Frankfurt, 8. August 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Control Service (11.0.18.07311) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus 11.0 Dr.Web Enterprise Security Suite 10.1 und Dr.Web Enterprise Security Suite 10.0 sowie im Managed Security Service Dr.Web AV-Desk 10.0. Das Update behebt früher entdeckte Fehler.

Für Dr.Web Enterprise Security Suite und Dr.Web AV-Desk wurde das Verhalten der Apps beim Wechseln der Netzwerkoberfläche angepasst.

Nun fragt der Agent Einstellungen aller installierten Komponenten beim Aufbau einer Verbindung zum Server an.

Das Update erfolgt automatisch.

Frankfurt, 3. August 2017

Der IT-Sicherheitsspezialist aktualisiert das Tool für eine kostenlose Wiederherstellung und Desinfektion des PCs. Dr.Web LiveDisk 9.0. Das Update behebt den früher entdeckten Fehler.

Jetzt sollen Dr.Web Produkte unter Windows fehlerfrei installiert und gestartet werden.

Dr.Web LiveDisk herunterladen

Frankfurt, 2. august 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Firewall (11.1.6.07100), Dr.Web Firewall Driver (11.01.06.07110) und SpIDer Agent for Windows (11.0.17.07240) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus, Dr.Web Enterprise Security Suite 10.0, 10.1 und dem Managed Security Service Dr.Web AV-Desk 10.0 (der Agent in Dr.Web 11.0 für Dateiserver Windows wurde auch aktualisiert). Das Update behebt früher entdeckte Fehler und verbessert die Funktionsstabilität der Module.

Durch das Update der Firewall und des Dr.Web Firewall Drivers wird die fehlerhafte Verdoppelung von Regeln für Netzwerk-Apps behoben. Die Funktionsstabilität der Module wird dabei verbessert.

Das Update erfolgt automatisch. Für Produkte mit einer installierten Firewall ist der Neustart des Rechners erforderlich.

Frankfurt, 1 August 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Regeln, die für das Sperren und Ersetzen von Dr.Web Piratenlizenzen gelten.

Anti-Piraten-Regeln wurden aktualisiert.

Gemäß neuen Regeln werden Lizenzen ohne Verwaltungszentrale für Dr.Web Enterprise Security Suite als Piratenlizenzen erkannt und sofort gesperrt.

Für Geschäftsanwender werden Lizenzen über ein Ticket im Support-Tracker wiederhergestellt. Der Link zum Ticket wird per E-Mail nach der Lizenzsperrung zugesendet. Dabei muss ein Geschäftskunde erklären können, aus welchem Grund eine Lizenz gesperrt wurde und welche Vorbeugemaßnahmen er in der Zukunft treffen wird.

Wie früher kann man als Geschäftsanwender eine Lizenz dreimal kostenlos ersetzen – mit der Voraussetzung, dass bis zum Ablauf der Lizenz weniger als 30 Tage verbleiben. Sonst muss eine Lizenz verlängert werden.

Heimanwender können ihre Lizenzen nur einmal kostenlos ersetzen.

Mehr zu neuen Regeln finden Sie hier.

Frankfurt, 31. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web veröffentlicht den Malwarebericht für den Monat Juli 2017. Anfang Juli haben Virenanalysten einen Bankentrojaner analysiert, der infizierte Geräte steuert und vertrauliche Daten klaut. Später wurde auf Google Play ein Trojaner entdeckt, der andere böswillige Software herunterlädt. Ende Juli wurde in einigen Smartphone-Modellen unter Android ein vorinstallierter Trojaner ausfindig gemacht.

Frankfurt, 31. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für den Juli 2017. In diesem Monat haben die Sicherheitsspezialisten in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt, eine Verbreitungsquelle für Dande aufgespürt und auf der Webseite für öffentliche Services einen potenziellen Schadcode gefunden.

July 31, 2017

Zusammenfassung

Der Juli ist in der Regel kein Monat für aufsehenerregende Ereignisse. Im Juli haben aber die Sicherheitsspezialisten von Doctor Web in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt. Später wurde auch eine Verbreitungsquelle von BackDoor.Dande aufgespürt. Ende Juli entdeckte man auf der Webseite für öffentliche Services gosuslugi.ru einen Schadcode. Im Juli wurden auch mehrere böswillige Apps für Android gefunden.

Bedrohung des Monats

Die beliebte App M.E.Doc zum Dokumentenmanagement wurde von Intellect Service entwickelt. In der Komponente der App, die ZvitPublishedObjects.Server.MeCom heißt, haben Virenanalysten von Doctor Web einen Eintrag entdeckt, der für den Schlüssel des Windows-Registry typisch ist: HKCU\SOFTWARE\WC.

Dieser Schlüssel wurde von Trojan.Encoder.12703 verwendet. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte den gleichen Hash wie das von Doctor Web analysierte Muster. So konnten Virenanalysten von Doctor Web zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden. Mehr dazu finden Sie hier.

Statistik

Dr.Web Antivirus

• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.BtcMine
  Familie von Trojanern, die unerlaubt CPU-Ressourcen des PCs zum Mining von der Kryptowährung wie Bitcoin anzapfen.

Serverstatistik

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die auf den Rechner weitere böswillige Apps herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.InstallCore
  Familie von Installationsassistent für unerwünschte Apps.
• Trojan.DownLoader
  Trojaner, die zum Herunterlanden von anderen Apps geeignet sind.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
• Trojan.Encoder.6218
  Erpresser, der für die Entschlüsselung von Daten Geld verlangt.
• Trojan.InstallCore
  Installationsassistenten für böswillige und unerwünschte Apps.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Joke.Locker.1.origin
  Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.
• Android.SmsSend.20784
  Böswillige Software, die Nutzern kostspielige Services unterschiebt.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Daten klauen sollen.

Encoder

Support-Anfragen wegen Encoder im Juli:

• Trojan.Encoder.858 — 34.80% Anfragen;
• Trojan.Encoder.567 — 8.21% Anfragen;
• Trojan.Encoder.761 — 3.19% Anfragen;
• Trojan.Encoder.5342 — 3.04% Anfragen;
• Trojan.Encoder.11423 — 2.13% Anfragen;
• Trojan.Encoder.11432 — 1.98% Anfragen;

Böswillige Webseiten

Im Juli 2017 wurden 327 295 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Mitte Juli wurde auf der russischen Webseite für elektronische Services gosuslugi.ru ein potenzieller Schadcode entdeckt. Dieser Code ließ den Browser jedes Benutzers mit einer von 15 Domainadressen, von denen 5 niederländischen Unternehmen gehören, verbinden. Bei der dynamischen Generierung von Webseiten wurde auch ein Container <iframe> eingefügt. Dadurch konnte man den Browsern beliebige Daten abfragen. Alle Sicherheitslücken der Webseite wurden von der Administration von gosuslugi.ru nach der Veröffentlichung der Meldung über den Vorfall geschlossen.

Andere Ereignisse

Im Jahre 2011 haben unsere Analysten den Trojaner BackDoor.Dande gemeldet, der Pharmaunternehmen und Apotheken ausspionierte. Nach der Analyse der Festplatte, die von einem geschädigten Nutzer zur Verfügung gestellt wurde, kam man zum Schluss, dass der Trojaner von einer ePrica-Komponente heruntergeladen und installiert wurde. Dieses Modul lud vom Server, der der Firma Spargo Technologii gehört, den Installationsassistenten von BackDoor.Dande herunter, der eine Backdoor auf den zu infizierenden PCs startete. Das fragwürdige Modul war mit der digitalen Signatur «Spargo» versehen.

Die von Doctor Web durchgeführte Analyse zeigte, dass BackDoor.Dande in eine frühere Version des Installationsassistenten von ePrica eingebettet wurde. Unter den Modulen des Trojaners sind ein Installationsassistent sowie Komponenten zur Sammlung von Einkaufsdaten zu Medikamenten zu finden. Da die Backdoor auch nach der Entfernung von ePrica im System weiterhin bestand, konnten Cyber-Kriminelle Nutzer laufend ausspionieren. Mehr zu Ermittlungen im Fall ePrica, die von Doctor Web durchgeführt wurden, finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Juli haben die Sicherheitsspezialisten von Doctor Web im auf Google Play beliebten Spiel BlazBlue Android.DownLoader.558.origin entdeckt. Der Schädling konnte beliebige ungeprüfte App-Komponenten herunterladen und starten. Später wurde der Trojaner Android.BankBot.211.origin erforscht. Er konnte infizierte mobile Endgeräte verwalten und klaute vertrauliche Daten wie Logins und Passwörter. Ende Juli wurde der Trojaner Android.Triada.231 entdeckt, der von Cyber-Kriminellen in eine der Systembibliotheken von Android eingebettet wurde. Der Schädling wurde in Prozesse aller laufenden Apps integriert und startete einzelne Module des Trojaners.

Hauptereignisse im Juni 2017:

• Entdeckung eines Android-Trojaners in Android-Firmware von einigen mobilen Geräten;
• Entdeckung eines Download-Trojaner auf Google Play;
• Entdeckung eines Banken-Trojaners, der infizierte Geräte steuern und vertrauliche Daten klauen kann.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 31. Juli 2017

Im Juli haben die Sicherheitsanalysten von Doctor Web auf einigen Smartphone-Modellen unter Android einen Trojaner aufgespürt, der in einer Systembibliothek von Android eingebettet war. Der Schädling konnte u.a. in laufende Prozesse eindringen und weitere böswillige Module starten. Darüber hinaus haben die Analysten von Doctor Web auf Google Play ein Spiel ausfindig gemacht, das mit einem Download-Trojaner ausgerüstet war. Darüber hinaus hat man noch einen neuen gefährlichen Trojaner analysiert, der sich die Kontrolle über infizierte Geräte und vertrauliche Daten von Nutzern sichert.

Bedrohung des Monats

Android.Triada.231 der in einer Systembibliothek von Android eingebettet war, konnte in laufende Prozesse eindringen und unsichtbar für den Benutzer weitere Trojaner-Module herunterladen und starten. Der Trojaner wurde auf mehreren Android-Modellen entdeckt.

Besonderheiten von Android.Triada.231 sind wie folgt:

• Die Einbettung in die Systembibliothek ist auf Ebene des Quellcodes realisiert;
• Der Schädling bettet sich in laufende Prozesse ein und integriert in diese böswillige Module;
• Um den Trojaner zu installieren, ist die Neuinstallation des Betriebssystems erforderlich.

Mehr zum Trojaner finden Sie in dieser Mitteilung.

Statistik von Dr.Web Produkten für Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Trojaner, die zum Herunterladen anderer Apps gedacht sind.

Android.HiddenAds.85.origin

Android.HiddenAds.68.origin

Android.HiddenAds.83.origin

Trojaner, die zum Anzeigen anderer Apps gedacht sind, werden unter dem Deckmantel beliebter Apps verbreitet und im Systemverzeichnis unsichtbar installiert.

Adware.Avazu.8.origin

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Adware.Cootek.1.origin

Unerwünschte App-Module, die in Android-Apps eingebettet werden und zum Anzeigen auf mobilen Geräten gedacht sind.

Trojaner auf Google Play

Im Juli haben Sicherheitsspezialisten von Doctor Web auf Google Play Android.DownLoader.558.origin entdeckt, der in BlazBlue eingebettet ist. Der Schädling ist im Update-Modul integriert und kann ungeprüfte Komponenten von Apps herunterladen. Mehr Informationen zu Android.DownLoader.558.origin finden Sie hier.

Bankentrojaner

Im Monat Juli wurde der Trojaner Android.BankBot.211.origin entdeckt, der sich einen Zugang zum Accessibility Service unter Android sichern wollte. Über erweiterte Möglichkeiten konnte er infizierte Geräte steuern und Daten, die über die Tastatur eingegeben werden, abfangen. Außerdem fischte Android.BankBot.211.origin vertrauliche Daten aus fingierten Formularen heraus, die in Online-Banking- und Zahlungs-Apps angezeigt wurden. Mehr zur Funktionsweise des Trojaners können Sie hier lesen.

Virenschreiber greifen Android-Nutzer weiterhin an. Ständig erweitern sie die Funktionalität von Trojanern und versuchen, diese mit allen zugänglichen Methoden zu verbreiten. Für einen zuverlässigen Schutz gegen Malware empfehlen wir Dr.Web Produkte für Android zu installieren.

Frankfurt, 27. Juli 2017

Virenanalysten von Doctor Web haben einen Schädling entdeckt, der in die Firmware von Android-Geräten eingebettet ist. Der Trojaner, der unter dem Namen Android.Triada.231 geführt wird, ist in eine Systembibliothek integriert, dringt in Prozesse laufender Apps ein und kann unter anderem weitere Module herunterladen.

Trojaner der Familie Android.Triada betten sich in den Systemprozess der Komponente Zygote ein. Diese ist für das Starten von Apps verantwortlich. Durch die Infizierung von Zygote werden Schädlinge in sämtliche laufende Apps eingebettet, sichern sich deren Rechte und funktionieren mit ihnen als Ganzes. Ein solcher Schädling ist dabei in der Lage, weitere böswillige Module herunterzuladen und zu starten.

Im Unterschied zu anderen Vertretern dieser Familie, die sich root-Privilegien zu sichern versuchen, ist der von unseren Analysten entdeckte Trojaner Android.Triada.231 in die Systembibliothek libandroid_runtime.so integriert. Seine modifizierte Version wurde gleichzeitig auf mehreren infizierten Gerätetypen wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20 entdeckt. Die Bibliothek libandroid_runtime.so wird von allen Android-Apps verwendet, deshalb ist der Schadcode im Speicher aller gestarteten Apps vorhanden.

Android.Triada.231 wurde in den Quellcode eingefügt. Deshalb lässt sich annehmen, dass Insider oder unseriöse Partner hier die Finger im Spiel haben.

Android.Triada.231 ist in libandroid_runtime.so so integriert und erhält einen Befehl jedes Mal, wenn eine beliebige App einen Eintrag im Systemprotokoll macht. Da der Dienst namens Zygote früher als andere Apps startet, wird der Trojaner durch Zygote ausgeführt.

Nach der Initialisierung nimmt der Schädling Einstellungen vor, erstellt ein Verzeichnis und prüft, wo er läuft. Wenn der Trojaner unter Dalvik läuft, fängt er eine der Systemmethoden ab, kann alle Apps überwachen und böswillige Aktivitäten durchführen.

Die Hauptfunktion von Android.Triada.231 ist es, einen unsichtbaren Start von böswilligen Modulen zu gewährleisten, die ihrerseits weitere böswillige Komponenten des Trojaners herunterladen können. Um die letzteren zu starten, prüft der Schädling, ob ein spezielles Verzeichnis vorhanden ist. Der Name des Verzeichnisses soll einen Wert MD5 enthalten. Wenn Android.Triada.231 ein solches Verzeichnis findet, sucht er darin nach der Datei 32.mmd oder 64.mmd (für 32- und 64-Bit-Versionen). Wenn es diese Datei gibt, entschlüsselt sie der Trojaner zunächst und speichert diese dann unter dem Namen libcnfgp.so. Anschließend lädt der Bösewicht diese in den Hauptspeicher und löscht die entschlüsselte Datei. Wenn der Schädling kein passendes Objekt findet, sucht er nach der Datei 36.jmd. Android.Triada.231 entschlüsselt diese, speichert unter dem Namen mms-core.jar, und startet mi Hilfe von DexClassLoader. Anschließend wird die vom ihm erstellte Kopie gelöscht.

So kann sich Android.Triada.231 in verschiedene Module einbetten und auf laufende Programme Einfluss nehmen. So können Virenschreiber jedes Mal einen Befehl zum Herunterladen und Starten von böswilligen Plug-ins abgeben und dadurch Cyber-Spionage betreiben.

Außerdem kann Android.Triada.231 aus der Bibliothek libandroid_runtime.so ein Trojaner-Modul Android.Triada.194.origin extrahieren, das dort verschlüsselt gespeichert ist. Seine Hauptfunktion ist es, weitere böswillige Komponenten herunterzuladen und die Interaktion mit diesen zu gewährleisten.

Da Android.Triada.231 in eine von Bibliotheken integriert ist und im Systemverzeichnis liegt, kann er mit Standardtools nicht entfernt werden. Das einzige Mittel im Kampf mit dem Trojaner ist die Installation einer „sauberen“ Android-Firmware. Die Sicherheitsspezialisten von Doctor Web haben Hersteller von kompromittierten Geräten benachrichtigt. Deshalb müssen Nutzer alle weiteren Updates installieren.

Mehr zum Trojaner

Frankfurt, 19. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web teilt die Einrichtung des Managed Security Services Dr.Web AV-Desk durch den indonesischen IT-Anbieter ESPINAT DATA GLOBAL mit. Nun können Geschäftskunden des IT-Anbieters Dr.Web Antivirus als Service nutzen.

Den Virenschutz im SaaS-Modell werden nun über 50 Geschäftskunden von ESPINAT DATA GLOBAL nutzen können.

Das Team von ESPINAT DATA GLOBAL konnte sich beim Test des Services vergewissern, wie einfach die Einrichtung und Administration des Services und wie stabil seine Funktionsweise ist. Dabei ist der Support sowohl für Nutzer als für den Systemadministrator verfügbar.

«Die Einrichtung von Dr.Web AV-Desk wurde dank der Begleitung des Teams von Doctor Web schnell und unkompliziert durchgeführt. Der Service bietet eine gute Übersicht und komplette Kontrolle der unternehmenseigenen IT-Sicherheit», sagt CEO von ESPINAT DATA GLOBAL Rizal Muhammad.

Über ESPINAT DATA GLOBAL

ESPINAT DATA GLOBAL ist ein indonesischer Anbieter von IT-Dienstleistungen.

Über Dr.Web AV-Desk

Der Managed Security Service Dr.Web AV-Desk wurde von Doctor Web 2007 entwickelt. Bis heute wurde Dr.Web AV-Desk von über 350 IT-Anbieter in Frankreich, den Niederlanden, Spanien, der Ukraine, Estland, Litauen, Kasachstan und anderen Ländern eingerichtet.

www.av-desk.com

Frankfurt, 18. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web für Telegram. Dank diesem Update werden neue Funktionen eingeführt und früher entdeckte Fehler behoben.

Dank dem Update können ab sofort Dateien mit einem Grössenlimit von bis zu 20 MB geprüft werden. Für neue Chats wurde die Default-Benachrichtigung auf «Nur über Bedrohungen benachrichtigen» angepasst.

Fehler in kyrillischen und in arabischen Symbolen sowie in Dateinamen wurden beseitigt. Außerdem wurden Mängel beim Herunterladen von Dateien vom Telegram-Server behoben.

Um den Bot zu nutzen, finden Sie auf Telegram das Konto @DrWebBot (oder gehen Sie auf telegram.me/drwebbot) und senden Sie dem Bot eine Datei oder einen Link zu — der Bot wird diese «on the fly» prüfen und Ihnen das Ergebnis mitteilen.

Frankfurt, 18. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert Dr.Web Updater (11.0.26.07040), den Agenten SpIDer Agent for Windows (11.0.16.07121), Dr.Web Security Space, Anti-virus for Windows setup (11.0.16.07070) sowie Konfigurationsskripts Lua-script for dwprot (11.0.6.07070) und Lua-script for av-service (11.0.6.07070) in einigen Dr.Web Produkten. Das Update behebt früher entdeckte Fehler und verbessert die Funktionsweise des Moduls.

Im Update-Modul wurden Verbesserungen durchgeführt, die die Interaktion mit Dr.Web Update-Servern effektiver machen sollen.

Ursachen für das Abbrechen des Agenten beim Start unter Windows Server 2008 SP2 wurden behoben. In Dr.Web Enterprise Security Suite 10.0 und 10.1 wurden auch Ursachen für das Abbrechen des Agenten beim Wechseln aus einem Benutzer- in den Administratormodus beseitigt.

In Lua-script for av-service wurde ein Problem verbessert, wegen dem ein Produkt für Workstations im System mit einem ES-Agenten nicht aktualisiert werden konnte.

Das Update erfolgt automatisch.

Frankfurt, 11. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert SpIDer Agent für Windows (11.0.15.07070) in Produkten Dr.Web Security Space 11.0, Dr.Web Antivirus 11.0, Dr.Web Antivirus 11.0 für Dateiserver Windows, Dr.Web Enterprise Security Suite 10.0 und 10.1 sowie Dr.Web AV-Desk 10.0. Das Update behebt früher entdeckte Fehler.

Der Fehler, der zum Zurücksetzen von Regeln für Apps bei der Konfiguration der Firewall führen konnte, wurde beseitigt.

Das Update erfolgt automatisch.

Frankfurt, 4. Juli 2017

Die Virenanalysten von Doctor Web haben das Update-Modul von M.E.Doc unter die Lupe genommen und herausgefunden, dass es auch mit der Verbreitung einer weiteren böswilligen App zusammenhängt. Laut unabhängigen Untersuchungen war das Update-Modul von M.E.Doc die Verbreitungsquelle von Trojan.Encoder.12544, der auch unter den Namen NePetya, Petya.A, ExPetya und WannaCry-2 bekannt ist.

In den Mitteilungen hieß es, dass die Verbreitung von Trojan.Encoder.12544 über die App M.E.Doc erfolgte, die von Intellect Service entwickelt wurde. In einem der Module des Update-Systems von M.E.Doc mit dem Namen ZvitPublishedObjects.Server.MeCom haben die Virenanalysten von Doctor Web eine Signatur entdeckt, die einem Registry-Schlüssel von Windows entspricht: HKCU\SOFTWARE\WC.

Die Virenanalysten sind auf diesen Pfad aufmerksam geworden, weil Trojan.Encoder.12703 auf ihn in seinen Aktionen zugreift. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte dieselben Hash wie das von Doctor Web analysierte Muster. So konnten wir zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden:

So wurde auch auf Rechnern der Opfer der Encoder, der als NePetya, Petya.A, ExPetya und WannaCry-2 (Trojan.Encoder.12544) bekannt ist, gestartet.

In einem Interview auf der Reuters-Webseite haben die Entwickler von M.E.Doc behauptet, dass die von ihnen entwickelte App keinen böswilligen Code enthalte. Die Virenanalysten von Doctor Web kamen aufgrund von Daten aus der statistischen Codeanalyse zum Schluss, dass unbekannte Täter die App M.E.Doc infiziert haben. Diese Komponente wurde in die Dr.Web Virendefinitionsdatei als BackDoor.Medoc aufgenommen.

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von mobilen Bedrohungen für Juni 2017. Im Juni wurden mehrere Schädlinge für Android und eine Riskware entdeckt. Außerdem verbreiteten Cyber-Kriminelle einen Encoder, der Nutzerdaten auf der SD-Karte verschlüsselte.

Frankfurt, 3. Juli 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert einen Malwarebericht für den Monat Juni 2017. Der erste Sommermonat brachte eine massenhafte Verbreitung des gefährlichen Schädlings, der als Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist. Im Juni wurden auch mehrere Schädlinge für Windows und Linux entdeckt.

Frankfurt, 3. Juli 2017

Trojan.Encoder.12544 sorgte im Juni für Schlagzeilen. Der Schädling ist in den Medien als Petya, Petya.A, ExPetya und WannaCry-2 bekannt. Der Encoder infizierte viele Unternehmen, Organisationen und Privatpersonen weltweit. Anfang Juni haben Cyber-Kriminelle zwei Schädlinge für Linux verbreitet: Der eine installiert auf infizierten PCs eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Mitte Juni wurde ein Miner entdeckt, der Windows-Nutzer infizierte. Außerdem wurden im Juni mehrere böswillige Apps für Android aufgespürt.

Hauptereignisse im Juni 2017

Bedrohung des Monats

Die Sicherheitsspezialisten von Doctor haben den Schädling, der in den Medien auch als Petya, Petya.A und WannaCry-2 bekannt ist, als Trojan.Encoder.12544 klassifiziert. Trojan.Encoder.12544 erhält eine Liste von lokalen und Domainnutzern, die auf dem infizierten PC autorisiert sind. Anschließend sucht er nach schreibbaren Netzwerk-Verzeichnissen, versucht diese zu öffnen und seine Kopie dort zu speichern. Einige Experten behaupteten, dass man eine perfc-Datei im Windows-Verzeichnis erstellen musste, um der Infizierung vorzubeugen. So kann man sich aber nicht gegen den Encoder schützen. Der Wurm prüft seinen wiederholten Neustart durch eine Datei ohne Erweiterung, die dem Namen des Schädlings entspricht. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung NICHT retten.

Vernichtet wird auch der VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht.

Währenddessen verschlüsselt Trojan.Encoder.12544 die MFT (Master File Table). Nach der Verschlüsselung wird von Trojan.Encoder.12544 eine Forderung nach Lösegeld angezeigt.

Die Virenanalysten von Doctor Web glauben, dass Trojan.Encoder.12544 zunächst zur Vernichtung von infizierten Rechnern und nicht als Lösegeldmaschine gedacht war. Dafür spricht vor allem die Tatsache, dass nur ein E-Mail-Konto verwendet wurde. Zweitens ist der Schlüssel, der auf dem Bildschirm angezeigt wird, eine zufällige Folge von Symbolen und hat nichts mit einem tatsächlichen Schlüssel zu tun. Drittens ist der von Cyber-Kriminellen übermittelte Schlüssel nicht der Schlüssel zur Kodierung der Dateitabelle. Im Endeffekt sind die Virenschreiber nicht in der Lage, Opfern einen geeigneten Schlüssel zur Verfügung zu stellen. Mehr zu Funktionsweise von Trojan.Encoder.12544 finden Sie in diesem Artikel. Technische Details gibt es hier.

Die Virenanalysten melden, dass die Infektionsquelle das Update-System der App MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, bei dem der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande zum Zweck der Wirtschaftsspionage eingesetzt wurde. Mehr zum Vorfall finden Sie in diesem Artikel. Technische Details gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.16
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.69
  Trojaner, die andere Malware auf infizierten PCs installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den böswilligen Code in den HTML-Code von Webseiten einbettet.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.37
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Win32.HLLP.Neshta
  Dateivirus, der Virenanalysten seit 2005 bekannt ist, und Dateien wie EXE PE mit mind. 41472 Byte Größe infiziert. Bei der Infizierung schreibt sich der Schädling in den Beginn der infizierten Datei mit der Zeile: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Android.Androrat.1.origin
  Spyware für Android.

Support-Anfragen wegen Encoder im Juni:

• Trojan.Encoder.858 — 28.51% Anfragen;
• Trojan.Encoder.10103 — 8.10% Anfragen;
• Trojan.Encoder.567 — 5.54% Anfragen;
• Trojan.Encoder.11432 — 4.10% Anfragen;
• Trojan.Encoder.10144 — 2.36% Anfragen;

Im Juni 2017 wurden 229 381 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für Linux

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei als Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Mehr Statistiken finden Sie hier.

Andere Ereignisse

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein.

Trojan.BtcMine.1259 wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der letzte verbreitet sich über die Backdoor DoublePulsar.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert und kann bis zu 80% der CPU-Ressourcen von PCs in Anspruch nehmen. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Mehr dazu finden Sie in diesem Artikel.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen. Darüber hinaus haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Hauptereignisse im Juni 2017:

• Android-Trojaner für Cyber-Spionage entdeckt;
• Bedrohungen auf Google Play entdeckt;
• Verbreitung eines Encoders für Android.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 3. Juli 2017

Im Juni haben die Virenanalysten von Doctor Web einen Android-Schädling entdeckt, der Cyber-Spionage gegen mobile Nutzer im Iran betrieb und Befehle von Cyber-Kriminellen ausführen konnte. Gleichzeitig wurden auf Google Play mehrere Bedrohungen entdeckt. Einer der Schädlinge wollte einen root-Zugang bekommen, bettete sich in Systembibliotheken ein und konnte Apps ohne Kenntnis der Nutzer installieren. Andere Schädlinge versendeten kostenpflichtige Kurznachrichten und abonnierten kostspielige Premium-Services. Auf Google Play wurde Riskware verbreitet, die eine Datenabwanderung als Folge haben konnte. Darüber hinaus wurde ein weiterer Android-Encoder aufgespürt.

Mobile Bedrohung des Monats

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen.

Android.Spy.377.origin:

• verbreitet sich als harmlose App;
• klaut Kurznachrichten, Kontakte aus dem Telefonbuch und dem Google-Konto;
• kann Fotos mit einer Frontalkamera machen;
• wird von Cyber-Kriminellen via Telegram verwaltet.

Mehr zum Trojaner finden Sie hier.

Statistik von Dr.Web Produkten für Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojaner, die lästige Werbung anzeigen und sich unter dem Deckmantel von anderen Apps verbreiten. Sie sind in der Lage, Apps ohne Kenntnis der Nutzer im Systemverzeichnis zu installieren.

Android.DownLoader.337.origin

Trojaner, der andere Apps herunterladen kann.

Android.Triada.264.origin

<

Multifunktionaler Trojaner, die verschiedene böswillige Aktionen durchführen.

Statistik von Dr.Web Produkten für Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Unerwünschte App-Module, die in Android-Apps eingebaut werden und lästige Werbung anzeigen.

Bedrohungen auf Google Play

Im vergangenen Monat haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt. Mehr dazu finden Sie auf der Webseite von Doctor Web.

Im Juni wurden auf Google Play Trojaner der Familie Android.Dvmap entdeckt. Beim Starten versuchen diese Schädlinge einen root-Zugang zu bekommen, infizieren einige Systembibliotheken und installieren zusätzliche Software-Komponenten. Diese Trojaner können auch Befehle von Cyber-Kriminellen erhalten und Apps ohne Kenntnis der Nutzer herunterladen und starten.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Encoder

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Cyber-Kriminelle verlangten von Opfern ein Lösegeld in Höhe von CNY 20,-. Jeden dritten Tag wuchs der Betrag aufs Doppelte. Wenn die Verbrecher nach einer Woche nicht an das Geld kommen konnten, löschte Android.Encoder.3.origin verschlüsselte Dateien.

Böswillige und potenziell gefährliche Apps für Android gelangen auf mobile Endgeräte nicht nur beim Herunterladen von verschiedenen Webseiten, sondern auch vom Google Play. Android-Nutzer müssen höchste Vorsicht walten lassen, wenn sie unbekannte Apps installieren, und Dr.Web Produkte für Android nutzen.

Frankfurt, 30. Juni 2017

Am 27. Juni twitterte Amit Serper, dass man eine Methode gefunden habe, die der Datenverschlüsselung durch den Encoder Petya zu 100% vorbeugen soll. Anleitungen wie man das macht, haben auch mehrere Medien veröffentlicht. Doctor Web dementiert, dass all diese Methoden effektiv sind.

In veröffentlichten Artikeln heißt es, dass es eine Methode gibt, mit der man die Aktivierung von Trojan.Encoder.12544 unterbinden kann, indem man im Verzeichnis C:\Windows eine perfc-Datei erstellt. Einige weisen auch auf Dateien hin, die es für den Benutzer machen können, z.B.: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Ähnliche Anleitungen sind unter folgenden Adressen zu finden:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Doctor Web erklärt, dass diese Methode gegen Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya. A, ExPetya und WannaCry-2 bekannt ist, aus folgenden Gründen nicht effektiv ist:

1. Die Datei, mit der Trojan.Encoder.12544 die Kontrolle über den Neustart verfügt, hängt vom Dateinamen des Trojaners ab. Wenn Cyber-Kriminelle die böswillige Datei umbenennen, schützt eine perfc-Datei im C:\Windows файла nicht gegen die Infizierung.
2. Der Trojaner prüft, ob eine perfc-Datei vorhanden ist, nur dann, wenn er über ausreichende Privilegien im System verfügt.

Die Virenanalysten von Doctor Web haben eine vorläufige Analyse von Trojan.Encoder.12544 veröffentlicht, mit der Sie sich auf unserer Webseite bekannt machen können.

29 июня 2017 года

Aus verschiedenen Quellen hieß es, dass Trojan.Encoder.12544, der auch unter den Namen Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist, in Betriebssysteme über das Update-Modul von MEDoc eindringen konnte. Diese App dient zur Unternehmenssteuererfassung. Virenanalysten von Doctor Web sind mit einer solchen Verbreitungsmethode für Malware bereits in Berührung gekommen und wissen, wie sich solche Vorfälle vermeiden lassen.

Die Virenanalysten, die Trojan.Encoder.12544 untersucht haben, melden, dass die Infektionsquelle für den Encoder das Update-System von MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Man konnte herausfinden, dass das in MEDoc mitgelieferte Update-Tool EzVit.exe zu einem bestimmten Zeitpunkt den cmd-Befehl ausführte, währenddessen in den Speicher eine böswillige Bibliothek hochgeladen wurde. In dieser Bibliothek ist die Hauptfunktion von Trojan.Encoder.12544 realisiert. Da der Schädling sich selbst über eine Lücke im SMB-Protokoll verbreiten und Logindaten von Windows-Nutzern klauen kann, reicht ein einziger infizierter Rechner für die weitere Infizierung.

Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, wo der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande für die Wirtschaftsspionage eingesetzt wurde.

Die Sicherheitsspezialisten von Doctor Web haben eine Untersuchung durchgeführt, die 4 Jahre dauerte. Man hat Festplatten einer geschädigten Firma analysiert und festgestellt, wann der Treiber, der alle anderen Komponenten von BackDoor.Dande startete, erstellt worden war. Die Daten zum Treiber konnte man in einer Paging File von Windows und im Protokoll der auf dem infizierten Rechner installierten Virenschutzsoftware Avast finden. Die Analyse dieser Dateien zeigte, dass der böswillige Treiber sofort nach dem Start der App ePrica (D:\ePrica\App\PriceCompareLoader.dll) erstellt wurde. Diese App ermöglicht es Managern, Preise für medizinische Präparate von verschiedenen Lieferanten zu analysieren. Die Untersuchung von ePrica zeigte, dass die App eine Bibliothek in den Speicher lädt, die den Schädling BackDoor.Dande herunterlädt, entschlüsselt und anschließend startet. Der Trojaner wurde von der Webseite http://ws.eprica.ru heruntergeladen, die der Firma Spargo Technologii gehört. Das Modul, das den Schädling verdeckt herunterladen konnte, verfügte dabei über eine gültige Signatur von Spargo. Alle geklauten Daten wurden auf Server im Ausland hochgeladen. In anderen Worten versteckte sich auch Trojan.Encoder.12544 wie die oben erwähnte Backdoor im Update-Modul.

Die beiden Fälle haben gezeigt, dass die Infrastruktur der Softwareentwicklung erhöhte Sicherheitsanforderungen haben muss. Vor allem auf Sicherheitsupdates muss man Rücksicht nehmen. Das gilt sowohl für Entwickler als auch Nutzer. Update-Module, die im Betriebssystem über Rechte für Installation und Starten von Apps verfügen, können zu einer Infektionsquelle werden. Im Fall MEDoc ist die Infizierung auf den Einbruch von Cyber-Kriminellen und den gehackten Server zurückzuführen. Im Fall BackDoor.Dande gibt es Hinweise auf absichtliche Aktionen von Insidern. Mit der solchen Methode können Cyber-Kriminelle einen effektiven Angriff gegen Nutzer beliebiger Software durchführen.

Frankfurt, 28. Juni 2017

Trojan.Encoder.12544 verbreitet sich über die Lücke im Protokoll SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) und das Exploit NSA "ETERNAL_BLUE". Dabei werden zur Verbreitung Ports 139 und 445 verwendet. Bei der Lücke geht es um den Typ Remote Code Execution, was die Infizierung des Rechners per Fernzugriff bedeutet.

1. Um das Login im Betriebssystem wiederherzustellen, müssen Sie MBR wiederherstellen (u.a. mit Hilfe von Recovery Console von Windows oder des Tools bootrec.exe /FixMbr).

   Dafür können Sie auch Dr.Web LiveDisk verwenden. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Booten von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen.

2. Trennen Sie Ihren PC vom lokalen Netzwerk und installieren Sie den Patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Auf Rechnern unter Windows XP und Windows 2003 müssen Sicherheits-Patches manuell installiert werden. Diese finden Sie unter den folgenden Links:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Installieren Sie Dr.Web Antivirus, stellen Sie eine Internetverbindung her, aktualisieren Sie die Virendatenbanken und starten Sie einen Scan.

Testversion für Heimanwender Testversion für Geschäftsanwender

Der Trojaner ersetzt den Master Boot Record (MBR), erstellt und führt den Neustart-Task im Task-Planer aus. Danach ist der Neustart des Betriebssystems wegen des ersetzten Boot-Sektors der Festplatte nicht möglich. Anschließend wird die Verschlüsselung von Daten gestartet. Für jede Festplatte wird ein separater AES-Schlüssel erstellt. Dieser existiert im Speicher, bis die Verschlüsselung der Festplatte abgeschlossen wird. Für ihn wird ein Open-Source-Schlüssel RSA verwendet. Nachdem der MBR erfolgreich ersetzt und der Neustart des PCs durchgeführt wurde, wird die (Master File Table) MFT verschlüsselt, wo Daten zu Inhalten der Festplatte gespeichert sind. Um die Inhalte wiederherzustellen, braucht man einen Schlüssel, d.h. die verschlüsselten Daten können ohne Schlüssel nicht dekodiert werden.

Zum jetzigen Zeitpunkt ist die Dekodierung noch nicht möglich. Es wird nach Lösungen gesucht. Wir halten Sie auf dem Laufenden.

Frankfurt, 28. Juni 2017

Die Sicherheitsspezialisten von Doctor haben Trojan.Encoder.12544, der in den Medien auch als Petya, Petya.A и WannaCry-2 bekannt ist, unter die Lupe genommen. Nach der durchgeführten Analyse des Encoders möchten wir mit Nutzern technische Details des Angriffs teilen sowie ein paar Tipps geben, wie sich die Infizierung vermeiden lässt und was man tun kann, wenn die Infizierung bereits passiert ist.

Trojan.Encoder.12544, der in der letzten Zeit in den Medien für Schlagzeilen sorgte, stellt eine ernsthafte Gefahr für PCs unter Microsoft Windows dar. Aus einigen Quellen heißt es, dass es um eine neue Variante von Petya (Trojan.Ransom.369) geht. Trojan.Encoder.1254 weist aber nur einige wenige Ähnlichkeiten mit Petya auf. Der Schädling konnte in IT-Systeme von Behörden, Banken und NGOs in der Ukraine eindringen und mehrere Unternehmen in Russland infizieren.

Zum jetzigen Zeitpunkt ist es bekannt, dass der Trojaner Lücken ausnutzt, die früher zur Verbreitung von WannaCry verwendet wurden. Die massenhafte Verbreitung von Trojan.Encoder.12544 begann am Vormittag, dem 27. Juni. Beim Start auf dem infizierten PC sucht der Schädling im lokalen Netzwerk nach Rechnern und scannt anhand der Liste von IP-Adressen Ports 445 und 139. Nachdem Rechner mit diesen Ports gefunden wurden, versucht Trojan.Encoder.12544 diese über die bekannte SMB-Lücke (MS17-10) zu öffnen.

In seinem Körper enthält der Trojaner 32- und 64-Bit-Versionen von Mimikatz, der Passwörter von offenen Sitzungen unter Windows abfängt. Je nach Version des Betriebssystems entpackt er die entsprechende Version des Tools in einem temporären Verzeichnis und startet sie. Mit Hilfe von Mimikatz und zwei anderen Methoden erhält Trojan.Encoder.12544 eine Liste von lokalen Nutzern sowie Domainnutzern, die auf dem infizierten PC eingeloggt sind. Anschließend sucht er nach Ordnern im Netzwerk, versucht diese zu öffnen und dort seine Kopie zu speichern. Um PCs zu infizieren, zu denen er den Zugang erhalten hat, nutzt Trojan.Encoder.12544 das Tool zur PC-Remote-Verwaltung PsExec (im Körper des Trojaners enthalten) oder ein Standard-Console-Tool zum Aufrufen von Dateien Wmic.exe.

Seinen erneuten Start kontrolliert der Schädling mit Hilfe der Datei, die im Verzeichnis C:\Windows\ gespeichert wird. Diese Datei hat einen Namen, der dem Namen des Trojaners ohne Erweiterung entspricht. Da der Wurm, der aktuell verbreitet wird, den Namen perfc.dat besitzt, wird die Datei, die seinen wiederholten Start verbietet, C:\Windows\perfc heißen. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung nicht retten.

Nach dem Start definiert der Trojaner Privilegien für sich, lädt seine Kopie in den Speicher und überträgt ihr die Steuerung. Anschließend speichert er seine eigene Datei neu, fügt dort Datenmüll ein und löscht die Datei. Trojan.Encoder.12544 verschlüsselt und kopiert eine Boot-Signatur in einen anderen Bereich der Festplatte und speichert seine eigene Signatur. Vernichtet wird auch VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht. Währenddessen verschlüsselt Trojan.Encoder.12544 Daten auf Festplatten.

Der Trojaner verschlüsselt Daten nur auf Festplatten des PCs. Jede Festplatte wird separat verschlüsselt. Die Verschlüsselung erfolgt mit Hilfe von Algorithmen AES-128-CBC. Für jede Festplatte wird ein jeweiliger Schlüssel erstellt. Dieser Schlüssel wird mit Hilfe des Algorithmus RSA-2048 verschlüsselt und im Kernverzeichnis der Systemdatei mit dem Namen README.TXT gespeichert. Verschlüsselte Dateien erhalten keine zusätzliche Erweiterung. Außerdem kann der Trojaner Systemverzeichnisse löschen. Nach der Verschlüsselung verlangt Trojan.Encoder.12544 ein Lösegeld für die Dekodierung von Daten.

Obwohl das Support-Team von Doctor Web noch keine Anfragen wegen Trojan.Encoder.12544 erhalten hat, stellt er eine ernsthafte Gefahr dar. Eines der Merkmale der Infizierung ist die Datei perfc auf dem Datenträger C:\Windows. Wenn Sie eine solche Datei entdeckt haben, sehen Sie vom Neustart Ihres PCs ab!

Wenn der PC trotzdem neu gestartet wurde und beim Neustart eine Nachricht über den Start des Tools CHDISK erschienen ist, schalten Sie Ihren PC sofort aus. Eine Boot-Signatur wird in diesem Fall beschädigt, kann aber später mit Hilfe des Recovery-Tools von Windows oder der Recovery Console wiederhergestellt werden. Dafür können Sie auch Dr.Web LiveDisk benutzen. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Laden von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen. Um der Infizierung durch Trojan.Encoder.12544 vorzubeugen, empfehlen wir, Backups von kritischen Daten auf separaten Datenträgern zu erstellen und die Funktion «Schutz vor Datenverlust» in Dr.Web Antivirus zu aktivieren. Außerdem muss man alle Sicherheits-Updates des Betriebssystems installiert haben. Die Malware-Spezialisten von Doctor Web setzen die Analyse von Trojan.Encoder.12544 fort und halten Nutzer auf dem Laufenden.

Anleitung für Nutzer, die unter Trojan.Encoder.12544 gelitten haben

Mehr zum Trojaner

Frankfurt, 27. Juni 2017

Wegen Informationen über Angriffe eines Encoders gegen Öl-, Telekom- und Finanzunternehmen in Russland und der

Ukraine teilt Doctor Web mit, dass dieser Encoder von Dr.Web erfolgreich erkannt wird.

Anhand von Informationen, die unsere Spezialisten heute zur Verfügung haben, verbreitet sich der Trojaner ähnlich wie WannaCry. Es gibt aber noch keine genauen Daten, wie der Verbreitungsmechanismus aussieht. Einige Medien vergleichen den Schädling mit Petya (Trojaner, der von Dr.Web als Trojan.Ransom.369 erkannt wird), weil er wie ein Erpresser agiert. Die Verbreitungsmethode der neuen Bedrohung sieht aber anders als bei Petya aus.

Heute um 15:30 Uhr (CET) wurde der Trojaner in der Dr.Web Virendefinitionsdatei als Trojan.Encoder.12544 erfasst.

Das Team von Doctor Web ruft alle Nutzer auf, höchste Vorsicht walten zu lassen und verdächtige E-Mails nicht aufzumachen. Es ist außerdem empfehlenswert, Backups von sensiblen Daten zu machen und alle Sicherheits-Updates für installierte Apps zu installieren. Ein Virenschutz muss im System installiert sein.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web aktualisiert das Schutz-Modul gegen Exploits Dr.Web Shellguard (11.01.09.06190) und das Selbstschutz-Modul Dr.Web SelfPROtect (11.01.10.06210) in Dr.Web Produkten 11.0 für Windows, Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 10.0, 10.1 und Dr.Web AV-Desk 10.0. Das Selbstschutz-Modul wurde auch im Cure-Tool Dr.Web CureNet! aktualisiert. Das Update behebt früher entdeckte Fehler.

Ursachen für Detektionsfehler von Dr.Web Shellguard während der gleichzeitigen Nutzung von MS Word 2016 und Office Tab wurden behoben.

Ursachen für einen BSOD-Fehler im Selbstschutz-Modul auf Rechnern unter Windows 2008 R2 wurden auch beseitigt.

Das Update erfolgt automatisch. Anschließend ist der Neustart Ihres Rechners erforderlich.

Frankfurt, 26. Juni 2017

Der IT-Sicherheitsspezialist Doctor Web veröffentlicht Dr.Web Version 11.0 für Internet-Gateways Kerio unter Linux.

Die neue Version bietet Unterstützung für Kerio Control 9.2.1 und 9.2.2, während frühere Versionen des Internet-Gateways vom Dr.Web 9.0 unterstützt werden.

Bevor Sie Dr.Web 11.0 für Internet-Gateways Kerio installieren, müssen Sie eine alte Version des Plug-ins deinstallieren.

Mehr zu den Systemanforderungen und zur Installation des Plug-ins finden Sie hier.