Frankfurt, 19. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web teilt die Einrichtung des Managed Security Services Dr.Web AV-Desk durch den indonesischen IT-Anbieter ESPINAT DATA GLOBAL mit. Nun können Geschäftskunden des IT-Anbieters Dr.Web Antivirus als Service nutzen.

Den Virenschutz im SaaS-Modell werden nun über 50 Geschäftskunden von ESPINAT DATA GLOBAL nutzen können.

Das Team von ESPINAT DATA GLOBAL konnte sich beim Test des Services vergewissern, wie einfach die Einrichtung und Administration des Services und wie stabil seine Funktionsweise ist. Dabei ist der Support sowohl für Nutzer als für den Systemadministrator verfügbar.

«Die Einrichtung von Dr.Web AV-Desk wurde dank der Begleitung des Teams von Doctor Web schnell und unkompliziert durchgeführt. Der Service bietet eine gute Übersicht und komplette Kontrolle der unternehmenseigenen IT-Sicherheit», sagt CEO von ESPINAT DATA GLOBAL Rizal Muhammad.

Über ESPINAT DATA GLOBAL

ESPINAT DATA GLOBAL ist ein indonesischer Anbieter von IT-Dienstleistungen.

Über Dr.Web AV-Desk

Der Managed Security Service Dr.Web AV-Desk wurde von Doctor Web 2007 entwickelt. Bis heute wurde Dr.Web AV-Desk von über 350 IT-Anbieter in Frankreich, den Niederlanden, Spanien, der Ukraine, Estland, Litauen, Kasachstan und anderen Ländern eingerichtet.

www.av-desk.com

Frankfurt, 18. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web für Telegram. Dank diesem Update werden neue Funktionen eingeführt und früher entdeckte Fehler behoben.

Dank dem Update können ab sofort Dateien mit einem Grössenlimit von bis zu 20 MB geprüft werden. Für neue Chats wurde die Default-Benachrichtigung auf «Nur über Bedrohungen benachrichtigen» angepasst.

Fehler in kyrillischen und in arabischen Symbolen sowie in Dateinamen wurden beseitigt. Außerdem wurden Mängel beim Herunterladen von Dateien vom Telegram-Server behoben.

Um den Bot zu nutzen, finden Sie auf Telegram das Konto @DrWebBot (oder gehen Sie auf telegram.me/drwebbot) und senden Sie dem Bot eine Datei oder einen Link zu — der Bot wird diese «on the fly» prüfen und Ihnen das Ergebnis mitteilen.

Frankfurt, 18. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Updater (11.0.26.07040), den Agenten SpIDer Agent for Windows (11.0.16.07121), Dr.Web Security Space, Anti-virus for Windows setup (11.0.16.07070) sowie Konfigurationsskripts Lua-script for dwprot (11.0.6.07070) und Lua-script for av-service (11.0.6.07070) in einigen Dr.Web Produkten. Das Update behebt früher entdeckte Fehler und verbessert die Funktionsweise des Moduls.

Im Update-Modul wurden Verbesserungen durchgeführt, die die Interaktion mit Dr.Web Update-Servern effektiver machen sollen.

Ursachen für das Abbrechen des Agenten beim Start unter Windows Server 2008 SP2 wurden behoben. In Dr.Web Enterprise Security Suite 10.0 und 10.1 wurden auch Ursachen für das Abbrechen des Agenten beim Wechseln aus einem Benutzer- in den Administratormodus beseitigt.

In Lua-script for av-service wurde ein Problem verbessert, wegen dem ein Produkt für Workstations im System mit einem ES-Agenten nicht aktualisiert werden konnte.

Das Update erfolgt automatisch.

Frankfurt, 11. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert SpIDer Agent für Windows (11.0.15.07070) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus 11.0, Dr.Web Antivirus 11.0 für Dateiserver Windows, Dr.Web Enterprise Security Suite 10.0 und 10.1 sowie Dr.Web AV-Desk 10.0. Das Update behebt früher entdeckte Fehler.

Der Fehler, der zum Zurücksetzen von Regeln für Apps bei der Konfiguration der Firewall führen konnte, wurde beseitigt.

Das Update erfolgt automatisch.

Frankfurt, 4. Juli 2017

Die Virenanalysten von Doctor Web haben das Update-Modul von M.E.Doc unter die Lupe genommen und herausgefunden, dass es auch mit der Verbreitung einer weiteren böswilligen App zusammenhängt. Laut unabhängigen Untersuchungen war das Update-Modul von M.E.Doc die Verbreitungsquelle von Trojan.Encoder.12544, der auch unter den Namen NePetya, Petya.A, ExPetya und WannaCry-2 bekannt ist.

In den Mitteilungen hieß es, dass die Verbreitung von Trojan.Encoder.12544 über die App M.E.Doc erfolgte, die von Intellect Service entwickelt wurde. In einem der Module des Update-Systems von M.E.Doc mit dem Namen ZvitPublishedObjects.Server.MeCom haben die Virenanalysten von Doctor Web eine Signatur entdeckt, die einem Registry-Schlüssel von Windows entspricht: HKCU\SOFTWARE\WC.

Die Virenanalysten sind auf diesen Pfad aufmerksam geworden, weil Trojan.Encoder.12703 auf ihn in seinen Aktionen zugreift. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte dieselben Hash wie das von Doctor Web analysierte Muster. So konnten wir zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden:

So wurde auch auf Rechnern der Opfer der Encoder, der als NePetya, Petya.A, ExPetya und WannaCry-2 (Trojan.Encoder.12544) bekannt ist, gestartet.

In einem Interview auf der Reuters-Webseite haben die Entwickler von M.E.Doc behauptet, dass die von ihnen entwickelte App keinen böswilligen Code enthalte. Die Virenanalysten von Doctor Web kamen aufgrund von Daten aus der statistischen Codeanalyse zum Schluss, dass unbekannte Täter die App M.E.Doc infiziert haben. Diese Komponente wurde in die Dr.Web Virendefinitionsdatei als BackDoor.Medoc aufgenommen.

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von mobilen Bedrohungen für Juni 2017. Im Juni wurden mehrere Schädlinge für Android und eine Riskware entdeckt. Außerdem verbreiteten Cyber-Kriminelle einen Encoder, der Nutzerdaten auf der SD-Karte verschlüsselte.

Frankfurt, 3. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert einen Malwarebericht für den Monat Juni 2017. Der erste Sommermonat brachte eine massenhafte Verbreitung des gefährlichen Schädlings, der als Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist. Im Juni wurden auch mehrere Schädlinge für Windows und Linux entdeckt.

Frankfurt, 3. Juli 2017

Trojan.Encoder.12544 sorgte im Juni für Schlagzeilen. Der Schädling ist in den Medien als Petya, Petya.A, ExPetya und WannaCry-2 bekannt. Der Encoder infizierte viele Unternehmen, Organisationen und Privatpersonen weltweit. Anfang Juni haben Cyber-Kriminelle zwei Schädlinge für Linux verbreitet: Der eine installiert auf infizierten PCs eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Mitte Juni wurde ein Miner entdeckt, der Windows-Nutzer infizierte. Außerdem wurden im Juni mehrere böswillige Apps für Android aufgespürt.

Hauptereignisse im Juni 2017

Bedrohung des Monats

Die Sicherheitsspezialisten von Doctor haben den Schädling, der in den Medien auch als Petya, Petya.A und WannaCry-2 bekannt ist, als Trojan.Encoder.12544 klassifiziert. Trojan.Encoder.12544 erhält eine Liste von lokalen und Domainnutzern, die auf dem infizierten PC autorisiert sind. Anschließend sucht er nach schreibbaren Netzwerk-Verzeichnissen, versucht diese zu öffnen und seine Kopie dort zu speichern. Einige Experten behaupteten, dass man eine perfc-Datei im Windows-Verzeichnis erstellen musste, um der Infizierung vorzubeugen. So kann man sich aber nicht gegen den Encoder schützen. Der Wurm prüft seinen wiederholten Neustart durch eine Datei ohne Erweiterung, die dem Namen des Schädlings entspricht. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung NICHT retten.

Vernichtet wird auch der VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht.

Währenddessen verschlüsselt Trojan.Encoder.12544 die MFT (Master File Table). Nach der Verschlüsselung wird von Trojan.Encoder.12544 eine Forderung nach Lösegeld angezeigt.

Die Virenanalysten von Doctor Web glauben, dass Trojan.Encoder.12544 zunächst zur Vernichtung von infizierten Rechnern und nicht als Lösegeldmaschine gedacht war. Dafür spricht vor allem die Tatsache, dass nur ein E-Mail-Konto verwendet wurde. Zweitens ist der Schlüssel, der auf dem Bildschirm angezeigt wird, eine zufällige Folge von Symbolen und hat nichts mit einem tatsächlichen Schlüssel zu tun. Drittens ist der von Cyber-Kriminellen übermittelte Schlüssel nicht der Schlüssel zur Kodierung der Dateitabelle. Im Endeffekt sind die Virenschreiber nicht in der Lage, Opfern einen geeigneten Schlüssel zur Verfügung zu stellen. Mehr zu Funktionsweise von Trojan.Encoder.12544 finden Sie in diesem Artikel. Technische Details gibt es hier.

Die Virenanalysten melden, dass die Infektionsquelle das Update-System der App MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, bei dem der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande zum Zweck der Wirtschaftsspionage eingesetzt wurde. Mehr zum Vorfall finden Sie in diesem Artikel. Technische Details gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.16
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.69
  Trojaner, die andere Malware auf infizierten PCs installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den böswilligen Code in den HTML-Code von Webseiten einbettet.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.37
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Win32.HLLP.Neshta
  Dateivirus, der Virenanalysten seit 2005 bekannt ist, und Dateien wie EXE PE mit mind. 41472 Byte Größe infiziert. Bei der Infizierung schreibt sich der Schädling in den Beginn der infizierten Datei mit der Zeile: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Android.Androrat.1.origin
  Spyware für Android.

Support-Anfragen wegen Encoder im Juni:

• Trojan.Encoder.858 — 28.51% Anfragen;
• Trojan.Encoder.10103 — 8.10% Anfragen;
• Trojan.Encoder.567 — 5.54% Anfragen;
• Trojan.Encoder.11432 — 4.10% Anfragen;
• Trojan.Encoder.10144 — 2.36% Anfragen;

Im Juni 2017 wurden 229 381 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für Linux

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei als Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Mehr Statistiken finden Sie hier.

Andere Ereignisse

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein.

Trojan.BtcMine.1259 wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der letzte verbreitet sich über die Backdoor DoublePulsar.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert und kann bis zu 80% der CPU-Ressourcen von PCs in Anspruch nehmen. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Mehr dazu finden Sie in diesem Artikel.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen. Darüber hinaus haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Hauptereignisse im Juni 2017:

• Android-Trojaner für Cyber-Spionage entdeckt;
• Bedrohungen auf Google Play entdeckt;
• Verbreitung eines Encoders für Android.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 3. Juli 2017

Im Juni haben die Virenanalysten von Doctor Web einen Android-Schädling entdeckt, der Cyber-Spionage gegen mobile Nutzer im Iran betrieb und Befehle von Cyber-Kriminellen ausführen konnte. Gleichzeitig wurden auf Google Play mehrere Bedrohungen entdeckt. Einer der Schädlinge wollte einen root-Zugang bekommen, bettete sich in Systembibliotheken ein und konnte Apps ohne Kenntnis der Nutzer installieren. Andere Schädlinge versendeten kostenpflichtige Kurznachrichten und abonnierten kostspielige Premium-Services. Auf Google Play wurde Riskware verbreitet, die eine Datenabwanderung als Folge haben konnte. Darüber hinaus wurde ein weiterer Android-Encoder aufgespürt.

Mobile Bedrohung des Monats

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen.

Android.Spy.377.origin:

• verbreitet sich als harmlose App;
• klaut Kurznachrichten, Kontakte aus dem Telefonbuch und dem Google-Konto;
• kann Fotos mit einer Frontalkamera machen;
• wird von Cyber-Kriminellen via Telegram verwaltet.

Mehr zum Trojaner finden Sie hier.

Statistik von Dr.Web Produkten für Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojaner, die lästige Werbung anzeigen und sich unter dem Deckmantel von anderen Apps verbreiten. Sie sind in der Lage, Apps ohne Kenntnis der Nutzer im Systemverzeichnis zu installieren.

Android.DownLoader.337.origin

Trojaner, der andere Apps herunterladen kann.

Android.Triada.264.origin

<

Multifunktionaler Trojaner, die verschiedene böswillige Aktionen durchführen.

Statistik von Dr.Web Produkten für Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Unerwünschte App-Module, die in Android-Apps eingebaut werden und lästige Werbung anzeigen.

Bedrohungen auf Google Play

Im vergangenen Monat haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt. Mehr dazu finden Sie auf der Webseite von Doctor Web.

Im Juni wurden auf Google Play Trojaner der Familie Android.Dvmap entdeckt. Beim Starten versuchen diese Schädlinge einen root-Zugang zu bekommen, infizieren einige Systembibliotheken und installieren zusätzliche Software-Komponenten. Diese Trojaner können auch Befehle von Cyber-Kriminellen erhalten und Apps ohne Kenntnis der Nutzer herunterladen und starten.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Encoder

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Cyber-Kriminelle verlangten von Opfern ein Lösegeld in Höhe von CNY 20,-. Jeden dritten Tag wuchs der Betrag aufs Doppelte. Wenn die Verbrecher nach einer Woche nicht an das Geld kommen konnten, löschte Android.Encoder.3.origin verschlüsselte Dateien.

Böswillige und potenziell gefährliche Apps für Android gelangen auf mobile Endgeräte nicht nur beim Herunterladen von verschiedenen Webseiten, sondern auch vom Google Play. Android-Nutzer müssen höchste Vorsicht walten lassen, wenn sie unbekannte Apps installieren, und Dr.Web Produkte für Android nutzen.

Frankfurt, 30. Juni 2017

Am 27. Juni twitterte Amit Serper, dass man eine Methode gefunden habe, die der Datenverschlüsselung durch den Encoder Petya zu 100% vorbeugen soll. Anleitungen wie man das macht, haben auch mehrere Medien veröffentlicht. Doctor Web dementiert, dass all diese Methoden effektiv sind.

In veröffentlichten Artikeln heißt es, dass es eine Methode gibt, mit der man die Aktivierung von Trojan.Encoder.12544 unterbinden kann, indem man im Verzeichnis C:\Windows eine perfc-Datei erstellt. Einige weisen auch auf Dateien hin, die es für den Benutzer machen können, z.B.: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Ähnliche Anleitungen sind unter folgenden Adressen zu finden:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Doctor Web erklärt, dass diese Methode gegen Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya. A, ExPetya und WannaCry-2 bekannt ist, aus folgenden Gründen nicht effektiv ist:

1. Die Datei, mit der Trojan.Encoder.12544 die Kontrolle über den Neustart verfügt, hängt vom Dateinamen des Trojaners ab. Wenn Cyber-Kriminelle die böswillige Datei umbenennen, schützt eine perfc-Datei im C:\Windows файла nicht gegen die Infizierung.
2. Der Trojaner prüft, ob eine perfc-Datei vorhanden ist, nur dann, wenn er über ausreichende Privilegien im System verfügt.

Die Virenanalysten von Doctor Web haben eine vorläufige Analyse von Trojan.Encoder.12544 veröffentlicht, mit der Sie sich auf unserer Webseite bekannt machen können.

29 июня 2017 года

Aus verschiedenen Quellen hieß es, dass Trojan.Encoder.12544, der auch unter den Namen Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist, in Betriebssysteme über das Update-Modul von MEDoc eindringen konnte. Diese App dient zur Unternehmenssteuererfassung. Virenanalysten von Doctor Web sind mit einer solchen Verbreitungsmethode für Malware bereits in Berührung gekommen und wissen, wie sich solche Vorfälle vermeiden lassen.

Die Virenanalysten, die Trojan.Encoder.12544 untersucht haben, melden, dass die Infektionsquelle für den Encoder das Update-System von MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Man konnte herausfinden, dass das in MEDoc mitgelieferte Update-Tool EzVit.exe zu einem bestimmten Zeitpunkt den cmd-Befehl ausführte, währenddessen in den Speicher eine böswillige Bibliothek hochgeladen wurde. In dieser Bibliothek ist die Hauptfunktion von Trojan.Encoder.12544 realisiert. Da der Schädling sich selbst über eine Lücke im SMB-Protokoll verbreiten und Logindaten von Windows-Nutzern klauen kann, reicht ein einziger infizierter Rechner für die weitere Infizierung.

Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, wo der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande für die Wirtschaftsspionage eingesetzt wurde.

Die Sicherheitsspezialisten von Doctor Web haben eine Untersuchung durchgeführt, die 4 Jahre dauerte. Man hat Festplatten einer geschädigten Firma analysiert und festgestellt, wann der Treiber, der alle anderen Komponenten von BackDoor.Dande startete, erstellt worden war. Die Daten zum Treiber konnte man in einer Paging File von Windows und im Protokoll der auf dem infizierten Rechner installierten Virenschutzsoftware Avast finden. Die Analyse dieser Dateien zeigte, dass der böswillige Treiber sofort nach dem Start der App ePrica (D:\ePrica\App\PriceCompareLoader.dll) erstellt wurde. Diese App ermöglicht es Managern, Preise für medizinische Präparate von verschiedenen Lieferanten zu analysieren. Die Untersuchung von ePrica zeigte, dass die App eine Bibliothek in den Speicher lädt, die den Schädling BackDoor.Dande herunterlädt, entschlüsselt und anschließend startet. Der Trojaner wurde von der Webseite http://ws.eprica.ru heruntergeladen, die der Firma Spargo Technologii gehört. Das Modul, das den Schädling verdeckt herunterladen konnte, verfügte dabei über eine gültige Signatur von Spargo. Alle geklauten Daten wurden auf Server im Ausland hochgeladen. In anderen Worten versteckte sich auch Trojan.Encoder.12544 wie die oben erwähnte Backdoor im Update-Modul.

Die beiden Fälle haben gezeigt, dass die Infrastruktur der Softwareentwicklung erhöhte Sicherheitsanforderungen haben muss. Vor allem auf Sicherheitsupdates muss man Rücksicht nehmen. Das gilt sowohl für Entwickler als auch Nutzer. Update-Module, die im Betriebssystem über Rechte für Installation und Starten von Apps verfügen, können zu einer Infektionsquelle werden. Im Fall MEDoc ist die Infizierung auf den Einbruch von Cyber-Kriminellen und den gehackten Server zurückzuführen. Im Fall BackDoor.Dande gibt es Hinweise auf absichtliche Aktionen von Insidern. Mit der solchen Methode können Cyber-Kriminelle einen effektiven Angriff gegen Nutzer beliebiger Software durchführen.

Frankfurt, 28. Juni 2017

Trojan.Encoder.12544 verbreitet sich über die Lücke im Protokoll SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) und das Exploit NSA "ETERNAL_BLUE". Dabei werden zur Verbreitung Ports 139 und 445 verwendet. Bei der Lücke geht es um den Typ Remote Code Execution, was die Infizierung des Rechners per Fernzugriff bedeutet.

1. Um das Login im Betriebssystem wiederherzustellen, müssen Sie MBR wiederherstellen (u.a. mit Hilfe von Recovery Console von Windows oder des Tools bootrec.exe /FixMbr).

   Dafür können Sie auch Dr.Web LiveDisk verwenden. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Booten von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen.

2. Trennen Sie Ihren PC vom lokalen Netzwerk und installieren Sie den Patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Auf Rechnern unter Windows XP und Windows 2003 müssen Sicherheits-Patches manuell installiert werden. Diese finden Sie unter den folgenden Links:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Installieren Sie Dr.Web Antivirus, stellen Sie eine Internetverbindung her, aktualisieren Sie die Virendatenbanken und starten Sie einen Scan.

Testversion für Heimanwender Testversion für Geschäftsanwender

Der Trojaner ersetzt den Master Boot Record (MBR), erstellt und führt den Neustart-Task im Task-Planer aus. Danach ist der Neustart des Betriebssystems wegen des ersetzten Boot-Sektors der Festplatte nicht möglich. Anschließend wird die Verschlüsselung von Daten gestartet. Für jede Festplatte wird ein separater AES-Schlüssel erstellt. Dieser existiert im Speicher, bis die Verschlüsselung der Festplatte abgeschlossen wird. Für ihn wird ein Open-Source-Schlüssel RSA verwendet. Nachdem der MBR erfolgreich ersetzt und der Neustart des PCs durchgeführt wurde, wird die (Master File Table) MFT verschlüsselt, wo Daten zu Inhalten der Festplatte gespeichert sind. Um die Inhalte wiederherzustellen, braucht man einen Schlüssel, d.h. die verschlüsselten Daten können ohne Schlüssel nicht dekodiert werden.

Zum jetzigen Zeitpunkt ist die Dekodierung noch nicht möglich. Es wird nach Lösungen gesucht. Wir halten Sie auf dem Laufenden.

Frankfurt, 28. Juni 2017

Die Sicherheitsspezialisten von Doctor haben Trojan.Encoder.12544, der in den Medien auch als Petya, Petya.A и WannaCry-2 bekannt ist, unter die Lupe genommen. Nach der durchgeführten Analyse des Encoders möchten wir mit Nutzern technische Details des Angriffs teilen sowie ein paar Tipps geben, wie sich die Infizierung vermeiden lässt und was man tun kann, wenn die Infizierung bereits passiert ist.

Trojan.Encoder.12544, der in der letzten Zeit in den Medien für Schlagzeilen sorgte, stellt eine ernsthafte Gefahr für PCs unter Microsoft Windows dar. Aus einigen Quellen heißt es, dass es um eine neue Variante von Petya (Trojan.Ransom.369) geht. Trojan.Encoder.1254 weist aber nur einige wenige Ähnlichkeiten mit Petya auf. Der Schädling konnte in IT-Systeme von Behörden, Banken und NGOs in der Ukraine eindringen und mehrere Unternehmen in Russland infizieren.

Zum jetzigen Zeitpunkt ist es bekannt, dass der Trojaner Lücken ausnutzt, die früher zur Verbreitung von WannaCry verwendet wurden. Die massenhafte Verbreitung von Trojan.Encoder.12544 begann am Vormittag, dem 27. Juni. Beim Start auf dem infizierten PC sucht der Schädling im lokalen Netzwerk nach Rechnern und scannt anhand der Liste von IP-Adressen Ports 445 und 139. Nachdem Rechner mit diesen Ports gefunden wurden, versucht Trojan.Encoder.12544 diese über die bekannte SMB-Lücke (MS17-10) zu öffnen.

In seinem Körper enthält der Trojaner 32- und 64-Bit-Versionen von Mimikatz, der Passwörter von offenen Sitzungen unter Windows abfängt. Je nach Version des Betriebssystems entpackt er die entsprechende Version des Tools in einem temporären Verzeichnis und startet sie. Mit Hilfe von Mimikatz und zwei anderen Methoden erhält Trojan.Encoder.12544 eine Liste von lokalen Nutzern sowie Domainnutzern, die auf dem infizierten PC eingeloggt sind. Anschließend sucht er nach Ordnern im Netzwerk, versucht diese zu öffnen und dort seine Kopie zu speichern. Um PCs zu infizieren, zu denen er den Zugang erhalten hat, nutzt Trojan.Encoder.12544 das Tool zur PC-Remote-Verwaltung PsExec (im Körper des Trojaners enthalten) oder ein Standard-Console-Tool zum Aufrufen von Dateien Wmic.exe.

Seinen erneuten Start kontrolliert der Schädling mit Hilfe der Datei, die im Verzeichnis C:\Windows\ gespeichert wird. Diese Datei hat einen Namen, der dem Namen des Trojaners ohne Erweiterung entspricht. Da der Wurm, der aktuell verbreitet wird, den Namen perfc.dat besitzt, wird die Datei, die seinen wiederholten Start verbietet, C:\Windows\perfc heißen. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung nicht retten.

Nach dem Start definiert der Trojaner Privilegien für sich, lädt seine Kopie in den Speicher und überträgt ihr die Steuerung. Anschließend speichert er seine eigene Datei neu, fügt dort Datenmüll ein und löscht die Datei. Trojan.Encoder.12544 verschlüsselt und kopiert eine Boot-Signatur in einen anderen Bereich der Festplatte und speichert seine eigene Signatur. Vernichtet wird auch VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht. Währenddessen verschlüsselt Trojan.Encoder.12544 Daten auf Festplatten.

Der Trojaner verschlüsselt Daten nur auf Festplatten des PCs. Jede Festplatte wird separat verschlüsselt. Die Verschlüsselung erfolgt mit Hilfe von Algorithmen AES-128-CBC. Für jede Festplatte wird ein jeweiliger Schlüssel erstellt. Dieser Schlüssel wird mit Hilfe des Algorithmus RSA-2048 verschlüsselt und im Kernverzeichnis der Systemdatei mit dem Namen README.TXT gespeichert. Verschlüsselte Dateien erhalten keine zusätzliche Erweiterung. Außerdem kann der Trojaner Systemverzeichnisse löschen. Nach der Verschlüsselung verlangt Trojan.Encoder.12544 ein Lösegeld für die Dekodierung von Daten.

Obwohl das Support-Team von Doctor Web noch keine Anfragen wegen Trojan.Encoder.12544 erhalten hat, stellt er eine ernsthafte Gefahr dar. Eines der Merkmale der Infizierung ist die Datei perfc auf dem Datenträger C:\Windows. Wenn Sie eine solche Datei entdeckt haben, sehen Sie vom Neustart Ihres PCs ab!

Wenn der PC trotzdem neu gestartet wurde und beim Neustart eine Nachricht über den Start des Tools CHDISK erschienen ist, schalten Sie Ihren PC sofort aus. Eine Boot-Signatur wird in diesem Fall beschädigt, kann aber später mit Hilfe des Recovery-Tools von Windows oder der Recovery Console wiederhergestellt werden. Dafür können Sie auch Dr.Web LiveDisk benutzen. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Laden von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen. Um der Infizierung durch Trojan.Encoder.12544 vorzubeugen, empfehlen wir, Backups von kritischen Daten auf separaten Datenträgern zu erstellen und die Funktion «Schutz vor Datenverlust» in Dr.Web Antivirus zu aktivieren. Außerdem muss man alle Sicherheits-Updates des Betriebssystems installiert haben. Die Malware-Spezialisten von Doctor Web setzen die Analyse von Trojan.Encoder.12544 fort und halten Nutzer auf dem Laufenden.

Anleitung für Nutzer, die unter Trojan.Encoder.12544 gelitten haben

Mehr zum Trojaner

Frankfurt, 27. Juni 2017

Wegen Informationen über Angriffe eines Encoders gegen Öl-, Telekom- und Finanzunternehmen in Russland und der

Ukraine teilt Doctor Web mit, dass dieser Encoder von Dr.Web erfolgreich erkannt wird.

Anhand von Informationen, die unsere Spezialisten heute zur Verfügung haben, verbreitet sich der Trojaner ähnlich wie WannaCry. Es gibt aber noch keine genauen Daten, wie der Verbreitungsmechanismus aussieht. Einige Medien vergleichen den Schädling mit Petya (Trojaner, der von Dr.Web als Trojan.Ransom.369 erkannt wird), weil er wie ein Erpresser agiert. Die Verbreitungsmethode der neuen Bedrohung sieht aber anders als bei Petya aus.

Heute um 15:30 Uhr (CET) wurde der Trojaner in der Dr.Web Virendefinitionsdatei als Trojan.Encoder.12544 erfasst.

Das Team von Doctor Web ruft alle Nutzer auf, höchste Vorsicht walten zu lassen und verdächtige E-Mails nicht aufzumachen. Es ist außerdem empfehlenswert, Backups von sensiblen Daten zu machen und alle Sicherheits-Updates für installierte Apps zu installieren. Ein Virenschutz muss im System installiert sein.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Schutz-Modul gegen Exploits Dr.Web Shellguard (11.01.09.06190) und das Selbstschutz-Modul Dr.Web SelfPROtect (11.01.10.06210) in Dr.Web Produkten 11.0 für Windows, Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 10.0, 10.1 und Dr.Web AV-Desk 10.0. Das Selbstschutz-Modul wurde auch im Cure-Tool Dr.Web CureNet! aktualisiert. Das Update behebt früher entdeckte Fehler.

Ursachen für Detektionsfehler von Dr.Web Shellguard während der gleichzeitigen Nutzung von MS Word 2016 und Office Tab wurden behoben.

Ursachen für einen BSOD-Fehler im Selbstschutz-Modul auf Rechnern unter Windows 2008 R2 wurden auch beseitigt.

Das Update erfolgt automatisch. Anschließend ist der Neustart Ihres Rechners erforderlich.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web veröffentlicht Dr.Web Version 11.0 für Internet-Gateways Kerio unter Linux.

Die neue Version bietet Unterstützung für Kerio Control 9.2.1 und 9.2.2, während frühere Versionen des Internet-Gateways vom Dr.Web 9.0 unterstützt werden.

Bevor Sie Dr.Web 11.0 für Internet-Gateways Kerio installieren, müssen Sie eine alte Version des Plug-ins deinstallieren.

Mehr zu den Systemanforderungen und zur Installation des Plug-ins finden Sie hier.

20.06.2017

Man hat seit längerem versucht, uns zu überzeugen, dass Clouds sicher sind und Linux ein cooles Betriebssystem ist. Die Wahl brauchte ein Nutzer nur zwischen zwei mehr oder wenigen komfortablen Benutzeroberflächen zu treffen. Nun sieht es nicht ganz wolkenlos aus.

Aus Sicht der Sicherheitsspezialisten ist der Fall nicht ungewöhnlich. Es geht um Software, die nicht regelmäßig aktualisiert wurde, Fehler in den Einstellungen usw. Aber die Höhe des gezahlten Lösegeldes überrascht die Branche. Somit ist dieser Angriff der bisher erfolgreichste Angriff auf ein Linux-System.

Wer ist schuldig?

1. Der Serviceanbieter, der für seine Kunden keine Backup-Funktion bereitgestellt und selbst seine eigene Infrastruktur nicht gesichert hat.
2. Kunden, die ihre Daten nicht gesichert und auf die Zuverlässigkeit des Anbieters gesetzt haben.

Erfolgreiche Attacken gegen Hostinganbieter hat es auch in der Vergangenheit gegeben, aber Angriffe, die so aggressiv und aufsehenerregend waren, gab es bisher nicht.

Wir bei Doctor Web rechnen mit einem rapiden Wachstum von solchen Angriffen.

Jede solche Meldung spornt Nachahmer an. Es kann durchaus sein, dass eine neue Angriffswelle im Sand verläuft, aber sie kann auch zu einem Trend werden. Ein Beleg dafür sind bereits verübte Angriffe gegen Linux-Systeme. Voraussagen lässt es sich nicht.

Dr.Web empfiehlt:

1. Nutzer, die ihre Daten in der Cloud haben und keine Back-ups erstellen, sollten doch damit beginnen, ihre Daten zu sichern und diese entweder bei einem anderen Anbieter oder auf ihren Heimrechnern aufzubewahren.
2. Wenn Sie einen Server oder eine Webseite in der Cloud mieten, brauchen Sie immer noch einen Virenschutz. Sicherheit ist Ihre Sorge. Neben Back-ups brauchen Sie noch einen Virenschutz – sowohl in der Cloud als auch auf Ihrem PC.

Für die Sicherheit der Infrastruktur der Serviceanbieter sorgen Produkte von Dr. Web Server Security Suite, die Server gegen Malware schützen sowie Dr.Web Gateway Security Suite, die eingehende Daten auf böswillige Apps und Web-Inhalte auf Riskware prüfen.

Für die Sicherheit der Kunden von Serviceanbietern sorgen Produkte für Geschäftsanwender aus der Produktpalette Dr. Web Enterprise Security Suite. Bitte denken Sie daran, dass der Virenschutz sowohl auf der Seite des Serviceanbieters als auch in einem lokalen Netzwerk und auf Rechnern der Mitarbeiter vorhanden sein muss. Nur so kann ein Unternehmen gegen Man-in-the-Middle-Angriffe geschützt werden.

Frankfurt, 19. Juni 2017

Die Sicherheitsspezialisten von Doctor Web haben einen Android-Trojaner entdeckt, den Cyber-Kriminelle via Telegram steuern. Der Schädling klaut vertrauliche Daten der Nutzer und führt Befehle der Cyber-Kriminellen aus.

Der Trojaner, der als Android.Spy.377.origin erfasst wurde, stellt ein Remote Administration Tool dar. Es verbreitet sich als harmlose App, attackiert aber iranische Nutzer. Der Schädling kann unter dem Namen «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») und «Cleaner Pro» installiert werden.

Beim Start wird dem Nutzer vorgeschlagen, die Beliebtheit seines Profils bei Telegram-Nutzern zu prüfen. Der Trojaner fordert dabei seine ID an und zeigt vermeintliche „Profilbesucher“ an, nachdem das Opfer seine ID eingegeben hat. Diese Funktion soll beim Nutzer den Eindruck erwecken, dass die App keine Gefahr für ihn darstellt. Nach kurzer Zeit löscht Android.Spy.377.origin seine Menüverbindung aus der Liste von installierten Apps und versucht, seine Präsenz im System zu verschleiern.

Android.Spy.377.origin ist eine klassische Spyware, die Befehle von Cyber-Kriminellen ausführen kann. Der Hauptunterschied des Schädlings im Vergleich zu anderen Android-Trojanern ist die Verwaltung via Telegram. Das ist der erste Schädling für Android, der ausgerechnet via Telegram gesteuert wird.

Nach dem Löschen der Desktop-Verbindung kopiert Android.Spy.377.origin Kontakte aus dem Telefonbuch, ein- und ausgehende Kurznachrichten sowie Google-Konto-Informationen. Anschließend speichert er diese Daten in einer Textdatei in seinem Arbeitsverzeichnis. Außerdem macht der Trojaner ein Gesichtsfoto des Nutzers mit der Frontalkamera. Danach lädt der Spion das Foto mit geklauten Daten auf einen Remote-Server hoch und sendet an den Telegram-Bot der Cyber-Kriminellen ein Signal über eine erfolgreiche Infizierung des Geräts.

Nachfolgend sehen Sie Beispiele von Dateien, die Android.Spy.377.origin an Cyber-Kriminelle übermittelt.

Nachdem vertrauliche Daten geklaut wurden, baut Android.Spy.377.origin eine Verbindung zum Bot auf und wartet auf seine Befehle. Der Trojaner ist in der Lage, folgende Anweisungen zu erhalten:

• call – Anruf tätigen;
• sendmsg – SMS senden;
• getapps – Daten zu installieren Apps an einen Server übermitteln;
• getfiles – Informationen über alle vorhanden Dateien versenden;
• getloc – Standort des Geräts an einen Server versenden;
• upload – Vordefinierte Datei auf den Server hochladen;
• removeA – Vordefinierte Datei löschen;
• removeB – Gruppe von Dateien löschen;
• lstmsg – Datei mit allen ein- und ausgehenden Kurznachrichten an einen Server senden.

Der Telegram-Bot informiert auch Virenschreiber, sobald ein Befehl ausgeführt wurde.

Android.Spy.377.origin sammelt für Cyber-Kriminelle sensible Daten, verfolgt alle ein- und ausgehenden Kurznachrichten und ortet den Standort des Geräts. Wenn SMS empfangen oder versendet werden oder der Standort des Geräts sich ändert, benachrichtigt der Schädling den Telegram-Bot der Cyber-Kriminellen.

Die Virenanalysten von Doctor Web möchten Nutzer darauf aufmerksam machen, dass Virenschreiber den Trojaner als harmlose App verbreiten. Um sich gegen Android-Trojaner zu schützen, müssen Sie Apps nur von bekannten Entwicklern und aus verlässlichen Quellen wie Google Play herunterladen. Alle bekannten Versionen von Android.Spy.377.origin werden von Dr.Web Produkten für Android erfolgreich erkannt, deshalb stellt der Spion für unsere Anwender keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 15. Juni 2017

Mining-Trojaner sind Schädlinge, die CPU-Ressourcen von infizierten Geräten zur Gewinnung von Kryptowährung ausnutzen. Die Virenanalysten von Doctor Web haben einen solchen Trojaner, der Rechner unter Microsoft Windows infiziert, unter die Lupe genommen und liefern erste Ergebnisse der Analyse.

Dieser Schädling wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der Letzte verbreitet sich über die Backdoor DoublePulsar.

Trojan.BtcMine.1259 prüft nach seinem Start, ob auf dem infizierten PC seine Kopie läuft. Anschließend bestimmt er, wie viele Kerne der Prozessor besitzt. Wenn die Anzahl der Kerne seinen Parametern entspricht, wird seine Bibliothek entschlüsselt und in den Hauptspeicher hochgeladen. Diese Bibliothek ist eine abgeänderte Version des Remote-Verwaltungssystems mit offenem Quellcode (auch als Gh0st RAT oder BackDoor.Farfli.96 bekannt). Danach speichert Trojan.BtcMine.1259 auf der Festplatte seine Kopie und startet diese als Systemdienst. Nach einem erfolgreichen Start versucht der Trojaner, sein Update unter der in der Konfigurationsdatei angegebenen Adresse herunterzuladen.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Die Konfigurationsdatei dieses Moduls enthält Parameter für Kerne und CPU-Ressourcen zum Mining und bestimmt unter anderem, in welchem Zeitraum der Schädling automatisch neu gestartet werden soll. Der Trojaner verfolgt laufende Prozesse auf dem infizierten Rechner. Wenn ein Task-Manager gestartet wurde, bricht er ab.

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Immerhin wird die Malware, die CPU-Ressourcen des Rechners anzapft, von Cyber-Kriminellen weiter verbreitet. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein. Trojan.BtcMine.1259 sowie alle seine Komponenten werden von Dr.Web Antivirus erfolgreich entfernt, deshalb stellt der Schädling für unsere Nutzer keine Bedrohung dar.

Mehr zum Trojaner

Frankfurt, 13. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Plug-in Dr.Web für IBM Lotus Domino bis auf Version 11.0.2. Das Update rüstet das Plug-in mit neuen Funktionen und behebt früher entdeckte Fehler.

Das Plug-in unterstützt jetzt Windows Server 2016.

Folgende Änderungen wurden vorgenommen:

• Statistiken sollen fehlerfrei an den zentralen Schutzserver übermittelt werden;
• Ursachen für das Aufhängen eines SMTP-Tasks wurden behoben;
• Fehler während der Prüfung von E-Mails beim Zugang zu NSF-Datenbanken wurden beseitigt.

Bevor Sie eine aktuelle Version von Dr.Web für IBM Lotus Domino installieren, entfernen Sie die alte Version des Plug-ins. Um vorhandene Einstellungen zu übernehmen, können Sie die Option Import/Export benutzen.

Frankfurt, 13. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Modul Lua-Updater (11.0.21.06080), das Anti-Rootkit-Modul Dr.Web Anti-rootkit API (11.1.11.201706060), den Verwaltungsdienst Dr.Web Control Service (11.0.13.06051 und 11.0.12.06061) und das Konfigurationsskript Lua-script for scan-engine (11.0.6.06050) in Dr.Web Produkten. Außerdem wurde in Dr.Web KATANA 1.0 das Modul katana-service (11.1.7.06051) aktualisiert. Das Update behebt früher entdeckte Fehler.

Der Lua-Updater wurde optimiert und interagiert nun fehlerfrei mit Dr.Web Update-Servern.

Ursachen für das fehlerhafte Einloggen im lokalen Benutzerprofil des Antirootkit-Moduls wurden entdeckt und beseitigt.

Das Update erfolgt automatisch. Nachdem Sie Dr.Web KATANA benutzt haben, müssen Sie Ihren Rechner neu starte

Frankfurt, 5. Juni 2017

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server.

Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Einen Höhepunkt erreichten sie aber Mitte Mai. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Der Trojaner ist schlau und ist in der Lage, Honeypots (Server, die von Sicherheitsanalysten als Fallen für Malware verwendet werden) zu entdeckten. Nach seinem Start stellt er eine Verbindung zum Verwaltungsserver her, erhält von ihm eine Rückmeldung und startet auf dem infizierten Gerät den SOCKS-Proxy-Server. Cyber-Kriminelle können diesen zum Verdecken ihrer Identität nutzen.

Die beiden Trojaner werden durch Dr.Web Antivirus für Linux erfolgreich erkannt und entfernt, deshalb stellen sie für unsere Nutzer keine Gefahr dar.

• More about Linux.MulDrop.14
• More about Linux.ProxyM

Frankfurt, 2. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web SelfPROtect (11.01.10.06010) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus 11.0, Dr.Web Antivirus 11.0 für Dateiserver Windows, Dr.Web Enterprise Security Suite 10.0, Dr.Web AV-Desk 10.0, Dr.Web KATANA 1.0 und Dr.Web CureNet!. Das Update behebt früher entdeckte Fehler.

Dank des Updates wurden Ursachen für Fehler im Betriebssystem (BSOD) behoben.

Das Update wird automatisch durchgeführt. Anschließend ist der Neustart Ihres Rechners erforderlich.

Frankfurt, 31.Mai 2017

Das Hauptereignis im Monat Mai war eine massenhafte Verbreitung des Schädlings WannaCry, der von Dr.Web als Trojan.Encoder.11432 erkannt wird. Der Wurm verbreitete sich selbständig und infizierte Netzwerk-Geräte über eine Lücke im SMB-Protokoll. Anschließend verschlüsselte er Dateien auf dem Rechner des Opfers und verlangte ein Lösegeld für die Entschlüsselung. Außerdem haben die Sicherheitsanalysten von Doctor Web den auf Lua geschriebenen Multikomponenten-Trojaner für Linux unter die Lupe genommen. MacOS blieb auch nicht im Hintergrund: Unsere Sicherheitsanalysten haben eine neue Backdoor aufgespürt.

Bedrohung des Monats

Von WannaCry haben bereits viele Medien berichtet. Der Verschlüsselungstrojaner wird von Dr.Web Antivirus als Trojan.Encoder.11432 klassifiziert und ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infiziert. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr.

Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich der massenhafte Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon. Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt er seine Arbeit ab. Mehr zum Schädling finden Sie hier. Eine technische Beschreibung des Trojaners gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Trojan.LoadMoney
  Download-Trojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Trojan.Moneyinst.133
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.151
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem Rechner klauen.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• Android.Androrat.1.origin
  Spyware für Android.
• BackDoor.Bifrost.29284
  Vertreter der Backdoor-Trojaner sind in der Lage, Befehle von Kriminellen auszuführen.

Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen Verteilung von Support-Anfragen wegen Encoder im Mai:

• Trojan.Encoder.858 — 14.39% Anfragen;
• Trojan.Encoder.11432 — 8.36% Anfragen;
• Trojan.Encoder.3953 — 7.41% Anfragen;
• Trojan.Encoder.761 — 2.62% Anfragen;
• Trojan.Encoder.10144 — 2.60% Anfragen;
• Trojan.Encoder.567 — 2.47% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust

Mehr

Im Mai 2017 wurden 1 129 277 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Nicht empfohlene Webseiten

Weitere Ereignisse aus der IT-Sicherheitsszene

Anfang Mai wurde ein Trojaner entdeckt, der sich über Links in Kommentaren verbreitete. Übeltäter platzierten diese Links in der offiziellen VK-Gruppe von Doctor Web. Anschließend wurden Nutzer dazu aufgefordert, kostenlose Schlüssel für Dr.Web Antivirus herunterzuladen. Bei der angebotenen App ging es aber um den Trojaner Trojan.MulDrop7.26387.

Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, z.B. das Hintergrundbild von Windows zu ändern, das DVD-Laufwerk zu öffnen und zu schließen, Funktionen von Maustasten zu ändern, einen Satz mit Hilfe einer Sprach-App aussprechen zu lassen und sogar ein schreckliches Video auf dem Bildschirm eines Rechner anzuzeigen. Mehr zum Schädling finden Sie hier.

Malware für Linux

Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen. Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben. Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

Mehr Informationen zum Trojaner finden Sie hier. Die technische Beschreibung des Schädlings befindet sich hier.

Malware für macOS

Der letzte Frühlingsmonat von 2017 war durch die Verbreitung der Backdoor für macOS gekennzeichnet. Der Trojaner wurde in die Dr.Web Virendatenbank als Mac.BackDoor.Systemd.1 eingetragen. Die Backdoor ist in der Lage, folgende Befehle auszuführen:

• Liste mit Inhalten aus dem vordefinierten Verzeichnis erhalten;
• Datei lesen;
• Inhalte in einer Datei speichern;
• Dateiinhalte erhalten;
• Datei oder Ordner löschen;
• Datei oder Ordner umbenennen;
• Rechte für Datei oder Ordner (via Befehl chmod) anpassen;
• Besitzer einer Datei (via Befehl chown) anpassen;
• Ordner erstellen;
• Befehl in bash ausführen;
• Trojaner aktualisieren;
• Trojaner neu starten;
• IP-Adresse des Verwaltungsservers anpassen;
• Plug-in installieren.

Mehr Informationen zur Backdoor finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten. Darüber hinaus haben wir auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus klaut der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter. Außerdem haben Cyber-Kriminelle im Mai den Trojaner Android.BankBot.186.origin verbreitet, der als MMS getarnt war.

Hauptereignisse im Mai:

• Trojaner auf Google Play entdeckt;
• Verbreitung eines Android-Bankers, der das Geld der Nutzer klaut.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 31. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für Smartphones und Tablets unter Android. Im vergangenen Monat wurden auf Google Play mehrere Android-Trojaner entdeckt. Der eine lud aus dem Internet böswillige Apps und sammelte vertrauliche Daten. Der andere konnte einzelne böswillige Programmmodule herunterladen und aufdringlich Werbung anzeigen. Außerdem haben Cyber-Kriminelle im Mai einen Bankentrojaner verbreitet, der das Geld von Konten der Nutzer klaute.