Frankfurt, 12. September 2017

Die Anzahl von böswilligen Apps, die smarte Geräte unter Linux infizieren, wächst ununterbrochen. Ein wesentlicher Teil davon sind für DDoS-Angriffe und für die Gewährleistung der Anonymität im Netz gedacht. Wie die Analyse von Doctor Web zeigt, nutzen Cyber-Kriminelle Linux-Trojaner für einen massenhaften Versand von Spam-Mails.

Es handelt sich um den Schädling Linux.ProxyM, von dem wir im Juni berichtet haben. Dieser Trojaner startet auf einem infizierten Gerät einen SOCKS-Proxyserver und ist in der Lage, Honeypots zu entdecken, die von Sicherheitsspezialisten als Attrappe für Übeltäter dient. Nachdem der Schädling eine Bestätigung von seinem Verwaltungsserver erhalten hat, lädt er von diesem Server zwei Internetadressen, unter denen er eine Liste von Benutzernamen und Passwörtern findet und für seinen SOCKS-Proxyserver verwendet. Diesen Trojaner gibt es für Geräte mit x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. Linux.ProxyM kann praktisch auf allen Geräten unter Linux, u.a. Router, TV-Konsolen und andere Hardware laufen.

Die Virenanalysten von Doctor Web fanden heraus, dass Übeltäter mit Hilfe von Linux.ProxyM Spam-Mails versenden. Vom Verwaltungsserver kommt auf das infizierte Gerät ein Befehl, der die Adresse eines SMTP-Servers einen Benutzernamen und ein Passwort, eine Liste von E-Mail-Adressen und ein Muster der E-Mail enthält. In den E-Mails werden Webseiten für Erwachsene beworben. Eine typische Nachricht, die mittels der durch Linux.ProxyM infizierten Geräte versendet wird, sieht wie folgt aus:

Subject: Kendra asked if you like hipster girls
        
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

Laut der Statistik, die Doctor Web zur Verfügung steht, verschickt jedes infizierte Gerät etwa 400 Spam-Mails in 24 Stunden. Eine grafische Übersicht der durch Linux.ProxyM durchgeführten Angriffe ist wie folgt dargestellt:

Die Anzahl von einzelnen IP-Adressen der infizierten Endgeräte können Sie dem nachfolgenden Diagramm entnehmen. Das Diagramm zeigt nur Bots an, die von den Analysten von Doctor Web registriert wurden. Eine tatsächliche Zahl von infizierten Geräten kann höher sein.

Die geografische Verteilung von Angriffen durch Linux.ProxyM in den letzten 30 Tagen ist wie folgt:

Es lässt sich vermuten, dass der Funktionsumfang des Schädlings erweitert wird. Das IoT ist längst im Blick der Cyber-Kriminellen. Davon zeugt eine weite Verbreitung von Malware für Linux, die Geräte mit der unterschiedlichen Architekturen infizieren kann.

Frankfurt, 31.August 2017

Im August registrierte das Team von Doctor Web mehrere massenhafte Mail-Angriffe gegen Administratoren von Webseiten. Übeltäter forderten sie auf, eine spezielle PHP-Datei auf die Webseite hochzuladen, was eine Webseite kompromittieren könnte. Ein neuer Mining-Trojaner, dessen Downloader einen Link zur Webseite von Brian Krebs enthält, wurde entdeckt. Und in die Dr.Web Virendefinitionsdatei haben unsere Sicherheitsspezialisten Downloader des Linux-Trojaners Linux- Hajime für Geräte mit der MIPS- und MIPSEL-Architektur aufgenommen.

Bedrohung des Monats

Netzwürmer unter dem Namen Linux.Hajime sind bereits seit 2016 bekannt. Zu deren Verbreitung verwenden Cyber-Kriminelle ein Telnet-Protokoll. Nach der Ermittlung eines Passwortes und Autorisierung auf einem Zielgerät speichert dort das infizierende Plug-in einen Downloader. Vom PC, von dem ein Angriff durchgeführt wird, lädt er ein Hauptmodul des Trojaners herunter und bringt das infizierte Gerät in ein dezentrales Botnet ein. Virenschutz-Apps konnten Linux.Hajime nur für Geräte mit der ARM-Architektur erkennen. Die Virenanalysten von Doctor Web trugen funktionsähnliche böswillige Apps für MIPS- und MIPSEL-Geräte ein.

Der Löwenanteil von Infizierungen durch Linux.Hajime entfällt auf Mexico. Weiter folgen die Türkei und Brasilien. Mehr Informationen zu Hajime-Downloadern, die in die Dr.Web Virendefinitionsdatei als Linux.DownLoader.506 und Linux.DownLoader.356 eingetragen wurden, finden Sie hier.

Dr.Web Statistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Serverstatistik

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Trojan.PWS.Stealer

Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.

VBS.DownLoader

Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.

Trojan.Encoder.13570

Erpresser, der für die Entschlüsselung von Daten Geld verlangt.

Encoder

Support-Anfragen wegen Encoder im August:

• Trojan.Encoder.858 — 29.21% Anfragen;
• Trojan.Encoder.567 — 4.02% Anfragen;
• Trojan.Encoder.761 — 1.85% Anfragen;
• Trojan.Encoder.11464 — 1.85% Anfragen;
• Trojan.Encoder.741 — 1.55% Anfragen
• Trojan.Encoder.3976 — 1.08% Anfragen.

Böswillige Webseiten

Im August 2017 wurden 275 399 Internetadressen in die Datenbank von nicht empfohlenen

Auf die Liste von nicht empfohlenen Webseiten kommen nicht selten bereits attackierte Homepages. Auf diesen sind unter anderem Szenarien anzutreffen, die Besucherzahlen künstlich steigern und sogar Malware verbreiten. Bei Angriffen auf Webseiten sammeln Übeltäter Daten zu angegriffenen Webseiten, u.a. Code, CMS, Subdomains, Browser und Version des Web-Servers usw. Wenn DNS-Server, die eine Webseite bedienen, richtig konfiguriert sind, können Cyber-Kriminelle keine Daten zur Domainzone erhalten. Bei falsch eingestellten DNS-Servern kann aber ein Übeltäter mittels einer AXFR-Anfrage an alle Informationen zu registrierten Subdomains gelangen. Eine falsche Einstellung von DNS-Servern öffnet zwar keine Sicherheitslücken, kann aber dazu führen, dass eine Webseite kompromittiert wird. Mehr dazu finden Sie hier.

Andere Ereignisse

Im August haben die Virenanalysten von Doctor Web einen neuen Schädling für Linux in die Dr.Web Virendefinitionsdatei aufgenommen - Linux.BtcMine.26. Der Trojaner ist zum Mining von Kryptowährung von Monero (XMR) gedacht und verbreitet sich wie Linux.Mirai: Cyber-Kriminelle stellen eine Verbindung zum Zielgerät via Telnet her, indem sie einen Benutzernamen und ein Passwort ermitteln und auf dem Gerät einen Downloader speichern. Anschließend starten sie die böswillige App durch einen Befehl und diese lädt einen weiteren Trojaner nach.

Linux.BtcMine.26 zeichnet sich durch eine Besonderheit aus: der Code enthält einen Link zur Webseite krebsonsecurity.com, die einem bekannten Sicherheitsspezialisten Brian Krebs gehört. Mehr dazu lesen Sie in unseren News.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im August wurden auf Google Play mehrere böswillige Android-Apps entdeckt. Trojaner, die als Android.Click.268 und Android.Click.274 klassifiziert wurden, verübten DDoS-Attacken auf Netzwerke. Und Android.Click.269 rief vorgegebene Webseiten auf, klickte auf Banner und besorgte somit Cyber-Kriminellen etwas Geld. Ein weiterer Schädling, der Android.BankBot.225.origin heißt, verfälschte Eingabefelder für Banking-Apps und klaute sensible Daten. Außerdem wurde auf Google Play Android.MulDrop.1067 entdeckt, der weitere Trojaner installieren soll.

Hauptereignisse im August 2017:

• Neuer Android-Trojaner, der DDoS-Angriffe auf Webseiten durchführt;
• Banking-Trojaner auf Google Play entdeckt;
• Dropper, der andere Trojaner installieren soll, auf Google Play entdeckt.

Mehr zur mobilen Sicherheitsszene lesen Sie hier.

July 31, 2017

Zusammenfassung

Der Juli ist in der Regel kein Monat für aufsehenerregende Ereignisse. Im Juli haben aber die Sicherheitsspezialisten von Doctor Web in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt. Später wurde auch eine Verbreitungsquelle von BackDoor.Dande aufgespürt. Ende Juli entdeckte man auf der Webseite für öffentliche Services gosuslugi.ru einen Schadcode. Im Juli wurden auch mehrere böswillige Apps für Android gefunden.

Bedrohung des Monats

Die beliebte App M.E.Doc zum Dokumentenmanagement wurde von Intellect Service entwickelt. In der Komponente der App, die ZvitPublishedObjects.Server.MeCom heißt, haben Virenanalysten von Doctor Web einen Eintrag entdeckt, der für den Schlüssel des Windows-Registry typisch ist: HKCU\SOFTWARE\WC.

Dieser Schlüssel wurde von Trojan.Encoder.12703 verwendet. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte den gleichen Hash wie das von Doctor Web analysierte Muster. So konnten Virenanalysten von Doctor Web zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden. Mehr dazu finden Sie hier.

Statistik

Dr.Web Antivirus

• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.BtcMine
  Familie von Trojanern, die unerlaubt CPU-Ressourcen des PCs zum Mining von der Kryptowährung wie Bitcoin anzapfen.

Serverstatistik

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die auf den Rechner weitere böswillige Apps herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.InstallCore
  Familie von Installationsassistent für unerwünschte Apps.
• Trojan.DownLoader
  Trojaner, die zum Herunterlanden von anderen Apps geeignet sind.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
• Trojan.Encoder.6218
  Erpresser, der für die Entschlüsselung von Daten Geld verlangt.
• Trojan.InstallCore
  Installationsassistenten für böswillige und unerwünschte Apps.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Joke.Locker.1.origin
  Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.
• Android.SmsSend.20784
  Böswillige Software, die Nutzern kostspielige Services unterschiebt.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Daten klauen sollen.

Encoder

Support-Anfragen wegen Encoder im Juli:

• Trojan.Encoder.858 — 34.80% Anfragen;
• Trojan.Encoder.567 — 8.21% Anfragen;
• Trojan.Encoder.761 — 3.19% Anfragen;
• Trojan.Encoder.5342 — 3.04% Anfragen;
• Trojan.Encoder.11423 — 2.13% Anfragen;
• Trojan.Encoder.11432 — 1.98% Anfragen;

Böswillige Webseiten

Im Juli 2017 wurden 327 295 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Mitte Juli wurde auf der russischen Webseite für elektronische Services gosuslugi.ru ein potenzieller Schadcode entdeckt. Dieser Code ließ den Browser jedes Benutzers mit einer von 15 Domainadressen, von denen 5 niederländischen Unternehmen gehören, verbinden. Bei der dynamischen Generierung von Webseiten wurde auch ein Container <iframe> eingefügt. Dadurch konnte man den Browsern beliebige Daten abfragen. Alle Sicherheitslücken der Webseite wurden von der Administration von gosuslugi.ru nach der Veröffentlichung der Meldung über den Vorfall geschlossen.

Andere Ereignisse

Im Jahre 2011 haben unsere Analysten den Trojaner BackDoor.Dande gemeldet, der Pharmaunternehmen und Apotheken ausspionierte. Nach der Analyse der Festplatte, die von einem geschädigten Nutzer zur Verfügung gestellt wurde, kam man zum Schluss, dass der Trojaner von einer ePrica-Komponente heruntergeladen und installiert wurde. Dieses Modul lud vom Server, der der Firma Spargo Technologii gehört, den Installationsassistenten von BackDoor.Dande herunter, der eine Backdoor auf den zu infizierenden PCs startete. Das fragwürdige Modul war mit der digitalen Signatur «Spargo» versehen.

Die von Doctor Web durchgeführte Analyse zeigte, dass BackDoor.Dande in eine frühere Version des Installationsassistenten von ePrica eingebettet wurde. Unter den Modulen des Trojaners sind ein Installationsassistent sowie Komponenten zur Sammlung von Einkaufsdaten zu Medikamenten zu finden. Da die Backdoor auch nach der Entfernung von ePrica im System weiterhin bestand, konnten Cyber-Kriminelle Nutzer laufend ausspionieren. Mehr zu Ermittlungen im Fall ePrica, die von Doctor Web durchgeführt wurden, finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Juli haben die Sicherheitsspezialisten von Doctor Web im auf Google Play beliebten Spiel BlazBlue Android.DownLoader.558.origin entdeckt. Der Schädling konnte beliebige ungeprüfte App-Komponenten herunterladen und starten. Später wurde der Trojaner Android.BankBot.211.origin erforscht. Er konnte infizierte mobile Endgeräte verwalten und klaute vertrauliche Daten wie Logins und Passwörter. Ende Juli wurde der Trojaner Android.Triada.231 entdeckt, der von Cyber-Kriminellen in eine der Systembibliotheken von Android eingebettet wurde. Der Schädling wurde in Prozesse aller laufenden Apps integriert und startete einzelne Module des Trojaners.

Hauptereignisse im Juni 2017:

• Entdeckung eines Android-Trojaners in Android-Firmware von einigen mobilen Geräten;
• Entdeckung eines Download-Trojaner auf Google Play;
• Entdeckung eines Banken-Trojaners, der infizierte Geräte steuern und vertrauliche Daten klauen kann.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 31. Juli 2017

Im Juli haben die Sicherheitsanalysten von Doctor Web auf einigen Smartphone-Modellen unter Android einen Trojaner aufgespürt, der in einer Systembibliothek von Android eingebettet war. Der Schädling konnte u.a. in laufende Prozesse eindringen und weitere böswillige Module starten. Darüber hinaus haben die Analysten von Doctor Web auf Google Play ein Spiel ausfindig gemacht, das mit einem Download-Trojaner ausgerüstet war. Darüber hinaus hat man noch einen neuen gefährlichen Trojaner analysiert, der sich die Kontrolle über infizierte Geräte und vertrauliche Daten von Nutzern sichert.

Bedrohung des Monats

Android.Triada.231 der in einer Systembibliothek von Android eingebettet war, konnte in laufende Prozesse eindringen und unsichtbar für den Benutzer weitere Trojaner-Module herunterladen und starten. Der Trojaner wurde auf mehreren Android-Modellen entdeckt.

Besonderheiten von Android.Triada.231 sind wie folgt:

• Die Einbettung in die Systembibliothek ist auf Ebene des Quellcodes realisiert;
• Der Schädling bettet sich in laufende Prozesse ein und integriert in diese böswillige Module;
• Um den Trojaner zu installieren, ist die Neuinstallation des Betriebssystems erforderlich.

Mehr zum Trojaner finden Sie in dieser Mitteilung.

Statistik von Dr.Web Produkten für Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Trojaner, die zum Herunterladen anderer Apps gedacht sind.

Android.HiddenAds.85.origin

Android.HiddenAds.68.origin

Android.HiddenAds.83.origin

Trojaner, die zum Anzeigen anderer Apps gedacht sind, werden unter dem Deckmantel beliebter Apps verbreitet und im Systemverzeichnis unsichtbar installiert.

Adware.Avazu.8.origin

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Adware.Cootek.1.origin

Unerwünschte App-Module, die in Android-Apps eingebettet werden und zum Anzeigen auf mobilen Geräten gedacht sind.

Trojaner auf Google Play

Im Juli haben Sicherheitsspezialisten von Doctor Web auf Google Play Android.DownLoader.558.origin entdeckt, der in BlazBlue eingebettet ist. Der Schädling ist im Update-Modul integriert und kann ungeprüfte Komponenten von Apps herunterladen. Mehr Informationen zu Android.DownLoader.558.origin finden Sie hier.

Bankentrojaner

Im Monat Juli wurde der Trojaner Android.BankBot.211.origin entdeckt, der sich einen Zugang zum Accessibility Service unter Android sichern wollte. Über erweiterte Möglichkeiten konnte er infizierte Geräte steuern und Daten, die über die Tastatur eingegeben werden, abfangen. Außerdem fischte Android.BankBot.211.origin vertrauliche Daten aus fingierten Formularen heraus, die in Online-Banking- und Zahlungs-Apps angezeigt wurden. Mehr zur Funktionsweise des Trojaners können Sie hier lesen.

Virenschreiber greifen Android-Nutzer weiterhin an. Ständig erweitern sie die Funktionalität von Trojanern und versuchen, diese mit allen zugänglichen Methoden zu verbreiten. Für einen zuverlässigen Schutz gegen Malware empfehlen wir Dr.Web Produkte für Android zu installieren.

Frankfurt, 27. Juli 2017

Virenanalysten von Doctor Web haben einen Schädling entdeckt, der in die Firmware von Android-Geräten eingebettet ist. Der Trojaner, der unter dem Namen Android.Triada.231 geführt wird, ist in eine Systembibliothek integriert, dringt in Prozesse laufender Apps ein und kann unter anderem weitere Module herunterladen.

Trojaner der Familie Android.Triada betten sich in den Systemprozess der Komponente Zygote ein. Diese ist für das Starten von Apps verantwortlich. Durch die Infizierung von Zygote werden Schädlinge in sämtliche laufende Apps eingebettet, sichern sich deren Rechte und funktionieren mit ihnen als Ganzes. Ein solcher Schädling ist dabei in der Lage, weitere böswillige Module herunterzuladen und zu starten.

Im Unterschied zu anderen Vertretern dieser Familie, die sich root-Privilegien zu sichern versuchen, ist der von unseren Analysten entdeckte Trojaner Android.Triada.231 in die Systembibliothek libandroid_runtime.so integriert. Seine modifizierte Version wurde gleichzeitig auf mehreren infizierten Gerätetypen wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20 entdeckt. Die Bibliothek libandroid_runtime.so wird von allen Android-Apps verwendet, deshalb ist der Schadcode im Speicher aller gestarteten Apps vorhanden.

Android.Triada.231 wurde in den Quellcode eingefügt. Deshalb lässt sich annehmen, dass Insider oder unseriöse Partner hier die Finger im Spiel haben.

Android.Triada.231 ist in libandroid_runtime.so so integriert und erhält einen Befehl jedes Mal, wenn eine beliebige App einen Eintrag im Systemprotokoll macht. Da der Dienst namens Zygote früher als andere Apps startet, wird der Trojaner durch Zygote ausgeführt.

Nach der Initialisierung nimmt der Schädling Einstellungen vor, erstellt ein Verzeichnis und prüft, wo er läuft. Wenn der Trojaner unter Dalvik läuft, fängt er eine der Systemmethoden ab, kann alle Apps überwachen und böswillige Aktivitäten durchführen.

Die Hauptfunktion von Android.Triada.231 ist es, einen unsichtbaren Start von böswilligen Modulen zu gewährleisten, die ihrerseits weitere böswillige Komponenten des Trojaners herunterladen können. Um die letzteren zu starten, prüft der Schädling, ob ein spezielles Verzeichnis vorhanden ist. Der Name des Verzeichnisses soll einen Wert MD5 enthalten. Wenn Android.Triada.231 ein solches Verzeichnis findet, sucht er darin nach der Datei 32.mmd oder 64.mmd (für 32- und 64-Bit-Versionen). Wenn es diese Datei gibt, entschlüsselt sie der Trojaner zunächst und speichert diese dann unter dem Namen libcnfgp.so. Anschließend lädt der Bösewicht diese in den Hauptspeicher und löscht die entschlüsselte Datei. Wenn der Schädling kein passendes Objekt findet, sucht er nach der Datei 36.jmd. Android.Triada.231 entschlüsselt diese, speichert unter dem Namen mms-core.jar, und startet mi Hilfe von DexClassLoader. Anschließend wird die vom ihm erstellte Kopie gelöscht.

So kann sich Android.Triada.231 in verschiedene Module einbetten und auf laufende Programme Einfluss nehmen. So können Virenschreiber jedes Mal einen Befehl zum Herunterladen und Starten von böswilligen Plug-ins abgeben und dadurch Cyber-Spionage betreiben.

Außerdem kann Android.Triada.231 aus der Bibliothek libandroid_runtime.so ein Trojaner-Modul Android.Triada.194.origin extrahieren, das dort verschlüsselt gespeichert ist. Seine Hauptfunktion ist es, weitere böswillige Komponenten herunterzuladen und die Interaktion mit diesen zu gewährleisten.

Da Android.Triada.231 in eine von Bibliotheken integriert ist und im Systemverzeichnis liegt, kann er mit Standardtools nicht entfernt werden. Das einzige Mittel im Kampf mit dem Trojaner ist die Installation einer „sauberen“ Android-Firmware. Die Sicherheitsspezialisten von Doctor Web haben Hersteller von kompromittierten Geräten benachrichtigt. Deshalb müssen Nutzer alle weiteren Updates installieren.

Mehr zum Trojaner

Frankfurt, 4. Juli 2017

Die Virenanalysten von Doctor Web haben das Update-Modul von M.E.Doc unter die Lupe genommen und herausgefunden, dass es auch mit der Verbreitung einer weiteren böswilligen App zusammenhängt. Laut unabhängigen Untersuchungen war das Update-Modul von M.E.Doc die Verbreitungsquelle von Trojan.Encoder.12544, der auch unter den Namen NePetya, Petya.A, ExPetya und WannaCry-2 bekannt ist.

In den Mitteilungen hieß es, dass die Verbreitung von Trojan.Encoder.12544 über die App M.E.Doc erfolgte, die von Intellect Service entwickelt wurde. In einem der Module des Update-Systems von M.E.Doc mit dem Namen ZvitPublishedObjects.Server.MeCom haben die Virenanalysten von Doctor Web eine Signatur entdeckt, die einem Registry-Schlüssel von Windows entspricht: HKCU\SOFTWARE\WC.

Die Virenanalysten sind auf diesen Pfad aufmerksam geworden, weil Trojan.Encoder.12703 auf ihn in seinen Aktionen zugreift. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte dieselben Hash wie das von Doctor Web analysierte Muster. So konnten wir zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden:

So wurde auch auf Rechnern der Opfer der Encoder, der als NePetya, Petya.A, ExPetya und WannaCry-2 (Trojan.Encoder.12544) bekannt ist, gestartet.

In einem Interview auf der Reuters-Webseite haben die Entwickler von M.E.Doc behauptet, dass die von ihnen entwickelte App keinen böswilligen Code enthalte. Die Virenanalysten von Doctor Web kamen aufgrund von Daten aus der statistischen Codeanalyse zum Schluss, dass unbekannte Täter die App M.E.Doc infiziert haben. Diese Komponente wurde in die Dr.Web Virendefinitionsdatei als BackDoor.Medoc aufgenommen.

Frankfurt, 3. Juli 2017

Trojan.Encoder.12544 sorgte im Juni für Schlagzeilen. Der Schädling ist in den Medien als Petya, Petya.A, ExPetya und WannaCry-2 bekannt. Der Encoder infizierte viele Unternehmen, Organisationen und Privatpersonen weltweit. Anfang Juni haben Cyber-Kriminelle zwei Schädlinge für Linux verbreitet: Der eine installiert auf infizierten PCs eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Mitte Juni wurde ein Miner entdeckt, der Windows-Nutzer infizierte. Außerdem wurden im Juni mehrere böswillige Apps für Android aufgespürt.

Hauptereignisse im Juni 2017

Bedrohung des Monats

Die Sicherheitsspezialisten von Doctor haben den Schädling, der in den Medien auch als Petya, Petya.A und WannaCry-2 bekannt ist, als Trojan.Encoder.12544 klassifiziert. Trojan.Encoder.12544 erhält eine Liste von lokalen und Domainnutzern, die auf dem infizierten PC autorisiert sind. Anschließend sucht er nach schreibbaren Netzwerk-Verzeichnissen, versucht diese zu öffnen und seine Kopie dort zu speichern. Einige Experten behaupteten, dass man eine perfc-Datei im Windows-Verzeichnis erstellen musste, um der Infizierung vorzubeugen. So kann man sich aber nicht gegen den Encoder schützen. Der Wurm prüft seinen wiederholten Neustart durch eine Datei ohne Erweiterung, die dem Namen des Schädlings entspricht. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung NICHT retten.

Vernichtet wird auch der VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht.

Währenddessen verschlüsselt Trojan.Encoder.12544 die MFT (Master File Table). Nach der Verschlüsselung wird von Trojan.Encoder.12544 eine Forderung nach Lösegeld angezeigt.

Die Virenanalysten von Doctor Web glauben, dass Trojan.Encoder.12544 zunächst zur Vernichtung von infizierten Rechnern und nicht als Lösegeldmaschine gedacht war. Dafür spricht vor allem die Tatsache, dass nur ein E-Mail-Konto verwendet wurde. Zweitens ist der Schlüssel, der auf dem Bildschirm angezeigt wird, eine zufällige Folge von Symbolen und hat nichts mit einem tatsächlichen Schlüssel zu tun. Drittens ist der von Cyber-Kriminellen übermittelte Schlüssel nicht der Schlüssel zur Kodierung der Dateitabelle. Im Endeffekt sind die Virenschreiber nicht in der Lage, Opfern einen geeigneten Schlüssel zur Verfügung zu stellen. Mehr zu Funktionsweise von Trojan.Encoder.12544 finden Sie in diesem Artikel. Technische Details gibt es hier.

Die Virenanalysten melden, dass die Infektionsquelle das Update-System der App MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, bei dem der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande zum Zweck der Wirtschaftsspionage eingesetzt wurde. Mehr zum Vorfall finden Sie in diesem Artikel. Technische Details gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.16
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.69
  Trojaner, die andere Malware auf infizierten PCs installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den böswilligen Code in den HTML-Code von Webseiten einbettet.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.Kbdmai.37
  Werbe-Trojaner, der im Browser verschiedene Webseiten aufruft.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Win32.HLLP.Neshta
  Dateivirus, der Virenanalysten seit 2005 bekannt ist, und Dateien wie EXE PE mit mind. 41472 Byte Größe infiziert. Bei der Infizierung schreibt sich der Schädling in den Beginn der infizierten Datei mit der Zeile: «Neshta 1.0 Made in Belarus».
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Android.Androrat.1.origin
  Spyware für Android.

Support-Anfragen wegen Encoder im Juni:

• Trojan.Encoder.858 — 28.51% Anfragen;
• Trojan.Encoder.10103 — 8.10% Anfragen;
• Trojan.Encoder.567 — 5.54% Anfragen;
• Trojan.Encoder.11432 — 4.10% Anfragen;
• Trojan.Encoder.10144 — 2.36% Anfragen;

Im Juni 2017 wurden 229 381 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für Linux

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server. Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei als Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Mehr Statistiken finden Sie hier.

Andere Ereignisse

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein.

Trojan.BtcMine.1259 wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der letzte verbreitet sich über die Backdoor DoublePulsar.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert und kann bis zu 80% der CPU-Ressourcen von PCs in Anspruch nehmen. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Mehr dazu finden Sie in diesem Artikel.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen. Darüber hinaus haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Hauptereignisse im Juni 2017:

• Android-Trojaner für Cyber-Spionage entdeckt;
• Bedrohungen auf Google Play entdeckt;
• Verbreitung eines Encoders für Android.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 3. Juli 2017

Im Juni haben die Virenanalysten von Doctor Web einen Android-Schädling entdeckt, der Cyber-Spionage gegen mobile Nutzer im Iran betrieb und Befehle von Cyber-Kriminellen ausführen konnte. Gleichzeitig wurden auf Google Play mehrere Bedrohungen entdeckt. Einer der Schädlinge wollte einen root-Zugang bekommen, bettete sich in Systembibliotheken ein und konnte Apps ohne Kenntnis der Nutzer installieren. Andere Schädlinge versendeten kostenpflichtige Kurznachrichten und abonnierten kostspielige Premium-Services. Auf Google Play wurde Riskware verbreitet, die eine Datenabwanderung als Folge haben konnte. Darüber hinaus wurde ein weiterer Android-Encoder aufgespürt.

Mobile Bedrohung des Monats

Im Juni haben die Virenanalysten von Doctor Android.Spy.377.origin entdeckt, der sich unter iranischen Nutzern breit machte. Der Schädling sammelte vertrauliche Daten und übermittelte diese an Cyber-Kriminelle. Außerdem konnte er ihre Befehle ausführen.

Android.Spy.377.origin:

• verbreitet sich als harmlose App;
• klaut Kurznachrichten, Kontakte aus dem Telefonbuch und dem Google-Konto;
• kann Fotos mit einer Frontalkamera machen;
• wird von Cyber-Kriminellen via Telegram verwaltet.

Mehr zum Trojaner finden Sie hier.

Statistik von Dr.Web Produkten für Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojaner, die lästige Werbung anzeigen und sich unter dem Deckmantel von anderen Apps verbreiten. Sie sind in der Lage, Apps ohne Kenntnis der Nutzer im Systemverzeichnis zu installieren.

Android.DownLoader.337.origin

Trojaner, der andere Apps herunterladen kann.

Android.Triada.264.origin

<

Multifunktionaler Trojaner, die verschiedene böswillige Aktionen durchführen.

Statistik von Dr.Web Produkten für Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Unerwünschte App-Module, die in Android-Apps eingebaut werden und lästige Werbung anzeigen.

Bedrohungen auf Google Play

Im vergangenen Monat haben Virenanalysten auf Google Play Riskware entdeckt, die die Arbeit mit in der Ukraine gesperrten sozialen Netzwerken «VKontakte» und «Odnoklassniki» ermöglichen. Diese Apps wurden in die Virendefinitionsdatei als Program.PWS.1 aufgenommen. Die Riskware nutzte einen Server-Anonymizer, um Zugangseinschränkungen zu umgehen. Die Benutzerdaten wie Name und Passwort wurden aber nicht verschlüsselt. Mehr dazu finden Sie auf der Webseite von Doctor Web.

Im Juni wurden auf Google Play Trojaner der Familie Android.Dvmap entdeckt. Beim Starten versuchen diese Schädlinge einen root-Zugang zu bekommen, infizieren einige Systembibliotheken und installieren zusätzliche Software-Komponenten. Diese Trojaner können auch Befehle von Cyber-Kriminellen erhalten und Apps ohne Kenntnis der Nutzer herunterladen und starten.

Andere Trojaner, die sich auf Google Play verbreiteten, wurden in Dr.Web Virendefinitionsdatei als Android.SmsSend.1907.origin und Android.SmsSend.1908.origin aufgenommen. Die Übeltäter haben diese in harmlose Apps eingebaut. Diese Apps versendeten Kurznachrichten an kostenpflichtige Nummern und abonnierten kostspielige Premium-Services. Anschließend löschten Trojaner alle eingegangenen SMS, damit Nutzer keine Kenntnis über die abonnierten Services bekommen konnte.

Encoder

Im Juni wurde Android.Encoder.3.origin entdeckt, der chinesische Android-Nutzer angriff und Daten auf der SD-Karte verschlüsselte. Dessen Entwickler ließen sich von WannaCry inspirieren, der 2017 Hunderte von Rechnern weltweit infizierte. Die Virenschreiber haben ein ähnliches Format der Lösegeldforderung benutzt.

Cyber-Kriminelle verlangten von Opfern ein Lösegeld in Höhe von CNY 20,-. Jeden dritten Tag wuchs der Betrag aufs Doppelte. Wenn die Verbrecher nach einer Woche nicht an das Geld kommen konnten, löschte Android.Encoder.3.origin verschlüsselte Dateien.

Böswillige und potenziell gefährliche Apps für Android gelangen auf mobile Endgeräte nicht nur beim Herunterladen von verschiedenen Webseiten, sondern auch vom Google Play. Android-Nutzer müssen höchste Vorsicht walten lassen, wenn sie unbekannte Apps installieren, und Dr.Web Produkte für Android nutzen.

Frankfurt, 30. Juni 2017

Am 27. Juni twitterte Amit Serper, dass man eine Methode gefunden habe, die der Datenverschlüsselung durch den Encoder Petya zu 100% vorbeugen soll. Anleitungen wie man das macht, haben auch mehrere Medien veröffentlicht. Doctor Web dementiert, dass all diese Methoden effektiv sind.

In veröffentlichten Artikeln heißt es, dass es eine Methode gibt, mit der man die Aktivierung von Trojan.Encoder.12544 unterbinden kann, indem man im Verzeichnis C:\Windows eine perfc-Datei erstellt. Einige weisen auch auf Dateien hin, die es für den Benutzer machen können, z.B.: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Ähnliche Anleitungen sind unter folgenden Adressen zu finden:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Doctor Web erklärt, dass diese Methode gegen Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya. A, ExPetya und WannaCry-2 bekannt ist, aus folgenden Gründen nicht effektiv ist:

1. Die Datei, mit der Trojan.Encoder.12544 die Kontrolle über den Neustart verfügt, hängt vom Dateinamen des Trojaners ab. Wenn Cyber-Kriminelle die böswillige Datei umbenennen, schützt eine perfc-Datei im C:\Windows файла nicht gegen die Infizierung.
2. Der Trojaner prüft, ob eine perfc-Datei vorhanden ist, nur dann, wenn er über ausreichende Privilegien im System verfügt.

Die Virenanalysten von Doctor Web haben eine vorläufige Analyse von Trojan.Encoder.12544 veröffentlicht, mit der Sie sich auf unserer Webseite bekannt machen können.

29 июня 2017 года

Aus verschiedenen Quellen hieß es, dass Trojan.Encoder.12544, der auch unter den Namen Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist, in Betriebssysteme über das Update-Modul von MEDoc eindringen konnte. Diese App dient zur Unternehmenssteuererfassung. Virenanalysten von Doctor Web sind mit einer solchen Verbreitungsmethode für Malware bereits in Berührung gekommen und wissen, wie sich solche Vorfälle vermeiden lassen.

Die Virenanalysten, die Trojan.Encoder.12544 untersucht haben, melden, dass die Infektionsquelle für den Encoder das Update-System von MEDoc war. Diese App hilft ukrainischen Nutzern bei der Buchführung. Man konnte herausfinden, dass das in MEDoc mitgelieferte Update-Tool EzVit.exe zu einem bestimmten Zeitpunkt den cmd-Befehl ausführte, währenddessen in den Speicher eine böswillige Bibliothek hochgeladen wurde. In dieser Bibliothek ist die Hauptfunktion von Trojan.Encoder.12544 realisiert. Da der Schädling sich selbst über eine Lücke im SMB-Protokoll verbreiten und Logindaten von Windows-Nutzern klauen kann, reicht ein einziger infizierter Rechner für die weitere Infizierung.

Noch 2012 haben die Virenanalysten von Doctor Web einen gezielten Angriff gegen eine Apothekenkette und einige Pharmaunternehmen entdeckt, wo der Schädling BackDoor.Dande zum Einsatz kam. Dieser Trojaner klaute interne Einkaufsdaten in Unternehmen. Beim Start prüfte die Backdoor, ob im System Apps zur Bestellung und Erfassung von medizinischen Präparaten vorhanden waren. Der Schädling brach sofort ab, wenn er keine entsprechende Software finden konnte. Infiziert wurden ca. 2800 Apotheken und Pharmaunternehmen. Man kann davon ausgehen, dass BackDoor.Dande für die Wirtschaftsspionage eingesetzt wurde.

Die Sicherheitsspezialisten von Doctor Web haben eine Untersuchung durchgeführt, die 4 Jahre dauerte. Man hat Festplatten einer geschädigten Firma analysiert und festgestellt, wann der Treiber, der alle anderen Komponenten von BackDoor.Dande startete, erstellt worden war. Die Daten zum Treiber konnte man in einer Paging File von Windows und im Protokoll der auf dem infizierten Rechner installierten Virenschutzsoftware Avast finden. Die Analyse dieser Dateien zeigte, dass der böswillige Treiber sofort nach dem Start der App ePrica (D:\ePrica\App\PriceCompareLoader.dll) erstellt wurde. Diese App ermöglicht es Managern, Preise für medizinische Präparate von verschiedenen Lieferanten zu analysieren. Die Untersuchung von ePrica zeigte, dass die App eine Bibliothek in den Speicher lädt, die den Schädling BackDoor.Dande herunterlädt, entschlüsselt und anschließend startet. Der Trojaner wurde von der Webseite http://ws.eprica.ru heruntergeladen, die der Firma Spargo Technologii gehört. Das Modul, das den Schädling verdeckt herunterladen konnte, verfügte dabei über eine gültige Signatur von Spargo. Alle geklauten Daten wurden auf Server im Ausland hochgeladen. In anderen Worten versteckte sich auch Trojan.Encoder.12544 wie die oben erwähnte Backdoor im Update-Modul.

Die beiden Fälle haben gezeigt, dass die Infrastruktur der Softwareentwicklung erhöhte Sicherheitsanforderungen haben muss. Vor allem auf Sicherheitsupdates muss man Rücksicht nehmen. Das gilt sowohl für Entwickler als auch Nutzer. Update-Module, die im Betriebssystem über Rechte für Installation und Starten von Apps verfügen, können zu einer Infektionsquelle werden. Im Fall MEDoc ist die Infizierung auf den Einbruch von Cyber-Kriminellen und den gehackten Server zurückzuführen. Im Fall BackDoor.Dande gibt es Hinweise auf absichtliche Aktionen von Insidern. Mit der solchen Methode können Cyber-Kriminelle einen effektiven Angriff gegen Nutzer beliebiger Software durchführen.

Frankfurt, 28. Juni 2017

Die Sicherheitsspezialisten von Doctor haben Trojan.Encoder.12544, der in den Medien auch als Petya, Petya.A и WannaCry-2 bekannt ist, unter die Lupe genommen. Nach der durchgeführten Analyse des Encoders möchten wir mit Nutzern technische Details des Angriffs teilen sowie ein paar Tipps geben, wie sich die Infizierung vermeiden lässt und was man tun kann, wenn die Infizierung bereits passiert ist.

Trojan.Encoder.12544, der in der letzten Zeit in den Medien für Schlagzeilen sorgte, stellt eine ernsthafte Gefahr für PCs unter Microsoft Windows dar. Aus einigen Quellen heißt es, dass es um eine neue Variante von Petya (Trojan.Ransom.369) geht. Trojan.Encoder.1254 weist aber nur einige wenige Ähnlichkeiten mit Petya auf. Der Schädling konnte in IT-Systeme von Behörden, Banken und NGOs in der Ukraine eindringen und mehrere Unternehmen in Russland infizieren.

Zum jetzigen Zeitpunkt ist es bekannt, dass der Trojaner Lücken ausnutzt, die früher zur Verbreitung von WannaCry verwendet wurden. Die massenhafte Verbreitung von Trojan.Encoder.12544 begann am Vormittag, dem 27. Juni. Beim Start auf dem infizierten PC sucht der Schädling im lokalen Netzwerk nach Rechnern und scannt anhand der Liste von IP-Adressen Ports 445 und 139. Nachdem Rechner mit diesen Ports gefunden wurden, versucht Trojan.Encoder.12544 diese über die bekannte SMB-Lücke (MS17-10) zu öffnen.

In seinem Körper enthält der Trojaner 32- und 64-Bit-Versionen von Mimikatz, der Passwörter von offenen Sitzungen unter Windows abfängt. Je nach Version des Betriebssystems entpackt er die entsprechende Version des Tools in einem temporären Verzeichnis und startet sie. Mit Hilfe von Mimikatz und zwei anderen Methoden erhält Trojan.Encoder.12544 eine Liste von lokalen Nutzern sowie Domainnutzern, die auf dem infizierten PC eingeloggt sind. Anschließend sucht er nach Ordnern im Netzwerk, versucht diese zu öffnen und dort seine Kopie zu speichern. Um PCs zu infizieren, zu denen er den Zugang erhalten hat, nutzt Trojan.Encoder.12544 das Tool zur PC-Remote-Verwaltung PsExec (im Körper des Trojaners enthalten) oder ein Standard-Console-Tool zum Aufrufen von Dateien Wmic.exe.

Seinen erneuten Start kontrolliert der Schädling mit Hilfe der Datei, die im Verzeichnis C:\Windows\ gespeichert wird. Diese Datei hat einen Namen, der dem Namen des Trojaners ohne Erweiterung entspricht. Da der Wurm, der aktuell verbreitet wird, den Namen perfc.dat besitzt, wird die Datei, die seinen wiederholten Start verbietet, C:\Windows\perfc heißen. Wenn der ursprüngliche Name des Trojaners angepasst wird, kann die Erstellung der Datei mit dem Namen perfc ohne Erweiterung auf C:\Windows\ (wie einige Anbieter empfehlen) Ihren PC vor der Infizierung nicht retten.

Nach dem Start definiert der Trojaner Privilegien für sich, lädt seine Kopie in den Speicher und überträgt ihr die Steuerung. Anschließend speichert er seine eigene Datei neu, fügt dort Datenmüll ein und löscht die Datei. Trojan.Encoder.12544 verschlüsselt und kopiert eine Boot-Signatur in einen anderen Bereich der Festplatte und speichert seine eigene Signatur. Vernichtet wird auch VBR (Volume Boot Record) der Festplatte C: der erste Sektor der Festplatte wird mit Datenmüll angereichert. So wird die Steuerung nach dem Neustart an den Trojaner übertragen. Der Trojaner zeigt auf dem Bildschirm des infizierten PCs den Text an, der einer Meldung des Standardtools zur Prüfung von CHDISK ähnlich aussieht. Währenddessen verschlüsselt Trojan.Encoder.12544 Daten auf Festplatten.

Der Trojaner verschlüsselt Daten nur auf Festplatten des PCs. Jede Festplatte wird separat verschlüsselt. Die Verschlüsselung erfolgt mit Hilfe von Algorithmen AES-128-CBC. Für jede Festplatte wird ein jeweiliger Schlüssel erstellt. Dieser Schlüssel wird mit Hilfe des Algorithmus RSA-2048 verschlüsselt und im Kernverzeichnis der Systemdatei mit dem Namen README.TXT gespeichert. Verschlüsselte Dateien erhalten keine zusätzliche Erweiterung. Außerdem kann der Trojaner Systemverzeichnisse löschen. Nach der Verschlüsselung verlangt Trojan.Encoder.12544 ein Lösegeld für die Dekodierung von Daten.

Obwohl das Support-Team von Doctor Web noch keine Anfragen wegen Trojan.Encoder.12544 erhalten hat, stellt er eine ernsthafte Gefahr dar. Eines der Merkmale der Infizierung ist die Datei perfc auf dem Datenträger C:\Windows. Wenn Sie eine solche Datei entdeckt haben, sehen Sie vom Neustart Ihres PCs ab!

Wenn der PC trotzdem neu gestartet wurde und beim Neustart eine Nachricht über den Start des Tools CHDISK erschienen ist, schalten Sie Ihren PC sofort aus. Eine Boot-Signatur wird in diesem Fall beschädigt, kann aber später mit Hilfe des Recovery-Tools von Windows oder der Recovery Console wiederhergestellt werden. Dafür können Sie auch Dr.Web LiveDisk benutzen. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Laden von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen. Um der Infizierung durch Trojan.Encoder.12544 vorzubeugen, empfehlen wir, Backups von kritischen Daten auf separaten Datenträgern zu erstellen und die Funktion «Schutz vor Datenverlust» in Dr.Web Antivirus zu aktivieren. Außerdem muss man alle Sicherheits-Updates des Betriebssystems installiert haben. Die Malware-Spezialisten von Doctor Web setzen die Analyse von Trojan.Encoder.12544 fort und halten Nutzer auf dem Laufenden.

Anleitung für Nutzer, die unter Trojan.Encoder.12544 gelitten haben

Mehr zum Trojaner

Frankfurt, 28. Juni 2017

Trojan.Encoder.12544 verbreitet sich über die Lücke im Protokoll SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) und das Exploit NSA "ETERNAL_BLUE". Dabei werden zur Verbreitung Ports 139 und 445 verwendet. Bei der Lücke geht es um den Typ Remote Code Execution, was die Infizierung des Rechners per Fernzugriff bedeutet.

1. Um das Login im Betriebssystem wiederherzustellen, müssen Sie MBR wiederherstellen (u.a. mit Hilfe von Recovery Console von Windows oder des Tools bootrec.exe /FixMbr).

   Dafür können Sie auch Dr.Web LiveDisk verwenden. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Booten von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen.

2. Trennen Sie Ihren PC vom lokalen Netzwerk und installieren Sie den Patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Auf Rechnern unter Windows XP und Windows 2003 müssen Sicherheits-Patches manuell installiert werden. Diese finden Sie unter den folgenden Links:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Installieren Sie Dr.Web Antivirus, stellen Sie eine Internetverbindung her, aktualisieren Sie die Virendatenbanken und starten Sie einen Scan.

Testversion für Heimanwender Testversion für Geschäftsanwender

Der Trojaner ersetzt den Master Boot Record (MBR), erstellt und führt den Neustart-Task im Task-Planer aus. Danach ist der Neustart des Betriebssystems wegen des ersetzten Boot-Sektors der Festplatte nicht möglich. Anschließend wird die Verschlüsselung von Daten gestartet. Für jede Festplatte wird ein separater AES-Schlüssel erstellt. Dieser existiert im Speicher, bis die Verschlüsselung der Festplatte abgeschlossen wird. Für ihn wird ein Open-Source-Schlüssel RSA verwendet. Nachdem der MBR erfolgreich ersetzt und der Neustart des PCs durchgeführt wurde, wird die (Master File Table) MFT verschlüsselt, wo Daten zu Inhalten der Festplatte gespeichert sind. Um die Inhalte wiederherzustellen, braucht man einen Schlüssel, d.h. die verschlüsselten Daten können ohne Schlüssel nicht dekodiert werden.

Zum jetzigen Zeitpunkt ist die Dekodierung noch nicht möglich. Es wird nach Lösungen gesucht. Wir halten Sie auf dem Laufenden.

Frankfurt, 27. Juni 2017

Wegen Informationen über Angriffe eines Encoders gegen Öl-, Telekom- und Finanzunternehmen in Russland und der

Ukraine teilt Doctor Web mit, dass dieser Encoder von Dr.Web erfolgreich erkannt wird.

Anhand von Informationen, die unsere Spezialisten heute zur Verfügung haben, verbreitet sich der Trojaner ähnlich wie WannaCry. Es gibt aber noch keine genauen Daten, wie der Verbreitungsmechanismus aussieht. Einige Medien vergleichen den Schädling mit Petya (Trojaner, der von Dr.Web als Trojan.Ransom.369 erkannt wird), weil er wie ein Erpresser agiert. Die Verbreitungsmethode der neuen Bedrohung sieht aber anders als bei Petya aus.

Heute um 15:30 Uhr (CET) wurde der Trojaner in der Dr.Web Virendefinitionsdatei als Trojan.Encoder.12544 erfasst.

Das Team von Doctor Web ruft alle Nutzer auf, höchste Vorsicht walten zu lassen und verdächtige E-Mails nicht aufzumachen. Es ist außerdem empfehlenswert, Backups von sensiblen Daten zu machen und alle Sicherheits-Updates für installierte Apps zu installieren. Ein Virenschutz muss im System installiert sein.

Frankfurt, 19. Juni 2017

Die Sicherheitsspezialisten von Doctor Web haben einen Android-Trojaner entdeckt, den Cyber-Kriminelle via Telegram steuern. Der Schädling klaut vertrauliche Daten der Nutzer und führt Befehle der Cyber-Kriminellen aus.

Der Trojaner, der als Android.Spy.377.origin erfasst wurde, stellt ein Remote Administration Tool dar. Es verbreitet sich als harmlose App, attackiert aber iranische Nutzer. Der Schädling kann unter dem Namen «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») und «Cleaner Pro» installiert werden.

Beim Start wird dem Nutzer vorgeschlagen, die Beliebtheit seines Profils bei Telegram-Nutzern zu prüfen. Der Trojaner fordert dabei seine ID an und zeigt vermeintliche „Profilbesucher“ an, nachdem das Opfer seine ID eingegeben hat. Diese Funktion soll beim Nutzer den Eindruck erwecken, dass die App keine Gefahr für ihn darstellt. Nach kurzer Zeit löscht Android.Spy.377.origin seine Menüverbindung aus der Liste von installierten Apps und versucht, seine Präsenz im System zu verschleiern.

Android.Spy.377.origin ist eine klassische Spyware, die Befehle von Cyber-Kriminellen ausführen kann. Der Hauptunterschied des Schädlings im Vergleich zu anderen Android-Trojanern ist die Verwaltung via Telegram. Das ist der erste Schädling für Android, der ausgerechnet via Telegram gesteuert wird.

Nach dem Löschen der Desktop-Verbindung kopiert Android.Spy.377.origin Kontakte aus dem Telefonbuch, ein- und ausgehende Kurznachrichten sowie Google-Konto-Informationen. Anschließend speichert er diese Daten in einer Textdatei in seinem Arbeitsverzeichnis. Außerdem macht der Trojaner ein Gesichtsfoto des Nutzers mit der Frontalkamera. Danach lädt der Spion das Foto mit geklauten Daten auf einen Remote-Server hoch und sendet an den Telegram-Bot der Cyber-Kriminellen ein Signal über eine erfolgreiche Infizierung des Geräts.

Nachfolgend sehen Sie Beispiele von Dateien, die Android.Spy.377.origin an Cyber-Kriminelle übermittelt.

Nachdem vertrauliche Daten geklaut wurden, baut Android.Spy.377.origin eine Verbindung zum Bot auf und wartet auf seine Befehle. Der Trojaner ist in der Lage, folgende Anweisungen zu erhalten:

• call – Anruf tätigen;
• sendmsg – SMS senden;
• getapps – Daten zu installieren Apps an einen Server übermitteln;
• getfiles – Informationen über alle vorhanden Dateien versenden;
• getloc – Standort des Geräts an einen Server versenden;
• upload – Vordefinierte Datei auf den Server hochladen;
• removeA – Vordefinierte Datei löschen;
• removeB – Gruppe von Dateien löschen;
• lstmsg – Datei mit allen ein- und ausgehenden Kurznachrichten an einen Server senden.

Der Telegram-Bot informiert auch Virenschreiber, sobald ein Befehl ausgeführt wurde.

Android.Spy.377.origin sammelt für Cyber-Kriminelle sensible Daten, verfolgt alle ein- und ausgehenden Kurznachrichten und ortet den Standort des Geräts. Wenn SMS empfangen oder versendet werden oder der Standort des Geräts sich ändert, benachrichtigt der Schädling den Telegram-Bot der Cyber-Kriminellen.

Die Virenanalysten von Doctor Web möchten Nutzer darauf aufmerksam machen, dass Virenschreiber den Trojaner als harmlose App verbreiten. Um sich gegen Android-Trojaner zu schützen, müssen Sie Apps nur von bekannten Entwicklern und aus verlässlichen Quellen wie Google Play herunterladen. Alle bekannten Versionen von Android.Spy.377.origin werden von Dr.Web Produkten für Android erfolgreich erkannt, deshalb stellt der Spion für unsere Anwender keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 15. Juni 2017

Mining-Trojaner sind Schädlinge, die CPU-Ressourcen von infizierten Geräten zur Gewinnung von Kryptowährung ausnutzen. Die Virenanalysten von Doctor Web haben einen solchen Trojaner, der Rechner unter Microsoft Windows infiziert, unter die Lupe genommen und liefern erste Ergebnisse der Analyse.

Dieser Schädling wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der Letzte verbreitet sich über die Backdoor DoublePulsar.

Trojan.BtcMine.1259 prüft nach seinem Start, ob auf dem infizierten PC seine Kopie läuft. Anschließend bestimmt er, wie viele Kerne der Prozessor besitzt. Wenn die Anzahl der Kerne seinen Parametern entspricht, wird seine Bibliothek entschlüsselt und in den Hauptspeicher hochgeladen. Diese Bibliothek ist eine abgeänderte Version des Remote-Verwaltungssystems mit offenem Quellcode (auch als Gh0st RAT oder BackDoor.Farfli.96 bekannt). Danach speichert Trojan.BtcMine.1259 auf der Festplatte seine Kopie und startet diese als Systemdienst. Nach einem erfolgreichen Start versucht der Trojaner, sein Update unter der in der Konfigurationsdatei angegebenen Adresse herunterzuladen.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Die Konfigurationsdatei dieses Moduls enthält Parameter für Kerne und CPU-Ressourcen zum Mining und bestimmt unter anderem, in welchem Zeitraum der Schädling automatisch neu gestartet werden soll. Der Trojaner verfolgt laufende Prozesse auf dem infizierten Rechner. Wenn ein Task-Manager gestartet wurde, bricht er ab.

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Immerhin wird die Malware, die CPU-Ressourcen des Rechners anzapft, von Cyber-Kriminellen weiter verbreitet. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein. Trojan.BtcMine.1259 sowie alle seine Komponenten werden von Dr.Web Antivirus erfolgreich entfernt, deshalb stellt der Schädling für unsere Nutzer keine Bedrohung dar.

Mehr zum Trojaner

Frankfurt, 5. Juni 2017

Virenanalysten von Doctor Web haben zwei Schädlinge für Linux untersucht. Der eine installiert auf dem infizierten Rechner eine App zum Mining von Kryptowährung, der andere startet einen Proxy-Server.

Der erste Trojaner wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Linux.MulDrop.14 aufgenommen. Die Verbreitung von Linux.MulDrop.14 begann in der zweiten Maihälfte. Der Schädling, der aus einem Skript besteht, in dem eine App zum Mining von Kryptowährung gespeichert ist, greift ausschließlich Rasberry-Pi-Rechner an. Linux.MulDrop.14 ersetzt zunächst ein Passwort auf dem infizierten Gerät, entpackt und startet den Miner. Anschließend sucht er im Netzwerkumfeld ununterbrochen nach Geräten mit dem geöffneten Port 22. Wenn eine Verbindung via SSH hergestellt werden konnte, versucht der Trojaner, auf infizierten Geräten seine Kopien auszuführen.

Der andere Schädling heißt Linux.ProxyM. Angriffe, bei denen er eingesetzt wurde, wurden bereits seit April 2017 registriert. Einen Höhepunkt erreichten sie aber Mitte Mai. Die zeitliche Verteilung von Angriffen durch Linux.ProxyM sieht wie folgt aus:

Ein Großteil von IP-Adressen, von denen Cyber-Angriffe durchgeführt werden, befindet sich in Russland. Danach folgen China und Taiwan. Die geografische Verteilung von Angriffen, wo Linux.ProxyM zum Einsatz kommt, finden Sie wie folgt:

Der Trojaner ist schlau und ist in der Lage, Honeypots (Server, die von Sicherheitsanalysten als Fallen für Malware verwendet werden) zu entdeckten. Nach seinem Start stellt er eine Verbindung zum Verwaltungsserver her, erhält von ihm eine Rückmeldung und startet auf dem infizierten Gerät den SOCKS-Proxy-Server. Cyber-Kriminelle können diesen zum Verdecken ihrer Identität nutzen.

Die beiden Trojaner werden durch Dr.Web Antivirus für Linux erfolgreich erkannt und entfernt, deshalb stellen sie für unsere Nutzer keine Gefahr dar.

• More about Linux.MulDrop.14
• More about Linux.ProxyM

Frankfurt, 31. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für Smartphones und Tablets unter Android. Im vergangenen Monat wurden auf Google Play mehrere Android-Trojaner entdeckt. Der eine lud aus dem Internet böswillige Apps und sammelte vertrauliche Daten. Der andere konnte einzelne böswillige Programmmodule herunterladen und aufdringlich Werbung anzeigen. Außerdem haben Cyber-Kriminelle im Mai einen Bankentrojaner verbreitet, der das Geld von Konten der Nutzer klaute.

Bedrohung des Monats

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten.

Besonderheiten von Android.RemoteCode.28:

• Hauptfunktionen des Trojaners befinden sich im verschlüsselten Dienstmodul;
• Android.RemoteCode.28 beginnt mit böswilligen Aktivitäten erst 8 Stunden nach seinem Start;
• Trojaner prüft das Gerät auf vorhandenen Emulator oder Debugger und bricht ab, wenn diese gefunden werden.

Statistik von Dr.Web Produkten für Android

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Trojaner, die aufdringliche Werbung anzeigen. Die Schädlinge verbreiten sich unter dem Deckmantel von beliebten Apps, die in einigen Fällen unsichtbar installiert werden.

• Android.Sprovider.9

Trojaner, der aufdringliche Werbung im Infobereich des Smartphones anzeigen, böswillige Apps herunterladen und installieren kann.

• Android.Triada.264.origin

Multifunktionaler Trojaner, der verschiedene Aktionen durchführen kann.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Unerwünschte Module, die in Android-Apps eingebettet werden und Werbung anzeigen.

Trojaner auf Google Play

Mitte Mai wurden auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Die Apps wurden vom Entwickler Sumifi Dev verbreitet. Dies ist nicht der einzige Fall, in dem der oben erwähnte Schädling auf Google Play vordringt. Ein ähnlicher Fall wurde von Doctor Web hier im Juli 2016 gemeldet. Kurz nach der Entdeckung von Android.Spy.308.origin aktualisierte der App-Entwickler seine Apps und löschte die Trojaner-Komponente. Nun stellen sie keine Gefahr für Nutzer dar.

Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus sammelt der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter.

Bankentrojaner

Im Mai haben Cyber-Kriminelle den Trojaner Android.BankBot.186.origin. verbreitet, der als MMS getarnt war. Nutzer erhielten Kurznachrichten mit einem Link. Wenn man dem Link folgt, öffnet sich eine böswillige Webseite, von der auf das mobile Gerät eine apk-Datei der schädlichen App heruntergeladen wird.

Android.BankBot.186.origin fordert Administratorprivilegien an, um seine Entfernung zu erschweren. Außerdem versucht er, die standardmäßige SMS-App auf dem Smartphone zu ersetzen. So will er das Sicherheitssystem von Android umgehen und die Möglichkeit bekommen, Kurznachrichten zu versenden und abzufangen. Danach prüft der Trojaner auf dem Gerät Guthaben von vorhandenen Bankkonten und überweist den Cyber-Kriminellen das Geld der Nutzer.

Böswillige Apps für mobile Endgeräte unter Android sind immer noch gefährlich. Trojaner können sich nicht nur über schädliche Webseiten, sondern auch über den offiziellen App-Katalog Google Play verbreiten. Um sich gegen Riskware und Malware zu schützen, installieren Sie Dr.Web für Android.

Frankfurt, 31.Mai 2017

Das Hauptereignis im Monat Mai war eine massenhafte Verbreitung des Schädlings WannaCry, der von Dr.Web als Trojan.Encoder.11432 erkannt wird. Der Wurm verbreitete sich selbständig und infizierte Netzwerk-Geräte über eine Lücke im SMB-Protokoll. Anschließend verschlüsselte er Dateien auf dem Rechner des Opfers und verlangte ein Lösegeld für die Entschlüsselung. Außerdem haben die Sicherheitsanalysten von Doctor Web den auf Lua geschriebenen Multikomponenten-Trojaner für Linux unter die Lupe genommen. MacOS blieb auch nicht im Hintergrund: Unsere Sicherheitsanalysten haben eine neue Backdoor aufgespürt.

Bedrohung des Monats

Von WannaCry haben bereits viele Medien berichtet. Der Verschlüsselungstrojaner wird von Dr.Web Antivirus als Trojan.Encoder.11432 klassifiziert und ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infiziert. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr.

Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich der massenhafte Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon. Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt er seine Arbeit ab. Mehr zum Schädling finden Sie hier. Eine technische Beschreibung des Trojaners gibt es hier.

Statistik von Dr.Web Antivirus

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Trojan.LoadMoney
  Download-Trojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Trojan.Moneyinst.133
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.Moneyinst.151
  Trojaner, der auf dem Rechner des Opfers andere Apps, u.a. Trojaner, installiert.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem Rechner klauen.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Trojan.Encoder.11432
  Netzwerk-Wurm, der auf dem Rechner des Opfers Encoder WannaCry ausführt.
• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• Android.Androrat.1.origin
  Spyware für Android.
• BackDoor.Bifrost.29284
  Vertreter der Backdoor-Trojaner sind in der Lage, Befehle von Kriminellen auszuführen.

Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen Verteilung von Support-Anfragen wegen Encoder im Mai:

• Trojan.Encoder.858 — 14.39% Anfragen;
• Trojan.Encoder.11432 — 8.36% Anfragen;
• Trojan.Encoder.3953 — 7.41% Anfragen;
• Trojan.Encoder.761 — 2.62% Anfragen;
• Trojan.Encoder.10144 — 2.60% Anfragen;
• Trojan.Encoder.567 — 2.47% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust

Mehr

Im Mai 2017 wurden 1 129 277 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Nicht empfohlene Webseiten

Weitere Ereignisse aus der IT-Sicherheitsszene

Anfang Mai wurde ein Trojaner entdeckt, der sich über Links in Kommentaren verbreitete. Übeltäter platzierten diese Links in der offiziellen VK-Gruppe von Doctor Web. Anschließend wurden Nutzer dazu aufgefordert, kostenlose Schlüssel für Dr.Web Antivirus herunterzuladen. Bei der angebotenen App ging es aber um den Trojaner Trojan.MulDrop7.26387.

Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, z.B. das Hintergrundbild von Windows zu ändern, das DVD-Laufwerk zu öffnen und zu schließen, Funktionen von Maustasten zu ändern, einen Satz mit Hilfe einer Sprach-App aussprechen zu lassen und sogar ein schreckliches Video auf dem Bildschirm eines Rechner anzuzeigen. Mehr zum Schädling finden Sie hier.

Malware für Linux

Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen. Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben. Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

Mehr Informationen zum Trojaner finden Sie hier. Die technische Beschreibung des Schädlings befindet sich hier.

Malware für macOS

Der letzte Frühlingsmonat von 2017 war durch die Verbreitung der Backdoor für macOS gekennzeichnet. Der Trojaner wurde in die Dr.Web Virendatenbank als Mac.BackDoor.Systemd.1 eingetragen. Die Backdoor ist in der Lage, folgende Befehle auszuführen:

• Liste mit Inhalten aus dem vordefinierten Verzeichnis erhalten;
• Datei lesen;
• Inhalte in einer Datei speichern;
• Dateiinhalte erhalten;
• Datei oder Ordner löschen;
• Datei oder Ordner umbenennen;
• Rechte für Datei oder Ordner (via Befehl chmod) anpassen;
• Besitzer einer Datei (via Befehl chown) anpassen;
• Ordner erstellen;
• Befehl in bash ausführen;
• Trojaner aktualisieren;
• Trojaner neu starten;
• IP-Adresse des Verwaltungsservers anpassen;
• Plug-in installieren.

Mehr Informationen zur Backdoor finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten. Darüber hinaus haben wir auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus klaut der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter. Außerdem haben Cyber-Kriminelle im Mai den Trojaner Android.BankBot.186.origin verbreitet, der als MMS getarnt war.

Hauptereignisse im Mai:

• Trojaner auf Google Play entdeckt;
• Verbreitung eines Android-Bankers, der das Geld der Nutzer klaut.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 25. Mai 2017

Malware für Linux-Betriebssysteme ist im Vergleich zu Windows nicht so weit verbreitet. Nichtsdestoweniger stellt sie eine ernsthafte Gefahr für Nutzer dar. Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen.

Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte. Es konnte aber kein einziger Trojaner für die CPU-Architektur SPARC entdeckt werden. Der Trojaner kann diesen Architekturtyp erfolgreich erkennen, es gibt aber keine Module dafür.

Alle im Linux.LuaBot vorhandenen Szenarien sind verbunden. Der Trojaner erstellt eine Liste von IP-Adressen, die einen Angriff starten. Anschließend versucht er, eine Verbindung zu anderen Geräten mittels der Login- und Passwortermittlung herzustellen. Skripts, die Netzwerkgeräte kapern sollen, sind in der Lage, die Architektur von anzugreifenden Geräten zu bestimmen und Honeypots (Server, die als Falle für Cyber-Kriminelle dienen) zu erkennen. Mit Hilfe von Honeypots untersuchen IT-Sicherheitsspezialisten die Methodik der Angriffe sowie Werkzeuge von Cyber-Kriminellen. Dabei werden Angriffe sowohl via Telnet als auch via SSH durchgeführt. Jedes Protokoll wird durch ein separates Lua-Szenario betreut. Wenn der Zugang zum Gerät gesichert ist, installiert das böswillige Skript den Trojaner Linux.LuaBot mit jeweiliger Architektur. Beim Angriff via Telnet wird auf das Zielgerät ein kleines Modul hochgeladen, das einen Trojaner herunterlädt. Beim Angriff via SSH wird der Trojaner direkt heruntergeladen.

Eines der Module von Linux.LuaBot stellt einen vollwertigen Webserver dar, der via HTTP funktioniert. Der Server kann auf dem infizierten Gerät eine App speichern und ausführen, eine Datei auf Anfrage übermitteln und Informationen zur Version des Trojaners weitergeben. Die Version von Linux.LuaBot, die erst im Mai erschienen ist, ist aber nicht in der Lage, die Version des Schädlings preiszugeben.

Linux.LuaBot kommuniziert mit dem Verwaltungsserver via HTTP. Dabei werden alle übermittelten Daten verschlüsselt. Um neue Konfigurationsdateien und Module zu finden, verwendet man ein P2P-Netzwerk, das auf dem Protokoll Bittorent DHT basiert. Dieses Protokoll ist üblich für Torrent-Netzwerke. Für das Update des Schädlings ist ein weiteres Skript verantwortlich. Wenn das P2P-Netzwerk nicht verfügbar ist, wird Linux.LuaBot durch ein anderes Szenario aktualisiert, indem Dateien auf das infizierte Gerät auf Anfrage hochgeladen werden. Dieses Szenario ist typisch für frühere Versionen des Trojaners.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben.

Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

Die Virenanalysten von Doctor Web kennen bereits mehrere Varianten von Linux.LuaBot, die sich durch den Funktionsumfang sowie mehrere Architekturbesonderheiten unterscheiden. Dr.Web Antivirus erkennt alle zur Zeit existierenden Bedrohungen als Linux.LuaBot.

Mehr zum Trojaner

Frankfurt, 17. Mai 2017

Am Freitag, dem 12. Mai wurden viele Computer auf der ganzen Welt durch einen Wurm namens WannaCry infiziert. Die Malwareanalysten von Doctor Web haben den Schädling unter die Lupe genommen und können mit Nutzern vorläufige Erkenntnisse teilen.

Der Schädling WannaCry ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infizieren kann. Dr.Web Antivirus erkennt alle Komponenten des Wurms als Trojan.Encoder.11432. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr. Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich ein massenhafter Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon.

Netzwerkwurm

Nach seinem Start versucht der Wurm, eine Anfrage an den vordefinierten Remote-Server zu senden. Wenn eine Rückmeldung vom Server vorliegt, schließt der Wurm seine Arbeit ab. Laut einigen Medienberichten konnte die Epidemie von WannaCry gestoppt werden, indem man die Domain des Remote-Servers hätte registriert können. Die Domain, unter welcher der Schädling seine Verbreitung begann, hätten Cyber-Kriminelle aus Versehen nicht registriert. Die Analyse zeigt aber, dass sich der Trojaner auf Rechnern verbreitet, die den Zugang zum lokalen Netzwerk, aber keine Internetverbindung haben. Es ist deshalb übereilt zu sagen, dass die Epidemie gestoppt werden konnte.

Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt der Bösewicht seine Arbeit ab.

Der Wurm startet auf dem infizierten PC und beginnt, nach den im lokalen Netzwerk des infizierten Rechners verfügbaren Servern sowie Rechnern mit zufälligen IP-Adressen im Internet zu suchen. Danach versucht er, eine Verbindung zum Port 445 aufzubauen. Wenn die Verbindung hergestellt wurde, infiziert er diese Rechner über eine Sicherheitslücke im SMB-Protokoll.

Dropper

Der Dropper ist eine weitere Komponente, die zur Installation einer böswilligen ausführbaren Datei im Betriebssystem dient. Der Dropper von WannaCry enthält ein passwortgeschütztes gezipptes Archiv mit dem Encoder, einen Bildschirmhintergrund von Windows mit der Forderung von Cyber-Kriminellen, eine Datei mit Adressen von onion-Servern, Angaben zum Bitcoin-Konto sowie ein Archiv mit Apps zum Interagieren mit dem anonymen Netzwerk Tor. Der Dropper bootet aus dem Körper des Wurms, wird im Betriebssystem installiert und startet seine Kopie als Systemservice, der einen zufälligen Namen zugeteilt bekommt. Wenn dies nicht gelingt, führt er sich als gewöhnliche Desktop-App aus. Die Hauptaufgabe des Droppers ist es, den Inhalt des Archivs auf der Festplatte zu speichern sowie den Verschlüsselungstrojaner zu dekodieren und zu starten.

Encoder

Trojan.Encoder.11432 verschlüsselt Dateien mit einem zufälligen Schlüssel. Die Datei enthält Informationen zur Länge des verschlüsselten Schlüssels, den verschlüsselten Schlüssel selbst, den Typ der Verschlüsselung und die Dateigröße. Während der Infizierung wird die Datei f.wnry erstellt. Darin wird eine Liste von Dateien gespeichert, die der Trojaner im Testmodus entschlüsseln kann.

Der Trojaner enthält einen Decoder, der auf dem infizierten PC Hintergrundkopien löscht und die Funktion der Systemwiederherstellung deaktiviert. Der Schädling wechselt den Bildschirmhintergrund von Windows gegen den nachfolgenden Hintergrund aus:

Anschließend entpackt er (oder lädt herunter) Apps zum Interagieren mit Tor und stellt Verbindungen zu onion-Servern her. Deren Adressen sind in der Konfigurationsdatei des Trojaners bereits vorhanden. Von Servern erhält er Angaben zum Bitcoin-Konto und speichert diese in der Konfigurationsdatei ab. Zum Datenaustausch mit onion-Servern verwendet Trojan.Encoder.11432 ein eigenes Protokoll.

Der Decoder ermöglicht die Entschlüsselung mehrerer Textdateien, deren Liste in der Datei f.wnry bereits vorhanden ist. Ein privater Schlüssel, der zur Entschlüsselung der Textdateien dient, ist in einer der Komponenten des Schädlings auch verfügbar. Deshalb können sie ohne Einsatz des Trojaners dekodiert werden. Die Entschlüsselung von restlichen Dateien (u.a. Textdateien) erfolgt unter Verwendung von verschiedenen Schlüsseln. Somit gibt es keine Garantie für eine erfolgreiche Dekodierung der durch den Trojaner beschädigten Daten – auch wenn das Lösegeld gezahlt wurde.

Leider ist zur Zeit die Dekodierung der durch Trojan.Encoder.11432 verschlüsselten Dateien nicht möglich.

Infizierungsmerkmale

Ihr Betriebssystem ist durch WannaCry infiziert, wenn:

• Systemservice "mssecsvc2.0" (sichtbarer Name "Microsoft Security Center (2.0) Service") vorhanden ist;
• Encoderdatei C:\WINDOWS\tasksche.exe vorhanden ist. Die vorherige Version des Schädlings ist in der Datei C:\WINDOWS\qeriuwjhrf gespeichert.

Was tun im Falle der Infizierung?

• Um die Verbreitung der Infektion einzudämmen, trennen Sie infizierte Workstations mit wichtigen Daten von beliebigen Netzwerken;
• Erstellen Sie ein Backup auf Datenträgern, die keine Verbindung zu anderen PCs haben.

Eine technische Beschreibung des Wurmes finden Sie hier.

Frankfurt, 15. Mai 2017

Am Freitag, dem 12. Mai wurden Computer auf der ganzen Welt von Trojan.Encoder.11432, der auch unter den Namen WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY und WNCRY bekannt ist, angegriffen. Als Folge sind Schäden bei Regierungs- und Nichtregierungsorganisationen sowie Privatpersonen entstanden. Dr.Web Nutzer waren aber noch vor der massenhaften Verbreitung des Schädlings sicher geschützt.

Die erste Version des Trojaners, die Dr.Web als Wanna Decryptor 1.0 kennt, wurde uns am 27. Mai 2017 um 07:20 Uhr zugeschickt. Wenige Stunden später wurden deren Kennungen um 11:51 Uhr in der Virendefinitionsdatei von Dr.Web erfasst.

Der Verschlüsselungstrojaner Trojan.Encoder.11432, der auch als WannaCry bekannt ist, begann sich aktiv am Freitagabend zu verbreiten. Am Wochenende wurden Großorganisationen weltweit angegriffen.

Das Team von Doctor Web erhielt ein Muster des Encoders am 12. Mai um 10:45 Uhr und nahm dieses in die Dr.Web Virendefinitionsdatei auf.

Noch bevor das Muster zur Verfügung stand, konnte der Schädling durch Dr.Web als BACKDOOR.Trojan erkannt werden.

Der Verschlüsselungstrojaner, der jetzt als Trojan.Encoder.11432 geführt wird, besteht aus vier Komponenten - Netzwurm, Dropper, Encoder und Decoder.

Trojan.Encoder.11432 verschlüsselt Dateien auf dem infizierten PC und fordert Lösegeld für die Dekodierung. Das Lösegeld soll in Bitcoin auf ein elektronisches Konto überwiesen werden.

Die massenhafte Verbreitung des Trojaners ist auf die Lücke im SMB-Protokoll zurückzuführen. Von dieser Sicherheitslücke sind alle Windows-Betriebssysteme bis auf Version 10 bedroht. Für Dr.Web Nutzer war die massenhafte Verbreitung von Trojan.Encoder.11432 aber von Anfang an keine Bedrohung.

Um die Einschleusung des Encoders auf Ihren PC zu verhindern, empfehlen wir Ihnen Folgendes:

• Update MS17-010, das unter technet.microsoft.com/en-us/library/security/ms17-010.aspx verfügbar ist, sowie alle aktuellen Sicherheitsupdates installieren;
• Virenschutz-App aktualisieren;
• Angreifbare Ports (139, 445) durch die Firewall schließen;
• Angreifbare Services im Betriebssystem deaktivieren;
• Auf Installation und Starten neuer Apps (ausführbare Dateien) verzichten;
• Unnötige Rechte der Benutzer (Ausführen und Installieren von neuen Apps) deaktivieren;
• Unnötige Services aus dem Betriebssystem löschen;
• Zugang zu Tor sperren.

Frankfurt, 28. April 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Malwarebericht für den Monat April 2017. Im Laufe des Monats haben Virenanalysten von Doctor Web die massenhafte Verbreitung eines gefährlichen Trojaners registriert und ein Exploit entdeckt, das Cyber-Kriminelle für eine neue Sicherheitslücke in Microsoft Word verwenden. Darüber hinaus haben unsere Virenanalysten andere böswillige Exemplare für Windows und Android analysiert.

Bedrohung des Monats

Der multifunktionale Trojaner, der unter dem Namen Trojan.MulDrop7.24844 geführt wird, verbreitet sich als archivierter E-Mail-Anhang.

Das Archiv enthält einen Container, der auf Autoit geschieben ist. Die Komponente, die auf dem infizierten PC Trojan.MulDrop7.24844 startet, wird von Dr.Web Antivirus als Program.RemoteAdmin.753 detektiert. Außerdem speichert der Trojaner zwei weitere Apps, die 32- und 64-Bit-Versionen von Mimikatz sind. Der Schädling fängt Passwörter aus offenen Sitzungen in Windows ab. Trojan.MulDrop7.24844 aktiviert den Keylogger, der eingegebene Daten speichert und gibt Cyber-Kriminellen einen Remote-Zugang zum infizierten PC via RDP (Remote Desktop Protocol). Mehr dazu finden Sie hier.

Statistik von Dr.Web Antivirus

• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.LoadMoney
  Download-Trojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Trojan.SMSSend.7306
  Trojaner mit einem Installationsassistenten, der Kurznachrichten an kostenpflichtige Nummern versenden kann. Mit dieser Funktion erpresst er Geld von Benutzern, die für die Installation einer App eine Kurznachricht versenden sollen.
• Win32.Virut.5
  Komplexer polymorpher Virus, der ausführbare Dateien infiziert und Rechner per Remote-Zugriff verwalten kann.

Serverstatistik von Doctor Web

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• BackDoor.Comet.3269
  Trojaner, der Befehle von Cyber-Kriminellen erhält und diesen einen Remote-Zugang zum infizierten PC bietet.

Malwarestatistik im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
• W97M.DownLoader
  Trojaner, die Sicherheitslücken in Office-Apps ausnutzen, und in der Lage sind, andere böswillige Apps herunterzuladen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• BackDoor.Bifrost.29284
  Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen
• Android.SmsSend.15044
  Schädling, der kostenpflichtige Services abonniert, indem er Kurznachrichten an vordefinierte Nummern versendet.
• Joke.Locker.1.origin
  Scherzprogramm für Android, welches den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.

Verschlüsselungstrojaner (Encoder)

• Trojan.Encoder.858 — 33.57% Anfragen;
• Trojan.Encoder.3953 — 8.97% Anfragen;
• Trojan.Encoder.567 — 3.80% Anfragen;
• Trojan.Encoder.10144 — 3.59% Anfragen;
• Trojan.Encoder.761 — 2.58% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust

Mehr Video zur Einstellung ansehen

Im April 2017 wurden 568.903 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Mitte April haben unsere Spezialisten ein Schema aufgedeckt, nach dem Cyber-Kriminelle Informationen über abgekartete Spiele verkauften.

In der Tat sind solche Informationen nicht vertrauenswürdig. Ein Benutzer, der an sie gelangen möchte, muss zunächst ein passwortgeschütztes RAR-Archiv herunterladen. Das Opfer erhält aber stattdessen eine böswillige App, die das Verhalten eines SFX-Archivs imitiert. Dieses Archiv enthält eine Textdatei, wo Spielergebnisse abhängig vom Benutzerpasswort unterschoben werden. Der Schädling wurde von unserem Virenanalystenteam als Trojan.Fraudster.2986 erfasst. Außerdem wurden Webseiten registriert, die das betrügerische Schema verbreiten.

Andere Ereignisse

Ende April wurde die Verbreitung von Trojan.DownLoader23.60762 registriert, der Passwörter aus beliebten Browsern klaute. Auf dem infizierten PC integriert sich der Trojaner in Prozesse des Browsers und fängt Funktionen ab, die für das Netzwerk verantwortlich sind. Der Schädling ist dabei in der Lage, folgende Befehle auszuführen:

• Datei aus einem temporären Verzeichnis auf der Festplatte des infizierten PCs starten;
• Sich in einen Prozess einbetten;
• Datei herunterladen;
• Ausführbare Datei starten;
• SQLite-Datenbank speichern und Cyber-Kriminellen übermitteln;
• Verwaltungsserver anpassen;
• Cookies löschen;
• Betriebssystem starten;
• Computer ausschalten.

Mehr zu dieser Malware finden Sie hier.

Im April wurde eine Sicherheitslücke im Textredaktor Word entdeckt, der zum Microsoft Office gehört. Übeltäter haben für diese Sicherheitslücke das Exploit Exploit.Ole2link.1 entwickelt. Dieses Exploit ist als Microsoft-Word-Datei realisiert und hat eine .docx-Erweiterung. Wenn die Datei geöffnet wird, wird eine andere Datei mit den Namen doc.doc heruntergeladen. In die letzte ist ein HTA-Szenario eingebettet, das durch Dr.Web als PowerShell.DownLoader.72 erkannt wird. Dieses HTA-Szenario, das mit Hilfe von Windows Script geschrieben wurde, ruft den Befehlsinterpretator PowerShell hervor, wo ein anderes Skript bearbeitet wird. Dieses Skript lädt im Endeffekt eine ausführbare Datei auf den anzugreifenden PC herunter. Mehr zur Sicherheitslücke in Word finden Sie hier.

Malware für Linux

Die Sicherheitsspezialisten von Doctor Web haben im vergangenen Monat 1 317 388 Angriffe auf verschiedene Linux-Geräte entdeckt. Darunter wurden 147 401 Angriffe via SSH und 1 169 987 Angriffe via Telnet durchgeführt. Das Verhältnis von Malware, die von Cyber-Kriminellen auf angegriffene Geräte heruntergeladen wurde, können Sie dem nachfolgenden Diagramm entnehmen:

• Linux.Mirai
  Linux-Trojaner, mit dem DDoS-Angriffe durchgeführt werden können. Der Schädling ist in der Lage den watchdog-Prozess zu deaktivieren, um den Neustart des Betriebssystems zu verhindern.
• Linux.DownLoader
  Böswillige Apps für Linux, die auf infizierte Geräten andere Malware herunterladen und starten.
• Linux.BackDoor.Remaiten
  Familie von böswilligen Apps für Linux, die DDoS-Angriffe durchführen. Diese Trojaner können in Rechner durch die Passwortermittlung via Telnet einbrechen. Beim Erfolg wird auf das Gerät ein Downloader heruntergeladen, der weitere böswillige Apps herunterlädt.
• Linux.Mrblack
  Trojaner, der DDoS-Angriffe durchführt. Der Schädling ist auch in der Lage, Befehle von Cyber-Kriminellen auszuführen.
• Linux.DDoS
  Familie von böswilligen Apps für Linux-Geräte, die für DDoS-Angriffe verwendet werden.
• Linux.PNScan
  Würmer-Familie, die Router unter Linux infiziert. Der Wurm ist in der Lage, ein Gerät zu infizieren, Ports 9000 und 1337 zu öffnen und eine Verbindung zu einem Verwaltungsserver herzustellen.

Im April haben die Virenanalysten von Doctor Web eine aktuelle Version von Linux.UbntFM unter die Lupe genommen. Der Schädling wird unter dem Namen Linux.UbntFM.2 geführt und ist für Linux-Geräte, u.a. Air OS, geeignet. Er ist als bash-Skript realisiert und verbreitet sich im tgz-Archiv.

Linux.UbntFM.2 erstellt auf dem infizierten Gerät neue Einträge und kann beliebige Dateien herunterladen und starten, Geräte über Sicherheitslücken in der Benutzeroberfläche von Air OS angreifen. Wenn es dem Trojaner nicht gelingt, kann er passende Benutzerdaten wie "root", "admin", "ubnt" und Passwörter in der Datei "passlst" für eine SSH-Verbindung ermitteln. Mehr zum Schädling finden Sie hier.

Außerdem wurde im April eine neue Version der Trojanerfamilie Fgt entdeckt. Im Unterschied zu Vorgängerversionen hat Linux.BackDoor.Fgt.645. eine beschränkte Anzahl von Funktionen (u.a. ein Passwortermittlungsmodul für Remote-Rechner und ein Dropper), kann aber das Herunterladen und Starten des sh-Szenatrios auslösen und starten.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im April haben die Sicherheitsanalysten von Doctor Web einen neuen Trojaner erfasst, den Cyber-Kriminelle für gezielte Angriffe verwendet haben. Der Schädling Android.Chrysaor.1.origin klaut sensible Daten von Android-Anwendern. Darüber hinaus wurden auf Google Play mehrere Bankentrojaner entdeckt. Einer davon heißt Android.BankBot.179.origin und gibt sich als Online-Video-Player aus. Der andere digitale Bösewicht wird unter dem Namen Android.BankBot.180.origin geführt. Der Schädling funktioniert als Taschenlampe-App.

Bemerkenswerte Ereignisse aus der mobilen Sicherheitsszene:

• Android-Trojaner für Cyber-Spionage entdeckt;
• Bankentrojaner, die vertrauliche Daten und das Geld von Android-Anwendern klauen, dringen in Google Play ein.

Mehr zu Bedrohungen auf mobilen Endgeräten finden Sie hier.

Learn more with Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 3. März 2017

Werbe-Module, die sich in Android-Apps zum Zweck der Monetisierung einbetten, verbreiten sich immer mehr. Viele von diesen Plug-ins agieren aggressiv: Sie erstellen unnötige Desktopverbindungen, zeigen Banner an und lassen auftauchende Fenster zu. Die Virenanalysten von Doctor Web haben auf Google Play eine App mit einem solchen Modul entdeckt. Über 50.000.000 Nutzer haben die App bereits installiert.

Bei der von den Virenanalysten von Doctor Web analysierten App handelt es sich um TouchPal – ein virtuelles Keyboard, welches mobile Nutzer als Standardtastatur benutzen können. Das Keyboard verfügt über diverse Funktionen und hat ein Werbe-Modul, welches nach unserer Klassifikation als Adware.Cootek.1.origin bezeichnet wird.

Dieses Plug-in ist in der Lage, beliebige Arten von Werbung anzuzeigen. Widgets, die auf dem Bildschirm angezeigt werden, können nicht einfach gelöscht werden. Nachdem der Nutzer auf das Widget Adware.Cootek.1.origin geklickt hat, wird ein interaktives Fenster mit einem Spiel angezeigt, in dem der Benutzer angeblich immer gewinnt, und Werbung als Preis erhält. Darüber hinaus kann das Modul News mit begleitenden Bannern anzeigen.

Außerdem integriert Adware.Cootek.1.origin die Werbung in den Sperrbildschirm und zeigt Banner nach dem Entsperren des Geräts an.

Obwohl TouchPal nicht böswillig ist, hindert Adware.Cootek.1.origin Nutzer am Navigieren mit Benachrichtigungen und nicht löschbaren Widgets. Da das Plug-in im TouchPal integriert ist, kann es nur zusammen mit der App deinstalliert werden. Adware.Cootek.1.origin wurde in die Dr.Web Virendefinitionsdatei aufgenommen und wird erfolgreich durch Dr.Web für Android entdeckt.

Mehr zu Adware.Cootek.1.origin.

Frankfurt, 28. Februar 2017

Im Februar 2017 ist ein neuer Bankentrojaner aufgetaucht, der den Quellcode von einem anderen Vertreter der Bankentrojaner-Familie „Zeus (Trojan.PWS.Panda)“ geerbt hat. Dieser Schädling bettet fremde Inhalte in Webseiten ein und startet einen VNC-Server auf dem infizierten PC. Darüber hinaus haben die Virenanalysten von Doctor Web einen neuen Trojaner für Linux entdeckt. Die Virendefinitionsdatei von Dr.Web für Android wurde mit neuen Signaturen ausgerüstet.

Bedrohung des Monats

Bankentrojaner sind eine der gefährlichsten Arten von Malware, weil sie in der Lage sind, Geld von Bankkonten der Opfer zu klauen. Ein neu entdeckter Bankentrojaner wurde als Trojan.PWS.Sphinx.2 benannt. Er führt Web-Injects aus, d.h. er fügt fremde Inhalte in Webseiten ein, die sich Anwender ansehen. Auf diese Weise kann er Benutzerdaten, die der Benutzer z.B. auf Bankenwebseiten eingibt, klauen. Untenstehend finden Sie ein Beispiel für den Code, der von Trojan.PWS.Sphinx.2 auf der Webseite bankofamerica.com eingebettet wird:

Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock, auf dem die Adresse eines Verwaltungsservers und der Schlüssel für ein- und ausgehende Daten gespeichert sind. Trojan.PWS.Sphinx.2 verfügt über eine Modul-Architektur: Der Trojaner lädt auf Anforderung der Cyber-Kriminellen zusätzliche Plug-ins herunter. Zwei Module, die der Bankentrojaner verwendet, sind zum Starten in 32- und 64-Bit-Versionen von Windows vorgesehen, zwei weitere Module zum Starten auf dem infizierten Rechner des VNC-Servers, über den Cyber-Kriminelle eine Verbindung zum infizierten PC herstellen können. Außerdem lädt Trojan.PWS.Sphinx.2 eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC. Letzteres wird von Cyber-Kriminellen für Angriffe nach der MITM-Methode (Man in the middle) verwendet. Der Trojaner verfügt zudem über einen Grabber: Ein Modul, welches Daten des Benutzers abfängt und an einen Remote-Server von Cyber-Kriminellen weiterleitet. Mehr zum Schädling finden Sie hier.

Statistiken von Dr.Web CureIt!

• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.LoadMoney
  Downloadtrojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
• Win32.Virut.5
  Komplexer polymorpher Virus, der ausführbare Dateien startet und Funktionen der Remote-Verwaltung enthält.

• Trojan.Zadved
  Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• BackDoor.IRC.NgrBot.42
  Schädling, der via IRC (Internet Relay Chat) Befehle von Cyber-Kriminellen empfangen und ausführen kann.

Malware im E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• Trojan.Zadved
  Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• Joke.Locker.1.origin
  Scherzprogramm für Android, das den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.
• Android.HiddenAds.24
  Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
• Android.SmsSend.15044
  Schädling, der kostenpflichtige Services abonniert, indem er Kurznachrichten an vordefinierte Nummern versendet.
• BackDoor.Comet.2020
  Die Backdoor kann auf dem infizierten PC Befehle per Fernzugriff ausführen und den Zugang zum PC für Cyber-Kriminelle freigeben.

Meist verbreitete Encoder im Februar 2017

• Trojan.Encoder.858 — 31.16% Anfragen;
• Trojan.Encoder.567 — 6.70% Anfragen;
• Trojan.Encoder.3953 — 4.70% Anfragen;
• Trojan.Encoder.761 — 3.31% Anfragen;
• Trojan.Encoder.3976 — 1.91% Anfragen.

Dr.Web Security Space 11.0 für Windows
schützt vor Encodern!

Diese Funktion ist in der Lizenz Dr.Web Antivirus für Windows nicht vorhanden

Schutz vor Datenverlust

Mehr Einstellungsvideo

Im Februar 2017 wurden 134.063 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Nicht empfohlene Webseiten

Malware für Linux

Trojaner, die Linux-Geräte infizieren, sind keine Seltenheit mehr. Im Februar 2017 haben Sicherheitsspezialisten von Doctor Web ungewöhnliche Malware entdeckt, welche nach dem Start unter Microsoft Windows nach Linux-Geräte sucht und diese versucht zu infizieren.

Der Trojaner wurde als Trojan.Mirai.1 getauft. Nachdem er eine Liste von IP-Adressen von seinem Verwaltungsserver heruntergeladen hat, startet er einen Scanner, der diese IP-Adressen abfragt, auf dem infizierten Gerät. Beim Verbindungsaufbau via Telnet lädt der Trojaner eine binäre Datei herunter, die den Schädling Linux.Mirai startet. Darüber hinaus ist er in der Lage, Befehle von Cyber-Kriminellen auszuführen. Mehr zum Schädling finden Sie hier.

Im Februar wurde außerdem Linux.Aliande.4 analysiert, der zum Einbruch in Remote-PCs verwendet wird. Der Schädling verwendet eine Liste mit IP-Adressen, die er vom Verwaltungsserver erhält, ermittelt einen passenden Benutzernamen und ein Passwort und stellt eine Verbindung via SSH her. Die Liste von passenden Benutzernamen und Passwörtern sendet er Cyber-Kriminellen zu.

Malware & Co. für mobile Endgeräte

Der Trojaner Android.Click.132.origin wurde entdeckt, welcher sich über Google Play verbreitete. Dieser Schädling rief verdeckt Webseiten auf und klickte automatisch auf Werbebanner. So konnten Virenschreiber daran Geld verdienen.

Wichtigste Ereignisse in der mobilen Sicherheitsszene im Februar 2017:

• • Android-Trojaner entdeckt, der Webseiten von Werbung verdeckt aufrief und automatisch auf Werbebanner klickte.

Mehr zur Sicherheitslage in der mobilen Sicherheitsszene finden Sie hier.

Virenstatistik Bibliothek Alle Sicherheitsreports

Frankfurt, 13. Februar 2017

Bankentrojaner stellen sowohl für Banken als auch für ihre Kunden eine ernsthafte Gefahr dar, weil solche Schädlinge das Geld von Konten der Kreditinstitutionen klauen können. Die Virenanalysten von Doctor Web haben einen neuen Bankentrojaner, der eine Bedrohung für Benutzer von Microsoft Windows ist, erforscht.

Dieser Schädling basiert auf dem Quellcode des Trojaners Zeus (Trojan.PWS.Panda) und nennt sich Trojan.PWS.Sphinx.2. Dieser führt Web-Injects aus, indem er fremde Inhalte (u.a. gefälschte Formulare mit Benutzernamen und Passwort) in Webseiten einbettet und geklaute Daten an Cyber-Kriminelle weiterleitet. Das Opfer merkt nichts davon, weil eine URL in der Adresszeile des Browsers und das Layout der Webseite sehr ähnlich sind. Dabei kann die Malware Kundengeld auf mehreren Banken entwenden. Wenn der Benutzer eine Webseite aufruft, die in der Konfiguration des Trojaners enthalten ist, werden fremde Inhalte in die Webseite eingebaut. Ein Beispiel dafür liefert Trojan.PWS.Sphinx.2, der auf bankofamerica.com fremde Inhalte unterschiebt:

Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock, auf dem die Adresse eines Verwaltungsservers und der Schlüssel für ein- und ausgehende Daten gespeichert sind. Trojan.PWS.Sphinx.2 verfügt über eine Modul-Architektur: Der Trojaner lädt auf Anforderung der Cyber-Kriminellen zusätzliche Plug-ins herunter. Zwei Module, die der Bankentrojaner verwendet, sind zum Starten in 32- und 64-Bit-Versionen von Windows vorgesehen, zwei weitere Module zum Starten auf dem infizierten Rechner des VNC-Servers, über den Cyber-Kriminelle eine Verbindung zum infizierten PC herstellen können. Außerdem lädt Trojan.PWS.Sphinx.2 eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC. Letzteres wird von Cyber-Kriminellen für Angriffe nach der MITM-Methode (Man in the middle) verwendet. Der Trojaner verfügt zudem über einen Grabber: Modul, welches Daten des Benutzers abfängt und an einen Remote-Server von Cyber-Kriminellen weiterleitet.

Interessant ist auch die Methode zum Starten des Trojaners auf dem infizierten Rechner: Dafür werden ein Szenario in der PHP-Sprache und ein Interpretator verwendet. Das Szenario wird durch eine Verbindung im Autostart-Verzeichnis gestartet. Alle Informationen, die der Trojaner für seine Funktion braucht, werden im Windows-Registry verschlüsselt gespeichert. Die Module werden in einer verschlüsselten Datei mit einer zufälligen Erweiterung gespeichert.

Dr.Web Antivirus spürt Trojan.PWS.Sphinx.2 einwandfrei auf und stellt deshalb für die Benutzer von Dr.Web keine Gefahr dar.

More about this Trojan