasks wurden behoben;
• Fehler während der Prüfung von E-Mails beim Zugang zu NSF-Datenbanken wurden beseitigt.

Bevor Sie eine aktuelle Version von Dr.Web für IBM Lotus Domino installieren, entfernen Sie die alte Version des Plug-ins. Um vorhandene Einstellungen zu übernehmen, können Sie die Option Import/Export benutzen.

Frankfurt, 13. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Modul Lua-Updater (11.0.21.06080), das Anti-Rootkit-Modul Dr.Web Anti-rootkit API (11.1.11.201706060), den Verwaltungsdienst Dr.Web Control Service (11.0.13.06051 und 11.0.12.06061) und das Konfigurationsskript Lua-script for scan-engine (11.0.6.06050) in Dr.Web Produkten. Außerdem wurde in Dr.Web KATANA 1.0 das Modul katana-service (11.1.7.06051) aktualisiert. Das Update behebt früher entdeckte Fehler.

Der Lua-Updater wurde optimiert und interagiert nun fehlerfrei mit Dr.Web Update-Servern.

Ursachen für das fehlerhafte Einloggen im lokalen Benutzerprofil des Antirootkit-Moduls wurden entdeckt und beseitigt.

Das Update erfolgt automatisch. Nachdem Sie Dr.Web KATANA benutzt haben, müssen Sie Ihren Rechner neu starte

Frankfurt, 5. Juni 2017

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server.

Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Einen Höhepunkt erreichten sie aber Mitte Mai. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Der Trojaner ist schlau und ist in der Lage, Honeypots (Server, die von Sicherheitsanalysten als Fallen für Malware verwendet werden) zu entdeckten. Nach seinem Start stellt er eine Verbindung zum Verwaltungsserver her, erhält von ihm eine Rückmeldung und startet auf dem infizierten Gerät den SOCKS-Proxy-Server. Cyber-Kriminelle können diesen zum Verdecken ihrer Identität nutzen.

Die beiden Trojaner werden durch Dr.Web Antivirus für Linux erfolgreich erkannt und entfernt, deshalb stellen sie für unsere Nutzer keine Gefahr dar.

• More about Linux.MulDrop.14
• More about Linux.ProxyM

Frankfurt, 2. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web SelfPROtect (11.01.10.06010) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus 11.0, Dr.Web Antivirus 11.0 für Dateiserver Windows, Dr.Web Enterprise Security Suite 10.0, Dr.Web AV-Desk 10.0, Dr.Web KATANA 1.0 und Dr.Web CureNet!. Das Update behebt früher entdeckte Fehler.

Dank des Updates wurden Ursachen für Fehler im Betriebssystem (BSOD) behoben.

Das Update wird automatisch durchgeführt. Anschließend ist der Neustart Ihres Rechners erforderlich.

Frankfurt, 31.Mai 2017

Das Hauptereignis im Monat Mai war eine massenhafte Verbreitung des Schädlings WannaCry, der von Dr.Web als Trojan.Encoder.11432 erkannt wird. Der Wurm verbreitete sich selbständig und infizierte Netzwerk-Geräte über eine Lücke im SMB-Protokoll. Anschließend verschlüsselte er Dateien auf dem Rechner des Opfers und verlangte ein Lösegeld für die Entschlüsselung. Außerdem haben die Sicherheitsanalysten von Doctor Web den auf Lua geschriebenen Multikomponenten-Trojaner für Linux unter die Lupe genommen. MacOS blieb auch nicht im Hintergrund: Unsere Sicherheitsanalysten haben eine neue Backdoor aufgespürt.

Bedrohung des Monats

Von WannaCry haben bereits viele Medien berichtet. Der Verschlüsselungstrojaner wird von Dr.Web Antivirus als Trojan.Encoder.11432 klassifiziert und ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infiziert. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr.

Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich der massenhafte Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon. Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt er seine Arbeit ab. Mehr zum Schädling finden Sie hier. Eine technische Beschreibung des Trojaners gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Trojan.LoadMoney
  Download-Trojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Trojan.Moneyinst.133
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.151
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem Rechner klauen.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• Android.Androrat.1.origin
  Spyware für Android.
• BackDoor.Bifrost.29284
  Vertreter der Backdoor-Trojaner sind in der Lage, Befehle von Kriminellen auszuführen.

Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen Verteilung von Support-Anfragen wegen Encoder im Mai:

• Trojan.Encoder.858 — 14.39% Anfragen;
• Trojan.Encoder.11432 — 8.36% Anfragen;
• Trojan.Encoder.3953 — 7.41% Anfragen;
• Trojan.Encoder.761 — 2.62% Anfragen;
• Trojan.Encoder.10144 — 2.60% Anfragen;
• Trojan.Encoder.567 — 2.47% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust

Mehr

Im Mai 2017 wurden 1 129 277 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Nicht empfohlene Webseiten

Weitere Ereignisse aus der IT-Sicherheitsszene

Anfang Mai wurde ein Trojaner entdeckt, der sich über Links in Kommentaren verbreitete. Übeltäter platzierten diese Links in der offiziellen VK-Gruppe von Doctor Web. Anschließend wurden Nutzer dazu aufgefordert, kostenlose Schlüssel für Dr.Web Antivirus herunterzuladen. Bei der angebotenen App ging es aber um den Trojaner Trojan.MulDrop7.26387.

Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, z.B. das Hintergrundbild von Windows zu ändern, das DVD-Laufwerk zu öffnen und zu schließen, Funktionen von Maustasten zu ändern, einen Satz mit Hilfe einer Sprach-App aussprechen zu lassen und sogar ein schreckliches Video auf dem Bildschirm eines Rechner anzuzeigen. Mehr zum Schädling finden Sie hier.

Malware für Linux

Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen. Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben. Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

Mehr Informationen zum Trojaner finden Sie hier. Die technische Beschreibung des Schädlings befindet sich hier.

Malware für macOS

Der letzte Frühlingsmonat von 2017 war durch die Verbreitung der Backdoor für macOS gekennzeichnet. Der Trojaner wurde in die Dr.Web Virendatenbank als Mac.BackDoor.Systemd.1 eingetragen. Die Backdoor ist in der Lage, folgende Befehle auszuführen:

• Liste mit Inhalten aus dem vordefinierten Verzeichnis erhalten;
• Datei lesen;
• Inhalte in einer Datei speichern;
• Dateiinhalte erhalten;
• Datei oder Ordner löschen;
• Datei oder Ordner umbenennen;
• Rechte für Datei oder Ordner (via Befehl chmod) anpassen;
• Besitzer einer Datei (via Befehl chown) anpassen;
• Ordner erstellen;
• Befehl in bash ausführen;
• Trojaner aktualisieren;
• Trojaner neu starten;
• IP-Adresse des Verwaltungsservers anpassen;
• Plug-in installieren.

Mehr Informationen zur Backdoor finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten. Darüber hinaus haben wir auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus klaut der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter. Außerdem haben Cyber-Kriminelle im Mai den Trojaner Android.BankBot.186.origin verbreitet, der als MMS getarnt war.

Hauptereignisse im Mai:

• Trojaner auf Google Play entdeckt;
• Verbreitung eines Android-Bankers, der das Geld der Nutzer klaut.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 31. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für Smartphones und Tablets unter Android. Im vergangenen Monat wurden auf Google Play mehrere Android-Trojaner entdeckt. Der eine lud aus dem Internet böswillige Apps und sammelte vertrauliche Daten. Der andere konnte einzelne böswillige Programmmodule herunterladen und aufdringlich Werbung anzeigen. Außerdem haben Cyber-Kriminelle im Mai einen Bankentrojaner verbreitet, der das Geld von Konten der Nutzer klaute.

Frankfurt, 31. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für Smartphones und Tablets unter Android. Im vergangenen Monat wurden auf Google Play mehrere Android-Trojaner entdeckt. Der eine lud aus dem Internet böswillige Apps und sammelte vertrauliche Daten. Der andere konnte einzelne böswillige Programmmodule herunterladen und aufdringlich Werbung anzeigen. Außerdem haben Cyber-Kriminelle im Mai einen Bankentrojaner verbreitet, der das Geld von Konten der Nutzer klaute.

Bedrohung des Monats

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten.

Besonderheiten von Android.RemoteCode.28:

• Hauptfunktionen des Trojaners befinden sich im verschlüsselten Dienstmodul;
• Android.RemoteCode.28 beginnt mit böswilligen Aktivitäten erst 8 Stunden nach seinem Start;
• Trojaner prüft das Gerät auf vorhandenen Emulator oder Debugger und bricht ab, wenn diese gefunden werden.

Statistik von Dr.Web Produkten für Android

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Trojaner, die aufdringliche Werbung anzeigen. Die Schädlinge verbreiten sich unter dem Deckmantel von beliebten Apps, die in einigen Fällen unsichtbar installiert werden.

• Android.Sprovider.9

Trojaner, der aufdringliche Werbung im Infobereich des Smartphones anzeigen, böswillige Apps herunterladen und installieren kann.

• Android.Triada.264.origin

Multifunktionaler Trojaner, der verschiedene Aktionen durchführen kann.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Unerwünschte Module, die in Android-Apps eingebettet werden und Werbung anzeigen.

Trojaner auf Google Play

Mitte Mai wurden auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Die Apps wurden vom Entwickler Sumifi Dev verbreitet. Dies ist nicht der einzige Fall, in dem der oben erwähnte Schädling auf Google Play vordringt. Ein ähnlicher Fall wurde von Doctor Web hier im Juli 2016 gemeldet. Kurz nach der Entdeckung von Android.Spy.308.origin aktualisierte der App-Entwickler seine Apps und löschte die Trojaner-Komponente. Nun stellen sie keine Gefahr für Nutzer dar.

Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus sammelt der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter.

Bankentrojaner

Im Mai haben Cyber-Kriminelle den Trojaner Android.BankBot.186.origin. verbreitet, der als MMS getarnt war. Nutzer erhielten Kurznachrichten mit einem Link. Wenn man dem Link folgt, öffnet sich eine böswillige Webseite, von der auf das mobile Gerät eine apk-Datei der schädlichen App heruntergeladen wird.

Android.BankBot.186.origin fordert Administratorprivilegien an, um seine Entfernung zu erschweren. Außerdem versucht er, die standardmäßige SMS-App auf dem Smartphone zu ersetzen. So will er das Sicherheitssystem von Android umgehen und die Möglichkeit bekommen, Kurznachrichten zu versenden und abzufangen. Danach prüft der Trojaner auf dem Gerät Guthaben von vorhandenen Bankkonten und überweist den Cyber-Kriminellen das Geld der Nutzer.

Böswillige Apps für mobile Endgeräte unter Android sind immer noch gefährlich. Trojaner können sich nicht nur über schädliche Webseiten, sondern auch über den offiziellen App-Katalog Google Play verbreiten. Um sich gegen Riskware und Malware zu schützen, installieren Sie Dr.Web für Android.

Frankfurt, 25. Mai 2017

Malware für Linux-Betriebssysteme ist im Vergleich zu Windows nicht so weit verbreitet. Nichtsdestoweniger stellt sie eine ernsthafte Gefahr für Nutzer dar. Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen.

Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte. Es konnte aber kein einziger Trojaner für die CPU-Architektur SPARC entdeckt werden. Der Trojaner kann diesen Architekturtyp erfolgreich erkennen, es gibt aber keine Module dafür.

Alle im Linux.LuaBot vorhandenen Szenarien sind verbunden. Der Trojaner erstellt eine Liste von IP-Adressen, die einen Angriff starten. Anschließend versucht er, eine Verbindung zu anderen Geräten mittels der Login- und Passwortermittlung herzustellen. Skripts, die Netzwerkgeräte kapern sollen, sind in der Lage, die Architektur von anzugreifenden Geräten zu bestimmen und Honeypots (Server, die als Falle für Cyber-Kriminelle dienen) zu erkennen. Mit Hilfe von Honeypots untersuchen IT-Sicherheitsspezialisten die Methodik der Angriffe sowie Werkzeuge von Cyber-Kriminellen. Dabei werden Angriffe sowohl via Telnet als auch via SSH durchgeführt. Jedes Protokoll wird durch ein separates Lua-Szenario betreut. Wenn der Zugang zum Gerät gesichert ist, installiert das böswillige Skript den Trojaner Linux.LuaBot mit jeweiliger Architektur. Beim Angriff via Telnet wird auf das Zielgerät ein kleines Modul hochgeladen, das einen Trojaner herunterlädt. Beim Angriff via SSH wird der Trojaner direkt heruntergeladen.

Eines der Module von Linux.LuaBot stellt einen vollwertigen Webserver dar, der via HTTP funktioniert. Der Server kann auf dem infizierten Gerät eine App speichern und ausführen, eine Datei auf Anfrage übermitteln und Informationen zur Version des Trojaners weitergeben. Die Version von Linux.LuaBot, die erst im Mai erschienen ist, ist aber nicht in der Lage, die Version des Schädlings preiszugeben.

Linux.LuaBot kommuniziert mit dem Verwaltungsserver via HTTP. Dabei werden alle übermittelten Daten verschlüsselt. Um neue Konfigurationsdateien und Module zu finden, verwendet man ein P2P-Netzwerk, das auf dem Protokoll Bittorent DHT basiert. Dieses Protokoll ist üblich für Torrent-Netzwerke. Für das Update des Schädlings ist ein weiteres Skript verantwortlich. Wenn das P2P-Netzwerk nicht verfügbar ist, wird Linux.LuaBot durch ein anderes Szenario aktualisiert, indem Dateien auf das infizierte Gerät auf Anfrage hochgeladen werden. Dieses Szenario ist typisch für frühere Versionen des Trojaners.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben.

Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

Die Virenanalysten von Doctor Web kennen bereits mehrere Varianten von Linux.LuaBot, die sich durch den Funktionsumfang sowie mehrere Architekturbesonderheiten unterscheiden. Dr.Web Antivirus erkennt alle zur Zeit existierenden Bedrohungen als Linux.LuaBot.

Mehr zum Trojaner

Frankfurt, 24. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Security Space für Android bis auf Version 11.1.2. Das Update behebt früher entdeckte Fehler.

Hier alle Änderungen der Version 11.1.2:

• Fehler des URL-Filters im «Yandex.Browser» auf Geräten unter Andorid Version bis auf 5.х wurde beseitigt;
• Ursache für das Abbrechen der App auf einigen Geräten wurde behoben;
• Die Benutzeroberfläche für Geräte unter Android Version bis auf 5.х wurde verbessert.

Die aktuelle Version des Produktes ist auf Google Play (Dr.Web Security Space, Dr.Web Security Space Life und auf der Webseite von Doctor Web zum Download verfügbar.

Das Update erfolgt automatisch. Wenn das automatische Update deaktiviert ist, gehen Sie auf Google Play, wählen Sie Dr.Web Security Space oder Dr.Web Security Space Life und klicken Sie auf «Aktualisieren».

Um das Update über die Webseite durchzuführen, laden Sie eine aktuelle Installationsdatei herunter. Wenn die Option «Neue App-Version» aktiviert ist, wird der Benutzer über eine neue Version, die er aus diesem Dialogfenster herunterladen kann, benachrichtigt.

Mehr zum Release von Dr.Web Security Space für Android 11.1.2

Frankfurt, 23. Mai 2016

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Not-Wiederherstellungs-Tool für PCs Dr.Web LiveDisk 9.0. Das Update behebt früher entdeckte Fehler.

Die Ursache für das Abbrechen einer USB-Version des Tools auf PCs ohne Unterstützung für SSE2-Anweisungen wurde beseitigt.

Außerdem wurde ein Fehler korrigiert, der das Abspeichern von Dr.Web LiveDisk auf einem Wechseldatenträger verhinderte.

Dr.Web LiveDisk herunterladen

Frankfurt, 18. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Anti-rootkit API (11.1.10.201705100), Konfigurationsskripts Lua-script for main (1.0.0.03300) und Lua-script for av-service (1.0.0.03310), das Modul Thunderstorm Cloud Client SDK (11.0.2.04270) in Dr.Web KATANA 1.0 sowie das Modul Dr.Web KATANA BE setup (1.0.2.05120) in Dr.Web KATANA 1.0 Business Edition. Dank dem Update werden Verbesserungen an beiden Produkten vorgenommen.

Bedrohungen können jetzt schneller entdeckt und neutralisiert werden.

Das Update von Dr.Web KATANA erfolgt automatisch. Anschließend ist der Neustart Ihres PCs erforderlich. Für das Update von Dr.Web KATANA Business Edition ist der Neustart des Verwaltungsmoduls erforderlich.

Frankfurt, 17. Mai 2017

Am Freitag, dem 12. Mai wurden viele Computer auf der ganzen Welt durch einen Wurm namens WannaCry infiziert. Die Malwareanalysten von Doctor Web haben den Schädling unter die Lupe genommen und können mit Nutzern vorläufige Erkenntnisse teilen.

Der Schädling WannaCry ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infizieren kann. Dr.Web Antivirus erkennt alle Komponenten des Wurms als Trojan.Encoder.11432. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr. Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich ein massenhafter Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon.

Netzwerkwurm

Nach seinem Start versucht der Wurm, eine Anfrage an den vordefinierten Remote-Server zu senden. Wenn eine Rückmeldung vom Server vorliegt, schließt der Wurm seine Arbeit ab. Laut einigen Medienberichten konnte die Epidemie von WannaCry gestoppt werden, indem man die Domain des Remote-Servers hätte registriert können. Die Domain, unter welcher der Schädling seine Verbreitung begann, hätten Cyber-Kriminelle aus Versehen nicht registriert. Die Analyse zeigt aber, dass sich der Trojaner auf Rechnern verbreitet, die den Zugang zum lokalen Netzwerk, aber keine Internetverbindung haben. Es ist deshalb übereilt zu sagen, dass die Epidemie gestoppt werden konnte.

Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt der Bösewicht seine Arbeit ab.

Der Wurm startet auf dem infizierten PC und beginnt, nach den im lokalen Netzwerk des infizierten Rechners verfügbaren Servern sowie Rechnern mit zufälligen IP-Adressen im Internet zu suchen. Danach versucht er, eine Verbindung zum Port 445 aufzubauen. Wenn die Verbindung hergestellt wurde, infiziert er diese Rechner über eine Sicherheitslücke im SMB-Protokoll.

Dropper

Der Dropper ist eine weitere Komponente, die zur Installation einer böswilligen ausführbaren Datei im Betriebssystem dient. Der Dropper von WannaCry enthält ein passwortgeschütztes gezipptes Archiv mit dem Encoder, einen Bildschirmhintergrund von Windows mit der Forderung von Cyber-Kriminellen, eine Datei mit Adressen von onion-Servern, Angaben zum Bitcoin-Konto sowie ein Archiv mit Apps zum Interagieren mit dem anonymen Netzwerk Tor. Der Dropper bootet aus dem Körper des Wurms, wird im Betriebssystem installiert und startet seine Kopie als Systemservice, der einen zufälligen Namen zugeteilt bekommt. Wenn dies nicht gelingt, führt er sich als gewöhnliche Desktop-App aus. Die Hauptaufgabe des Droppers ist es, den Inhalt des Archivs auf der Festplatte zu speichern sowie den Verschlüsselungstrojaner zu dekodieren und zu starten.

Encoder

Trojan.Encoder.11432 verschlüsselt Dateien mit einem zufälligen Schlüssel. Die Datei enthält Informationen zur Länge des verschlüsselten Schlüssels, den verschlüsselten Schlüssel selbst, den Typ der Verschlüsselung und die Dateigröße. Während der Infizierung wird die Datei f.wnry erstellt. Darin wird eine Liste von Dateien gespeichert, die der Trojaner im Testmodus entschlüsseln kann.

Der Trojaner enthält einen Decoder, der auf dem infizierten PC Hintergrundkopien löscht und die Funktion der Systemwiederherstellung deaktiviert. Der Schädling wechselt den Bildschirmhintergrund von Windows gegen den nachfolgenden Hintergrund aus:

Anschließend entpackt er (oder lädt herunter) Apps zum Interagieren mit Tor und stellt Verbindungen zu onion-Servern her. Deren Adressen sind in der Konfigurationsdatei des Trojaners bereits vorhanden. Von Servern erhält er Angaben zum Bitcoin-Konto und speichert diese in der Konfigurationsdatei ab. Zum Datenaustausch mit onion-Servern verwendet Trojan.Encoder.11432 ein eigenes Protokoll.

Der Decoder ermöglicht die Entschlüsselung mehrerer Textdateien, deren Liste in der Datei f.wnry bereits vorhanden ist. Ein privater Schlüssel, der zur Entschlüsselung der Textdateien dient, ist in einer der Komponenten des Schädlings auch verfügbar. Deshalb können sie ohne Einsatz des Trojaners dekodiert werden. Die Entschlüsselung von restlichen Dateien (u.a. Textdateien) erfolgt unter Verwendung von verschiedenen Schlüsseln. Somit gibt es keine Garantie für eine erfolgreiche Dekodierung der durch den Trojaner beschädigten Daten – auch wenn das Lösegeld gezahlt wurde.

Leider ist zur Zeit die Dekodierung der durch Trojan.Encoder.11432 verschlüsselten Dateien nicht möglich.

Infizierungsmerkmale

Ihr Betriebssystem ist durch WannaCry infiziert, wenn:

• Systemservice "mssecsvc2.0" (sichtbarer Name "Microsoft Security Center (2.0) Service") vorhanden ist;
• Encoderdatei C:\WINDOWS\tasksche.exe vorhanden ist. Die vorherige Version des Schädlings ist in der Datei C:\WINDOWS\qeriuwjhrf gespeichert.

Was tun im Falle der Infizierung?

• Um die Verbreitung der Infektion einzudämmen, trennen Sie infizierte Workstations mit wichtigen Daten von beliebigen Netzwerken;
• Erstellen Sie ein Backup auf Datenträgern, die keine Verbindung zu anderen PCs haben.

Eine technische Beschreibung des Wurmes finden Sie hier.

Frankfurt, 15. Mai 2017

Am Freitag, dem 12. Mai wurden Computer auf der ganzen Welt von Trojan.Encoder.11432, der auch unter den Namen WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY und WNCRY bekannt ist, angegriffen. Als Folge sind Schäden bei Regierungs- und Nichtregierungsorganisationen sowie Privatpersonen entstanden. Dr.Web Nutzer waren aber noch vor der massenhaften Verbreitung des Schädlings sicher geschützt.

Die erste Version des Trojaners, die Dr.Web als Wanna Decryptor 1.0 kennt, wurde uns am 27. Mai 2017 um 07:20 Uhr zugeschickt. Wenige Stunden später wurden deren Kennungen um 11:51 Uhr in der Virendefinitionsdatei von Dr.Web erfasst.

Der Verschlüsselungstrojaner Trojan.Encoder.11432, der auch als WannaCry bekannt ist, begann sich aktiv am Freitagabend zu verbreiten. Am Wochenende wurden Großorganisationen weltweit angegriffen.

Das Team von Doctor Web erhielt ein Muster des Encoders am 12. Mai um 10:45 Uhr und nahm dieses in die Dr.Web Virendefinitionsdatei auf.

Noch bevor das Muster zur Verfügung stand, konnte der Schädling durch Dr.Web als BACKDOOR.Trojan erkannt werden.

Der Verschlüsselungstrojaner, der jetzt als Trojan.Encoder.11432 geführt wird, besteht aus vier Komponenten - Netzwurm, Dropper, Encoder und Decoder.

Trojan.Encoder.11432 verschlüsselt Dateien auf dem infizierten PC und fordert Lösegeld für die Dekodierung. Das Lösegeld soll in Bitcoin auf ein elektronisches Konto überwiesen werden.

Die massenhafte Verbreitung des Trojaners ist auf die Lücke im SMB-Protokoll zurückzuführen. Von dieser Sicherheitslücke sind alle Windows-Betriebssysteme bis auf Version 10 bedroht. Für Dr.Web Nutzer war die massenhafte Verbreitung von Trojan.Encoder.11432 aber von Anfang an keine Bedrohung.

Um die Einschleusung des Encoders auf Ihren PC zu verhindern, empfehlen wir Ihnen Folgendes:

• Update MS17-010, das unter technet.microsoft.com/en-us/library/security/ms17-010.aspx verfügbar ist, sowie alle aktuellen Sicherheitsupdates installieren;
• Virenschutz-App aktualisieren;
• Angreifbare Ports (139, 445) durch die Firewall schließen;
• Angreifbare Services im Betriebssystem deaktivieren;
• Auf Installation und Starten neuer Apps (ausführbare Dateien) verzichten;
• Unnötige Rechte der Benutzer (Ausführen und Installieren von neuen Apps) deaktivieren;
• Unnötige Services aus dem Betriebssystem löschen;
• Zugang zu Tor sperren.

Frankfurt, 3. Mai 2017

Der IT-Sicherheitspezialist Doctor Web veröffentlicht das Plug-in Dr.Web 11.0.2 für Microsoft Exchange Server. Die im Plug-in entdeckten Fehler wurden behoben.

Durch das Update wurden Fehler beseitigt, die Probleme wie

• Mangelhaftes Update von Benutzerprofilen beim Upgrade von Vorgänger-Versionen;
• Keine Verbindung zum Active Directory;
• Keine Deaktivierung der Systemprüfung auf Riskware, Dialer, Adware und Scherzprogramme.

bewirken konnten.

Mehr zum Update und zu den Systemanforderungen für Dr.Web 11.0.2 für Microsoft Exchange Server finden Sie hier.

Frankfurt, 28. April 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Malwarebericht für den Monat April 2017. Im Laufe des Monats haben Virenanalysten von Doctor Web die massenhafte Verbreitung eines gefährlichen Trojaners registriert und ein Exploit entdeckt, das Cyber-Kriminelle für eine neue Sicherheitslücke in Microsoft Word verwenden. Darüber hinaus haben unsere Virenanalysten andere böswillige Exemplare für Windows und Android analysiert.

Bedrohung des Monats

Der multifunktionale Trojaner, der unter dem Namen Trojan.MulDrop7.24844 geführt wird, verbreitet sich als archivierter E-Mail-Anhang.

Das Archiv enthält einen Container, der auf Autoit geschieben ist. Die Komponente, die auf dem infizierten PC Trojan.MulDrop7.24844 startet, wird von Dr.Web Antivirus als Program.RemoteAdmin.753 detektiert. Außerdem speichert der Trojaner zwei weitere Apps, die 32- und 64-Bit-Versionen von Mimikatz sind. Der Schädling fängt Passwörter aus offenen Sitzungen in Windows ab. Trojan.MulDrop7.24844 aktiviert den Keylogger, der eingegebene Daten speichert und gibt Cyber-Kriminellen einen Remote-Zugang zum infizierten PC via RDP (Remote Desktop Protocol). Mehr dazu finden Sie hier.

Statistik von Dr.Web Antivirus

• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.LoadMoney
  Download-Trojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Trojan.SMSSend.7306
  Trojaner mit einem Installationsassistenten, der Kurznachrichten an kostenpflichtige Nummern versenden kann. Mit dieser Funktion erpresst er Geld von Benutzern, die für die Installation einer App eine Kurznachricht versenden sollen.
• Win32.Virut.5
  Komplexer polymorpher Virus, der ausführbare Dateien infiziert und Rechner per Remote-Zugriff verwalten kann.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• BackDoor.Comet.3269
  Trojaner, der Befehle von Cyber-Kriminellen erhält und diesen einen Remote-Zugang zum infizierten PC bietet.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• BackDoor.Bifrost.29284
  Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen
• Android.SmsSend.15044
  Schädling, der kostenpflichtige Services abonniert, indem er Kurznachrichten an vordefinierte Nummern versendet.
• Joke.Locker.1.origin
  Scherzprogramm für Android, welches den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.

Verschlüsselungstrojaner (Encoder)

• Trojan.Encoder.858 — 33.57% Anfragen;
• Trojan.Encoder.3953 — 8.97% Anfragen;
• Trojan.Encoder.567 — 3.80% Anfragen;
• Trojan.Encoder.10144 — 3.59% Anfragen;
• Trojan.Encoder.761 — 2.58% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust

Mehr Video zur Einstellung ansehen

Im April 2017 wurden 568.903 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Mitte April haben unsere Spezialisten ein Schema aufgedeckt, nach dem Cyber-Kriminelle Informationen über abgekartete Spiele verkauften.

In der Tat sind solche Informationen nicht vertrauenswürdig. Ein Benutzer, der an sie gelangen möchte, muss zunächst ein passwortgeschütztes RAR-Archiv herunterladen. Das Opfer erhält aber stattdessen eine böswillige App, die das Verhalten eines SFX-Archivs imitiert. Dieses Archiv enthält eine Textdatei, wo Spielergebnisse abhängig vom Benutzerpasswort unterschoben werden. Der Schädling wurde von unserem Virenanalystenteam als Trojan.Fraudster.2986 erfasst. Außerdem wurden Webseiten registriert, die das betrügerische Schema verbreiten.

Andere Ereignisse

Ende April wurde die Verbreitung von Trojan.DownLoader23.60762 registriert, der Passwörter aus beliebten Browsern klaute. Auf dem infizierten PC integriert sich der Trojaner in Prozesse des Browsers und fängt Funktionen ab, die für das Netzwerk verantwortlich sind. Der Schädling ist dabei in der Lage, folgende Befehle auszuführen:

• Datei aus einem temporären Verzeichnis auf der Festplatte des infizierten PCs starten;
• Sich in einen Prozess einbetten;
• Datei herunterladen;
• Ausführbare Datei starten;
• SQLite-Datenbank speichern und Cyber-Kriminellen übermitteln;
• Verwaltungsserver anpassen;
• Cookies löschen;
• Betriebssystem starten;
• Computer ausschalten.

Mehr zu dieser Malware finden Sie hier.

Im April wurde eine Sicherheitslücke im Textredaktor Word entdeckt, der zum Microsoft Office gehört. Übeltäter haben für diese Sicherheitslücke das Exploit Exploit.Ole2link.1 entwickelt. Dieses Exploit ist als Microsoft-Word-Datei realisiert und hat eine .docx-Erweiterung. Wenn die Datei geöffnet wird, wird eine andere Datei mit den Namen doc.doc heruntergeladen. In die letzte ist ein HTA-Szenario eingebettet, das durch Dr.Web als PowerShell.DownLoader.72 erkannt wird. Dieses HTA-Szenario, das mit Hilfe von Windows Script geschrieben wurde, ruft den Befehlsinterpretator PowerShell hervor, wo ein anderes Skript bearbeitet wird. Dieses Skript lädt im Endeffekt eine ausführbare Datei auf den anzugreifenden PC herunter. Mehr zur Sicherheitslücke in Word finden Sie hier.

Malware für Linux

Die Sicherheitsspezialisten von Doctor Web haben im vergangenen Monat 1 317 388 Angriffe auf verschiedene Linux-Geräte entdeckt. Darunter wurden 147 401 Angriffe via SSH und 1 169 987 Angriffe via Telnet durchgeführt. Das Verhältnis von Malware, die von Cyber-Kriminellen auf angegriffene Geräte heruntergeladen wurde, können Sie dem nachfolgenden Diagramm entnehmen:

• Linux.Mirai
  Linux-Trojaner, mit dem DDoS-Angriffe durchgeführt werden können. Der Schädling ist in der Lage den watchdog-Prozess zu deaktivieren, um den Neustart des Betriebssystems zu verhindern.
• Linux.DownLoader
  Böswillige Apps für Linux, die auf infizierte Geräten andere Malware herunterladen und starten.
• Linux.BackDoor.Remaiten
  Familie von böswilligen Apps für Linux, die DDoS-Angriffe durchführen. Diese Trojaner können in Rechner durch die Passwortermittlung via Telnet einbrechen. Beim Erfolg wird auf das Gerät ein Downloader heruntergeladen, der weitere böswillige Apps herunterlädt.
• Linux.Mrblack
  Trojaner, der DDoS-Angriffe durchführt. Der Schädling ist auch in der Lage, Befehle von Cyber-Kriminellen auszuführen.
• Linux.DDoS
  Familie von böswilligen Apps für Linux-Geräte, die für DDoS-Angriffe verwendet werden.
• Linux.PNScan
  Würmer-Familie, die Router unter Linux infiziert. Der Wurm ist in der Lage, ein Gerät zu infizieren, Ports 9000 und 1337 zu öffnen und eine Verbindung zu einem Verwaltungsserver herzustellen.

Im April haben die Virenanalysten von Doctor Web eine aktuelle Version von Linux.UbntFM unter die Lupe genommen. Der Schädling wird unter dem Namen Linux.UbntFM.2 geführt und ist für Linux-Geräte, u.a. Air OS, geeignet. Er ist als bash-Skript realisiert und verbreitet sich im tgz-Archiv.

Linux.UbntFM.2 erstellt auf dem infizierten Gerät neue Einträge und kann beliebige Dateien herunterladen und starten, Geräte über Sicherheitslücken in der Benutzeroberfläche von Air OS angreifen. Wenn es dem Trojaner nicht gelingt, kann er passende Benutzerdaten wie "root", "admin", "ubnt" und Passwörter in der Datei "passlst" für eine SSH-Verbindung ermitteln. Mehr zum Schädling finden Sie hier.

Außerdem wurde im April eine neue Version der Trojanerfamilie Fgt entdeckt. Im Unterschied zu Vorgängerversionen hat Linux.BackDoor.Fgt.645. eine beschränkte Anzahl von Funktionen (u.a. ein Passwortermittlungsmodul für Remote-Rechner und ein Dropper), kann aber das Herunterladen und Starten des sh-Szenatrios auslösen und starten.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im April haben die Sicherheitsanalysten von Doctor Web einen neuen Trojaner erfasst, den Cyber-Kriminelle für gezielte Angriffe verwendet haben. Der Schädling Android.Chrysaor.1.origin klaut sensible Daten von Android-Anwendern. Darüber hinaus wurden auf Google Play mehrere Bankentrojaner entdeckt. Einer davon heißt Android.BankBot.179.origin und gibt sich als Online-Video-Player aus. Der andere digitale Bösewicht wird unter dem Namen Android.BankBot.180.origin geführt. Der Schädling funktioniert als Taschenlampe-App.

Bemerkenswerte Ereignisse aus der mobilen Sicherheitsszene:

• Android-Trojaner für Cyber-Spionage entdeckt;
• Bankentrojaner, die vertrauliche Daten und das Geld von Android-Anwendern klauen, dringen in Google Play ein.

Mehr zu Bedrohungen auf mobilen Endgeräten finden Sie hier.

Learn more with Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 28. April 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Malwarebericht für den Monat April 2017. Im Laufe des Monats haben Virenanalysten von Doctor Web die massenhafte Verbreitung eines gefährlichen Trojaners registriert und ein Exploit entdeckt, das Cyber-Kriminelle für eine neue Sicherheitslücke in Microsoft Word verwenden. Darüber hinaus haben unsere Virenanalysten andere böswillige Exemplare für Windows und Android analysiert.

Frankfurt, 20. April 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Enterprise Agent for Windows setup (11.0.3.04181) im Produkt Dr.Web Desktop Security Suite mit einer Verwaltungszentrale (Produktgruppe Dr.Web Enterprise Security Suite 10.0) und Dr.Web AV-Desk Agent for Windows setup (11.0.3.04180) im Managed Security Service Dr.Web AV-Desk 10.0.

Alle aktualisierten Komponenten sind nun mit dem Windows 10 Creators Update kompatibel.

Das Update erfolgt automatisch.

Frankfurt, 3. April 2017

Im Frühling 2017 haben sich Cyber-Kriminelle aktiv gezeigt – vor allem beim digitalen Betrug und bei der Verbreitung von Malware. Im März wurde ein neuer Linux-Trojaner entdeckt, der DDoS-Angriffe durchführt. Auf Google Play haben die Virenanalysten von Doctor Web zudem einen Schädling entdeckt, der auf dem Bildschirm des Android-Geräts Werbung anzeigt. Insgesamt wurde die App über 50 Mio. Mal heruntergeladen. Darüber hinaus konnten die Sicherheitsspezialisten von Doctor Web Webseiten entdecken, welche in die Liste von nicht empfohlenen Webseiten aufgenommen wurden.

Bedrohung des Monats

Malware für Linux lädt in der Regel andere Trojaner auf das Zielgerät herunter, organisiert Proxy-Server und führt DDoS-Angriffe durch. Der Schädling Linux.DDoS.117 ist für einen solchen Angriff genau zugeschnitten.

Der Bösewicht hat u.a. entsprechende Versionen für Architekturen wie Intel x86, M68K, MIPS, MIPSEL, SPARC, SH4, Power PC und ARM. Nachdem Linux.DDoS.117 gestartet wurde, wartet er eine Internetverbindung ab und sendet dann Daten über das Gerät an Cyber-Kriminelle. Der Trojaner ist in der Lage, Befehle zu empfangen und diese mittels des sh-Interpretators auszuführen. Mit einem Befehl teilen Cyber-Kriminelle dem Trojaner mit, welche Rechner wie lange angegriffen werden sollen. Mehr zu Linux.DDoS.117 finden Sie hier.

Statistiken von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.SMSSend.7306
  Trojaner mit einem Installationsassistenten, der Kurznachrichten an kostenpflichtige Nummern versenden kann. Mit dieser Funktion erpresst er Geld von Benutzern, die für die Installation einer App eine Kurznachricht versenden sollen.
• Trojan.LoadMoney
  Downloadtrojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Win32.Virut.5
  Komplexer polymorpher Virus, der ausführbare Dateien infiziert und Rechner per Remote-Zugriff verwalten kann.

Serverstatistiken von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Click2.9790
  Trojaner, welche die Besucherzahl für Webseiten künstlich steigern. Solche Trojaner leiten Besucheranfragen an vordefinierten Webseiten weiter.
• Win32.HLLW.Shadow
  Wurm, der sich über Wechseldatenträger und mittels eines SMB-Protokolls verbreitet und in der Lage ist, ausführbare Dateien herunterzuladen und zu starten.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistiken von Dr.Web für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• Android.SmsSend.15044
  Schädling, der kostenpflichtige Services abonniert, indem er Kurznachrichten an vordefinierte Nummern versendet.
• Joke.Locker.1.origin
  Scherzprogramm für Android, welches den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.
• Android.Spy.178.origin
  Trojaner für Windows, der vertrauliche Daten der Benutzer klauen kann.

Verschlüsselungstrojaner (Encoder)

Meist verbreitete Encoder im März 2017

• Trojan.Encoder.858 — 26.71% Anfragen;
• Trojan.Encoder.3953 — 5.89% Anfragen;
• Trojan.Encoder.10144 — 2.83% Anfragen;
• Trojan.Encoder.761 — 2.60% Anfragen;
• Trojan.Encoder.567 — 2.09% Anfragen.

Anfang März postete ein Benutzer auf bleepingcomputer.com einen Link mit einer Liste an Schlüsseln, die durch den Verschlüsselungstrojaner Dharma verwendet werden. Der Schädling wurde von Doctor Web als Trojan.Encoder.3953 klassifiziert. Dies ist schon der zweite Fall des Schlüsseldiebstahls. Die durch den Schädling verschlüsselten Dateien erhalten Erweiterungen wie .xtbl, .CrySiS, .crypted, .crypt oder .lock und eine Email-Adresse des Verbrechers. Dadurch konnten die Sicherheitsspezialisten von Doctor Web eine Entschlüsselungsmethode für Dateien entwickeln, die durch Trojan.Encoder.3953 verschlüsselt wurden.

Die Virenanalysten von Doctor Web haben außerdem einen Algorithmus zur Entschlüsselung von Daten entwickelt, die durch Trojan.Encoder.10465 verschlüsselt wurden. Der Schädling ist in Delphi geschrieben und verseht verschlüsselte Dateien mit der Erweiterung .crptxxx. Mehr zum Schädling und Maßnahmen, die Sie gegen Encoder treffen können, finden Sie hier.

Dr.Web Security Space 11.0 für Windows
schützt vor Encodern!

Diese Funktion ist in der Lizenz Dr.Web Antivirus für Windows nicht vorhanden

Schutz vor Datenverlust

Mehr

Im Februar 2017 wurden 223.173 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Die Sicherheitsanalysten von Doctor Web haben im März über 500 böswillige Webseiten entdeckt, die auf Besitzer von Webseiten und Administratoren abzielten. Viele haben ein vermeintliches SEO-Angebot vom Suchmaschinenanbieter Yandex erhalten. Die Email enthielt einen Link, mit welchem man den SEO-Service bezahlen sollte.

Dieses Angebot erwies sich als Betrug: Nach der Zahlung erhielt das Opfer nichts davon, was ihm versprochen wurde. Cyber-Kriminelle haben über 500 derartiger Webseiten erstellt und platzierten diese auf mehreren gemieteten Marktplätzen im Internet. Weitere Infos dazu finden Sie hier.

Nicht empfohlene Webseiten

Malware & Co. für mobile Endgeräte

Die Sicherheitsanalysten von Doctor Web haben auf Google Play ein Werbe-Modul entdeckt, das als Adware.Cootek.1.origin bezeichnet wurde. Es war in die Bildschirmtastatur TouchPal-App integriert. Nach der Installation der App zeigte Adware.Cootek.1.origin unerlaubt Werbung, erstellte Widgets, die man nicht deinstallieren konnte, und bettete Banner in den Sperrbildschirm ein. Nach der Entsperrung des Endgeräts zeigte der Schädling auch Werbung.

Bemerkenswerte Ereignisse im März 2017:

• Entdeckung von Apps auf Google Play, die aggressive Werbung anzeigten.

Mehr zur Sicherheitslage in der mobilen Sicherheitsszene finden Sie hier.

Learn more with Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 3. April 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert seinen Malwarebericht für den Monat März 2017. Hauptereignisse: Cyber-Kriminelle zeigen sich aktiv, die Virenanalysten entdecken einen neuen Linux-Trojaner, der DDoS-Angriffe durchführt.