Viren-News
Frankfurt, 11. April 2019
VSDC ist eine beliebte kostenlose Video- und Audioverarbeitungssoftware. Laut SimilarWeb hat die offizielle Webseite, von der aus dieser Video-Editor heruntergeladen werden kann, monatlich rund 1,3 Millionen Nutzer. Die vom Unternehmen getroffenen Sicherheitsmaßnahmen reichen jedoch oft nicht aus, um eine derartige Webseite mit einem solchen Traffic zu betreiben, was viele Nutzer gefährdet.
Im vergangenen Jahr erhielten unbekannte Hacker den Administratorzugang zur VSDC-Webseite und ersetzten dort Download-Links. Statt eines Video-Editors luden Nutzer eine JavaScript-Datei herunter, die dann AZORult Stealer, X-Key Keylogger und DarkVNC Backdoor herunterlud. VSDC berichtete, dass die Schwachstelle beseitigt wurde. Vor kurzem sind den Virenanalysten von Doctor Web jedoch andere Infektionsfälle aufgefallen.
Gemäß den Virenanalysten von Doctor Web wurde der Computer des VSDC-Entwicklers seit der letzten Infektion mehrmals angegriffen. Einer der Hacks führte vom 21.02.2019 bis 23.03.2019 zur Kompromittierung der Webseite. Diesmal verwendeten Hacker eine andere Methode zur Verbreitung von Malware: Sie haben einen bösartigen JavaScript-Code in die VSDC-Site eingebettet, um Besucher der Webseite orten zu können und einen Download-Link für Nutzer aus Großbritannien, den USA, Kanada und Australien zu ersetzen. Anstatt authentischer VSDC-Links wurden Links zu einer gehackten Webseite verwendet:
- https://thedoctorwithin[.]com/video_editor_x64.exe
- https://thedoctorwithin[.]com/video_editor_x32.exe
- https://thedoctorwithin[.]com/video_converter.exe
Nutzer, die das Programm von dieser Webseite heruntergeladen haben, haben auch einen gefährlichen Banking-Trojaner heruntergeladen - Win32.Bolik.2. Wie
Darüber hinaus ersetzten Hacker am 22.03.2019 Win32.Bolik.2 durch eine weitere Malware – eine Version des Trojan.PWS.Stealer (KPOT Stealer). Dieser Trojaner klaut Informationen aus Browsern, Microsoft-Konten, Messengern und anderen Apps. An nur einem einzigen Tag wurde er von 83 Nutzern heruntergeladen.
Die VSDC-Entwickler wurden über die Kompromittierung ihrer Webseite informiert. Alle Download-Links wurden wiederhergestellt. Doctor Web empfiehlt jedoch allen Nutzern von VSDC-Produkten, ihre Geräte mit Hilfe von Dr.Web auf Malware zu scannen.
Indikatoren der Kompromittierung.
03.04 Doctor Web: Rückblick und Analyse von Bedrohungen im März 2019
Frankfurt, 3. April 2019
Die Virenanalysten von Doctor Web konnten ihre Analyse des Trojaners, der Counter-Strike 1.6 Spieler angreifen konnte, abschließen. Im Vergleich zum Vormonat machte sich darüber hinaus auch das Wachstum von Malware-Aktivitäten bemerkbar. So haben sich beispielsweise die Aktivitäten von Trojan.MulDrop8.60634 fast verdreifacht und auch die Anzahl der Bedrohungen Trojan.Packed.24060 und Adware.OpenCandy.243 ist im vergangenen Monat drastisch gestiegen. In die Datenbank der nicht empfohlenen und bösartigen Webseiten wurden hingegen vergleichsweise weniger Adressen hinzugefügt. Die Anzahl von Support-Anfragen aufgrund der Datenentschlüsselung nahm jedoch zu.
Hauptereignisse im März
- Die Zahl böswilliger Erweiterungen für Browser ist angestiegen.
- Die Verbreitung von Adware sowie weiteren unerwünschten Programmen hat sich intensiviert.
- Die Anzahl von Support-Anfragen aufgrund der Datenentschlüsselung hat zugenommen.
Bedrohung des Monats
Im März 2019 veröffentlichten die Malwareanalysten von Doctor Web eine detaillierte Studie über einen Belonard Trojaner, der Zero-Day-Schwachstellen im Steam-Client von Counter-Strike 1.6 ausnutzt. Auf dem Computer des Opfers änderte der Trojaner Dateien des Clients und erstellte Spiel-Proxy-Server, um andere Benutzer zu infizieren. Die Anzahl der böswilligen CS 1.6-Server, die mit dem Belonard-Trojaner erstellt wurden, erreichte 39% aller bei Steam registrierten offiziellen Server. Alle Module des Belonard Trojaners werden durch Dr.Web Antivirus erfolgreich erkannt. Dr.Web Nutzer müssen sich daher keine Sorgen machen.
Mehr zum Trojaner.
Serverstatistik von Doctor Web
Bedrohungen des Monats:
Trojan.Packed.24060 - Trojaner, der böswillige Erweiterungen für Browser installiert, die über Suchtreffer in Suchmaschinen zu anderen Webseiten weiterleiten.
- Adware.Softobase.12
- Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.
Adware.OpenCandy.243 - Apps, die andere Software installieren und durch Entwickler zum Zwecke der Monetisierung verwendet werden.
- Adware.Ubar.13
- Torrent-Client, der unerwünschte Software auf dem Rechner installiert.
- Trojan.Starter.7394
- Trojaner, der zum Starten anderer Malware eingesetzt wird.
Die Zahl der folgenden Bedrohungen hat abgenommen:
- Trojan.MulDrop8.60634
- Dieser Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.
- Adware.Downware.19283
- Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.
Malware im E-Mail-Traffic
- Exploit.ShellCode.69
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
- W97M.DownLoader.2938
- Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.
- Exploit.Rtf.CVE2012-0158
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
Trojan.SpyBot.699 - Banking-Trojaner, der es Cyber-Kriminellen ermöglicht, verschiedene Apps auf ein infiziertes Gerät hochzuladen und Befehle zu senden. Auf diese Weise können Cyber-Verbrecher Geld von Bankkonten der Nutzer klauen.
- JS.DownLoader.1225
- JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.
Trojan.PWS.Stealer.23680 - Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.
Encoder
Support-Anfragen aufgrund von Encodern im März 2019:
Trojan.Encoder.858 — 28,39%;Trojan.Encoder.18000 — 9,54%;Trojan.Encoder.27210 — 4,25%;Trojan.Encoder.11464 — 4,14%;Trojan.Encoder.11539 — 4,14%;Trojan.Encoder.567 — 2,76%;Trojan.Archivelock — 2,34%.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im März 2019 wurden 270.227 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Februar 2019 | März 2019 | Wachtum |
|---|---|---|
| + 288 159 | + 270 227 | - 6,63% |
Bedrohungen für mobile Geräte
Im vergangenen Monat wurden auf Google Play neue böswillige Apps entdeckt. Darunter befinden sich u.a. Trojaner aus der Familie
Weiterhin wurden auch einige Exemplare von
Cyber-Kriminelle hören nicht auf, Banking-Trojaner zu verbreiten. Über einen solchen Banking-Trojaner wurde bereits in dieser Meldung berichtet. Der Schädling, der auch unter dem Namen Flexnet bekannt ist, klaut Geld von Bankkonten und mobile Guthaben der Nutzer.
Ende März haben die Malwareanalysten von Doctor Web Details zur Schwachstelle im beliebten UC Browser für Android bekanntgegeben, der Plug-ins unter Umgehung von Google Play-Servern herunterladen kann. Cyber-Kriminelle konnten diese Schwachsteller zur Verbreitung von Trojanern ausnutzen.
Hauptereignisse in der mobilen Sicherheitsszene im März 2019:
- Es wurde eine Sicherheitslücke im UC Browser gefunden.
- Verbreitung von Malware auf Google Play.
- Verbreitung von Banking-Trojanern.
Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.
Erfahren Sie mehr mit Dr.Web
11.03 Doctor Web entdeckt Trojaner, der Zero-Day-Sicherheitslücke im Counter-Strike Client ausnutzt
Frankfurt, 11. März 2019
Trojan.Belonard gelangte auf die Rechner der Spieler, sobald er eine Verbindung zu einem böswilligen Spielserver aufbauen konnte. Der Schädling nutzte dabei Schwachstellen des Spiel-Clients aus und konnte sowohl Steam-Versionen als auch Piraten-Builds von Counter-Strike 1.6 (CS 1.6) infizieren. Auf dem Computer des Opfers änderte der Trojaner Client-Dateien und erstellte Proxy-Server, um andere Benutzer zu infizieren. Diese Technik ermöglichte es Cyber-Kriminellen, Spiele zu bewerben und damit Geld zu verdienen.
Die Zahl der Online-Spieler mit offiziellen CS-Clients 1.6 liegt aktuell im Durchschnitt bei 20.000 und die Gesamtzahl der in Steam registrierten Spielserver beläuft sich auf über 5.000. Verkauf, Vermietung und Bewerbung von Spielservern sind zu einem echten Geschäft geworden und werden als Dienstleistungen auf verschiedenen Webseiten angeboten. Eigentümer von Servern bezahlen oft für solche Dienste, wissen aber nicht, dass für die Bewerbung ihrer Server Malware eingesetzt werden kann. Solche illegalen Methoden verwendete bspw. ein Entwickler unter dem Spitznamen Belonard: Sein Server infizierte andere Spieler mit einem Trojaner und nutzte ihre Konten zur Bewerbung weiterer Spielserver aus.
Die Anzahl der schädlichen CS-Server 1.6, die mit dem Belonard-Trojaner erstellt wurden, hat inzwischen 39% aller bei Steam registrierten offiziellen Server erreicht. Die CS-Community wird mit diesem Problem seit langem konfrontiert. Leider erkannte die Virenschutzsoftware bisher nur Teile des Belonard-Trojaners und nicht den Schadcode als Ganzes. Jetzt werden alle Module des Belonard-Trojaners durch Dr.Web Antivirus ausfindig gemacht und stellen für Dr.Web Nutzer keine Bedrohung dar. Mehr zur Funktionsweise des Trojaners finden Sie in unserem englischsprachigen Ermittlungsbericht.
01.03 Doctor Web: Rückblick und Analyse von Bedrohungen im Februar 2019
Frankfurt, 1. März 2019
Im Februar 2019 ist die Anzahl von Bedrohungen im Vergleich zum Vormonat um 9,73% zurückgegangen. Malware-Aktivitäten blieben generell auf dem Niveau vom Dezember 2018. Bei einigen Bedrohungen gab es aber eine leichte Dynamik. So drängte beispielsweise JS.Miner.28, dessen Aktivitäten im Januar zunahmen, seinen Konkurrenten JS.Miner.11. Trojan.Starter.7394 stieg um 14,29% gegenüber Januar an und Trojan.DownLoader26.28109 ging fast ums Dreifache zurück. Darüber hinaus wurden 1,68% weniger Domains in die Datenbank der nicht empfohlenen Webseiten aufgenommen. Die Zahl von Support-Anfragen aufgrund der Datenentschlüsselung ging ebenfalls zurück.
Hauptereignisse
- Die Anzahl von Bedrohungen, die im E-Mail-Verkehr gefunden wurden, hat abgenommen.
- Der Einsatz von Adware, Torrent-Clients und unerwünschten Programmen hat zugenommen.
Serverstatistik von Doctor Web
Bedrohungen des Monats:
- Adware.Softobase.12
- Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.
- Adware.Ubar.13
- Torrent-Client, der unerwünschte Software auf dem Rechner installiert.
- Trojan.Starter.7394
- Trojaner, der zum Starten anderer Malware eingesetzt wird.
- Adware.Downware.19283
- Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.
- Trojan.MulDrop8.60634
- Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.
Die Anzahl der folgenden Bedrohungen hat abgenommen:
Trojan.Encoder.11432 - Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.
- Trojan.DownLoader26.28109
- Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.
Malware im E-Mail-Traffic
- JS.DownLoader.1225
- JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.
- W97M.DownLoader.2938
- Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.
- Exploit.ShellCode.69
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
- Exploit.Rtf.CVE2012-0158
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
- JS.Miner.28
- JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.
Trojan.PWS.Stealer.23680 - Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.
Encoder
Support-Anfragen aufgrund von Encodern im Februar 2019:
Trojan.Encoder.858 — 31.39%;Trojan.Encoder.18000 — 10.18%;Trojan.Encoder.11464 — 4.67%;Trojan.Encoder.11539 — 4.67%;Trojan.Encoder.567 — 2.34%;Trojan.Encoder.25814 — 2.34%.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Februar 2019 wurden 288.159 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Januar 2019 | Februar 2019 | Wachstum |
|---|---|---|
| + 293.012 | + 288.159 | -1,68% |
Malware für mobile Geräte
Im vergangenen Monat haben die Virenanalysten von Doctor Web eine Vielzahl von bösartigen und unerwünschten Programmen für Android OS identifiziert. Mitte Februar registrierte man z.B. eine Werbekampagne, die Cyber-Kriminelle zur Verbreitung von
Im Februar wurden darüber hinaus mehrere neue Kennungen in die Virendatenbank aufgenommen, um böswillige Apps der
Weiterhin verbreiteten Virenschreiber den Trojaner
Hauptereignisse in der mobilen Sicherheitsszene im Februar 2019:
- Verbreitung von böswilligen Apps auf Google Play.
Erfahren Sie mehr mit Dr.Web
01.02 Doctor Web: Rückblick und Analyse von Bedrohungen im Januar 2019
Frankfurt, 1. Februar 2019
Die Virenanalysten von Doctor Web verzeichneten für Januar 2019 viele interessante und beunruhigende Trends. Gegen Mitte des Monats wurden Krypto-Besitzer von einem Trojaner angegriffen, der sich unter dem Deckmantel eines nützlichen Programms verbreitete. Im Vergleich zum Vormonat stieg die Zahl der mit Trojaner.Winlock.14244 infizierten Geräte um 28%. Darüber hinaus wurden 50% mehr bösartige Dateien per Email versendet, welche Sicherheitslücken in Microsoft Office ausnutzten.
Hauptereignisse
- Die Zahl der Infektionen durch Systemblocker hat zugenommen.
- Schwachstellen in Microsoft Office werden verstärkt ausgenutzt.
- Werbesoftware wird tatsächlich häufiger für Werbezwecke eingesetzt.
Bedrohung des Monats
Im Januar 2019 entdeckten die Virenanalysten von Doctor Web einen Trojaner innerhalb einer App zum Verfolgen von Kryptowährungskursen. Die Malware wurde zusammen mit dem Tool verbreitet und installierte weitere Trojaner auf infizierten Geräten. Mit diesen Programmen konnten Hacker persönliche Daten der Benutzer klauen - einschließlich der Passwörter aus Krypto-Wallets.
Mehr zum Trojaner.
Serverstatistik von Doctor Web
- Trojan.Winlock.14244
- Der Schädling blockiert den Zugriff auf das Betriebssystem und seine Hauptfunktionen und verlangt ein Lösegeld für die Entsperrung.
- Adware.Downware.19283
- Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.
- Trojan.DownLoader26.28109
- Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.
Trojan.Encoder.11432 - Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.
- Trojan.Starter.7394
- Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.
- Trojan.MulDrop8.60634
- Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.
- Trojan.Zadved.1313
- Die Werbe-App leitet Nutzer auf Webseiten der Werbetreibenden weiter und zeigt unerwünschte Werbung an.
Malware für E-Mail-Traffic
- JS.DownLoader.1225
- JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.
- Exploit.Rtf.CVE2012-0158
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
- W97M.DownLoader.2938
- Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.
- Exploit.ShellCode.69
- Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.
Trojan.PWS.Stealer.23680 - Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.
Trojan.Nanocore.23 - Gefährlicher Trojaner, welcher auf Befehl der Cyber-Kriminellen die Kamera und das Mikrofon per Fernzugriff kontrollieren kann.
- JS.Miner.28
- JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt
Trojan.Fbng.8 - Der Trojaner (auch unter dem Namen FormBook bekannt) klaut persönliche Daten des Nutzers vom infizierten Gerät und kann Befehle vom Server des Entwicklers erhalten.
Trojan.Encoder.26375 - Der Trojaner verschlüsselt Daten der Opfer und verlangt ein Lösegeld für die Dekodierung.
- JS.Miner.11
- JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.
Die böswilligen Aktivitäten von
Encoder
Support-Anfragen aufgrund von Encodern im Januar 2019:
Trojan.Encoder.858 — 26.32%Trojan.Encoder.11464 — 12.63%Trojan.Encoder.11539 — 7.72%- Trojan.Encoder.25574 — 1.58%
Trojan.Encoder.567 — 5.96%Trojan.Encoder.5342 — 0.88%
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Januar 2019 wurden 293.012 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Dezember 2018 | Januar 2019 | Wachstum |
|---|---|---|
| + 257 197 | + 293012 | +13.93% |
Malware für mobile Geräte
Auf Google Play wurde im vergangenen Monat eine Vielzahl von Schädlingen aufgespürt. Darunter sind u.a. Vertreter von
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung vieler neuer Schädlinge auf Google Play
- Verbreitung eines Trojaner-Spions
Erfahren Sie mehr mit Dr.Web
09.01 Doctor Web: Rückblick und Analyse von Bedrohungen im Dezember 2018
Frankfurt, 28. Dezember 2018
Im letzten Monat des Jahres 2018 gab es in der Malware-Szene keine bemerkenswerten Ereignisse. Nichtsdestotrotz ist unter den auf PCs gefundenen Schädlingen vor allem auf den in JavaScript geschriebenen Schadcode hinzuweisen. Der größte Teil des Schadcodes ist für das Herunterladen von weiteren schädlichen Apps und das unerlaubte Schürfen von Kryptowährung auf PCs gedacht. Auf Festplatten findet sich darüber hinaus u.a. der Banking-Trojaner
Hauptereignisse
- Verbreitung von böswilligen Szenarien
- Neuer Trojaner für Android
Serverstatistik von Doctor Web
- JS.DownLoader
- Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
- VBS.DownLoader
- Böswillige VBS-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
Malware im E-Mail-Traffic
- JS.DownLoader
- Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.
W97M.DownLoader - Trojaner, die Sicherheitslücken in Office-Apps ausnutzen und weitere böswillige Software auf einen Zielrechner herunterladen.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Encoder
Support-Anfragen aufgrund von Encodern im Dezember 2018:
Trojan.Encoder.858 — 22.34% Anfragen;Trojan.Encoder.11464 — 11.71% Anfragen;Trojan.Encoder.11539 — 10.17% Anfragen;- Trojan.Encoder.25574 — 5.08% Anfragen;
Trojan.Encoder.567 — 4.93% Anfragen;Trojan.Encoder.5342 — 1.54% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Dezember 2018 wurden 257.197 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| November 2018 | Dezember 2018 | Wachstum |
|---|---|---|
| + 231 074 | + 257 197 | +11.3% |
Malware für mobile Geräte
Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling
Hauptereignisse in der mobilen Sicherheitsszene:
- Verbreitung eines Banking-Trojaners, der Nutzer in Brasilien angreift;
- Entdeckung einer neuen Version von Spyware;
- Aufspürung mehrerer böswilliger und unerwünschter Apps auf Google Play.
Erfahren Sie mehr mit Dr.Web
2018
28.12 Doctor Web: Rückblick und Analyse von Bedrohungen für mobile Geräte im Jahr 2018
Frankfurt, 28. Dezember 2018
Im vergangenen Jahr wurden Android-Nutzer erneut von einer Reihe böswilliger und unerwünschter Apps angegriffen. Viele dieser Apps wurden über Google Play verbreitet. Folgender Trend wird deutlich: Trojaner mit speziellen Methoden tarnen.
Eine der Hauptbedrohungen für Nutzer in den letzten 12 Monaten waren Android-Banker, die Finanzinstitute auf der ganzen Welt angriffen. Malware, die einen beliebigen Schadcode aus dem Internet herunterladen und ausführen konnte, stellte ebenfalls eine ernsthafte Bedrohung dar.
Virenautoren verbreiteten Trojaner, um betrügerische Programme zu implementieren, und setzten andere bösartige Apps ein, um an das Geld der Nutzer zu kommen. Darüber hinaus versuchten Cyber-Kriminelle mit Hilfe sogenannter Clipper, Kryptowährung zu klauen, indem sie die IDs von elektronischen Wallets in der Zwischenablage änderten.
Das Problem der Infizierung von Firmware in der Produktionsphase bleibt immer noch aktuell. Im Frühjahr entdeckten die Virenanalysten von Doctor Web einen Trojaner, der in Android eingebettet war. Über 40 Modelle mobiler Geräte wurden kompromittiert.
Hauptereignisse des Jahres 2018
- Entdeckung von neuen bösartigen und unerwünschten Apps auf Google Play;
- Versuche von Virenschreibern, die Erkennung von Malware zu verhindern;
- Banking-Trojaner greifen Kunden von Finanzinstituten weltweit an;
- Trojaner verwenden den Android Accessibility Service zur Automatisierung bösartiger Aktivitäten;
- Verbreitung von Trojanern, die in der Lage sind, E-Wallet-Nummern in der Zwischenablage zu ändern.
Die interessantesten Fälle
Anfang 2018 spürten die Virenanalysten von Doctor Web die Verbreitung von
Im März berichteten die Virenanalysten von Doctor Web von einem neuen Fall von Android.Triada.231. Der Schädling war in über 40 Modellen von Android-Smartphones und Tablets integriert. Unbekannte Täter betteten Android.Triada.231 in eine Systembibliothek auf Quellcode-Ebene ein, während andere Vertreter von Android.Triada in der Regel als eigenständige Apps verbreitet werden. Der Trojaner integriert sich in den Zygote-Prozess, der wiederum andere Apps startet. Als Folge infiziert Android.Triada.231 andere Prozesse und kann böswillige Funktionen ausführen. So kann er Apps gegen den Willen des Nutzers herunterladen, installieren oder deinstallieren.
Angreifer verwenden zunehmend Methoden, um die Erkennung von böswilligen und unerwünschten Apps zu verhindern. Im Jahr 2018 setzte sich dieser Trend fort. Eine beliebte Methode, die Präsenz von Malware zu vertuschen, ist der Einsatz von sogenannten Loadern. Diese können Trojaner und andere gefährliche Software für längere Zeit außerhalb der Reichweite von Virenschutzsoftware halten und bei potenziellen Opfern den Verdacht auf Malware verringern. Mit solchen Loadern können Cyber-Kriminelle verschiedene Schädlinge wie z.B. Spyware verbreiten.
Im April 2018 spürten die Virenanalysten von Doctor Web
Im August konnten die Malwareanalysten von Doctor Web
Downloader werden immer häufiger zur Verbreitung von Android-Banking-Trojanern eingesetzt. So wurde im Juli auf Google Play
Später wurden weitere böswillige Apps auf Google Play entdeckt. Eine davon ist unter dem Namen
Downloader infizieren mobile Geräte mit anderer Malware. Im Oktober entdeckten die Virenanalysten von Doctor Web
Böswillige Apps mit mehreren Modulen wurden immer häufiger eingesetzt. Jedes der Module führt bestimmte Funktionen aus. Dabei können Angreifer die Fähigkeiten der Trojaner bei Bedarf erweitern. Dieses Funktionsprinzip trägt dazu bei, dass die Erkennung von Bedrohungen verhindert werden kann. Virenautoren können diese Plug-ins schnell aktualisieren und neue hinzufügen, damit der Trojaner mit einem Minimum an Funktionen auskommt und weniger auffällig wird.
Die Virenanalysten von Doctor Web entdeckten einen solchen Schädling im Februar 2018 und nahmen ihn als
Nachdem sich der Schädling heruntergeladen und gestartet hatte, lud er ein anderes Bild mit dem versteckten Plug-in, welches später
Beispiele von Bildern mit verschlüsselten Modulen von Android.RemoteCode.127.origin:
Im Herbst wurde auch
Malware-Landschaft
Laut der Android-Statistik von Doctor Web wurden Android-Geräte vor allem durch Adware-Trojaner und Malware, die böswillige und unerwünschte Apps herunterlädt, sowie Trojaner, die Befehle von Cyber-Kriminellen ausführen, angegriffen.
Android.Backdoor .682.origin- Trojaner, der Befehle von Cyber-Kriminellen ausführt.
Android.Mobifun .4- Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.
Android.HiddenAds - Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.
Android.DownLoader .573.origin- Malware, die Apps von Virenschreibern herunterlädt.
Android.Packed .15893- Schädling, der durch Packprogramme geschützte Trojaner erkennt.
Android.Xiny .197- Trojaner, der andere Apps herunterlädt und löscht.
- Android.Altamob.1.origin
- Malware, die Apps von Virenschreibern herunterlädt.
Unter den unerwünschten und gefährlichen Apps, die auf Android-Geräten gefunden wurden, sind sogenannte Ad-Module am häufigsten anzutreffen. Auch Apps zum Herunterladen und Installieren von böswilliger Software wurden auf Smartphones und Tablets detektiert.
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Jiubang
- Adware.Adtiming.1.origin
Adware.Adpush .601- Adware.SalmonAds.3.origin
- Adware.Gexin.2.origin
- Virenschreiber betteten unerwünschte Module in Apps ein, die aggressive Werbung anzeigen.
Tool.SilentInstaller .1.originTool.SilentInstaller .6.origin- Potenziell gefährliche Programme zum Herunterladen und Installieren von Apps.
Banking-Trojaner
Banking-Trojaner bleiben nach wie vor eine gefährliche Bedrohung für Online-Banking-Nutzer. Diese Schädlinge klauen Logins und Passwörter von Online-Banking-Konten der Nutzer sowie weitere sensible Daten, um an das Geld der Nutzer zu kommen. Im Laufe der letzten 12 Monate wurden dank Dr.Web für Android über 110.000 Trojaner auf Smartphones und Tablets ausfindig gemacht. Sämtliche Malwarefunde im Jahresverlauf sind wie folgt abgebildet:
Auch Banking-Trojaner für Android wurden massenhaft verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das online verfügbare Muster von
Nutzer erlebten auch im Jahre 2018 erneut Angriffe von Banking-Trojanern, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner
Im Herbst machten die Virenanalysten von Doctor Web den Bösewicht
Im Dezember spürten die Virenanalysten von Doctor Web den Schädling
Betrug
Cyber-Kriminelle setzen aktiv Malware für Android für ihre betrügerischen Kampagnen ein. 2018 wurde eine Reihe solcher Trojaner entdeckt. Einer davon ist
Unter den auf Google Play gefundenen Trojanern sind auch solche, die eine Webseite auf Befehl der Cyber-Kriminellen oder ihres Verwaltungsservers aufriefen. Dazu gehören u.a.
Cyber-Kriminelle verbreiteten auch
Im Laufe des Jahres haben die Virenanalysten von Doctor Web mehrere böswillige Apps aufgespürt, darunter
Aussichten und Trends
Auch 2019 werden Nutzer mobiler Geräte wieder mit Angriffen von Banking-Trojanern rechnen müssen. Autoren von Viren & Co. werden die Funktionalität von Schädlingen weiter verbessern. Es ist wahrscheinlich, dass sich mehr Android-Banker in multifunktionale Malware verwandeln werden.
Auch die Zahl der betrügerischen Apps und Werbetrojaner wird zunehmen. Virenschreiber werden weiterhin versuchen, die Rechenleistung von Android-Geräten zum Schürfen von Kryptowährung anzuzapfen. Es ist nicht ausgeschlossen, dass es in der Zukunft weitere Fälle von Firmware-Infektionen gibt.
Cyber-Kriminelle werden weiterhin an ihren Methoden zum Umgehen von Virenschutzsoftware feilen. Böswillige Apps mit neuen Funktionsprinzipien und neuen Methoden zum Entwenden von vertraulichen Daten können auftauchen. Diese können mobile Geräte und Eye-Tracking-Techniken verwenden, um getippte Meldungen abzulesen. Darüber hinaus könnte neue Malware maschinelle Lernalgorithmen und andere Mittel der künstlichen Intelligenz zum Vorteil von Angreifern einsetzen.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 140 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
28.12 Doctor Web: Rückblick und Analyse von Bedrohungen im Jahr 2018
Frankfurt, 28. Dezember 2018
Das Jahr 2018 wurde in erster Linie durch die Verbreitung von Mining-Trojanern gekennzeichnet. Diese wurden von Cyber-Kriminellen zum Schürfen von Kryptowährung verwendet. Auch neue Schädlinge für Windows und Linux behelligten die Nutzer. Encoder, die Daten der Nutzer verschlüsselten und für die Dekodierung ein Lösegeld verlangten, haben immer noch hohe Positionen im Malware-Ranking inne. So spürten die Virenanalysten von Doctor Web im Februar und April 2018 zwei Trojaner auf, die trotz aller Zusicherungen, die Dekodierung nach Bezahlung des Lösegeldes durchzuführen, die beschädigten Daten nicht wiederherstellen konnten.
Ende März nahmen die Virenanalysten von Doctor Web den Trojaner
Cyber-Kriminelle waren das ganze Jahr aktiv, indem sie ihre Opfer auf gefälschte Websites lockten und mit Massenmailings belästigten. Die Betrüger verschickten zu Beginn des Jahres gefälschte Mails im Namen von Mail.Ru Group, um Logins und Passwörter der Nutzer herauszufinden. Im Frühjahr versendeten sie dann vermeintliche Entschädigungsangebote. Im Sommer belästigten sie weiterhin Domain-Administratoren, indem sie sich als vermeintliche Mitarbeiter von RU-CENTER ausgaben und von ihren Opfern Geld für die Verlängerung von Domainnamen verlangten.
Auch Android-Nutzer wurden von Cyber-Kriminellen belästigt. So wurden 2018 auf Google Play infizierte Spiele aufgespürt, die über 4.500.000 Mal heruntergeladen wurden. Später wurde ein Android-Miner identifiziert, der 8% smarter Geräte wie Fernseher, Spielkonsolen, Router sowie weitere IoT-Geräte infizieren konnte.
Im Verlaufe des Jahres warnten Virenanalysten die Android-Nutzer vor der Verbreitung von Banking-Trojanern. Darüber hinaus wurden Fälschungen beliebter Android-Apps entdeckt, die von den Angreifern für Phishing-Zwecke verwendet wurden. Einige Android-Trojaner meldeten Nutzer für verschiedenste kostenpflichtige Dienste an, andere verdienten an ihren Opfern durch unsichtbare Werbung, während die dritten wiederum andere Malware auf das infizierte Gerät herunterluden.
Haupttrends
- Verbreitung von Mining-Trojanern, die zum verdeckten Schürfen von Kryptowährungen eingesetzt werden
- Auftauchen neuer Schädlinge für Linux und IoT
- Wachsende Anzahl von Trojanern für Google Android
Interessanteste Fälle im Jahr 2018
Im Februar 2018 wurde ein neuer Verschlüsselungstrojaner entdeckt. Dieser wurde von den Virenschreibern als
Ein weiterer Erpressungstrojaner hieß
Obwohl die Erpresser behaupteten, sie könnten den Betroffenen helfen, war dies wegen einem Fehler im Code des Bösewichts nicht möglich.
Ende März wurde durch die Virenanalysten von Doctor Web
Einen Monat später konnten die Virenanalysten von Doctor Web den Autor dieser Trojaner identifizieren. Der Schädling und seine vielfältigen Versionen klauten Passwörter und Cookies-Dateien aus Chromium-Browsern, Telegram, dem FTP-Client FileZilla sowie Bilder gemäß der vordefinierten Liste. Eine Version des Schädlings wurde auf Telegram-Channels aktiv beworben. Der Entwickler dieser Schädlinge integrierte die geklauten Logins und Passwörter in seine Malware und machte sich dadurch für Virenanalysten von Doctor Web sichtbar.
Der Entwickler der Schädlinge
Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits und konnten z.B. die Schädlinge
Im September wurde
Der Trojaner unterschob Nutzern gefälschte Login-Webseiten zum Eingeben von Login und Passwort. In einigen Fällen wurde man aufgefordert, einen Verifizierungscode, der an die Mobiltelefonnummer des Nutzers versendet wurde, einzugeben. All diese Daten wurden dann an Cyber-Kriminelle weitergeleitet. Die Malwareanalysten von Doctor Web haben insgesamt 340 Muster von
Eine weitere Recherche zeigte, dass ein Übeltäter eine ganze Reihe von Schädlingen wie Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony usw. für Phishing-Zwecke eingesetzt und eine gefälschte Kryptowährungsbörse gestartet hat, sowie einen Pool von Mining-Geräten Dogecoin zum Mieten angeboten und ein Partnerprogramm lanciert hat.
Online-Lotterien waren ein weiteres Projekt dieses Übeltäters. Als Preisgeld galt ein bestimmter Betrag in der Kryptowährung Dogecoin. In solchen Lotterien gewinnt man bekanntlich nichts.
Im November 2018 wurde durch die Virenanalysten von Doctor Web noch ein Schädling namens
Aufgrund dieses Trojaners sind bis heute insgesamt 1.400 Nutzer zu Schaden gekommen. Die ersten Fälle waren bereits 2013 bekannt. Mehr zu diesem Trojaner finden Sie in folgendem Beitrag.
Alles rund um Viren & Co
Gemäß der Statistik von Doctor Web waren 2018 der auf JavaScript geschriebene Schadcode, Spyware und böswillige Downloader auf PCs der Nutzer am häufigsten zu finden. Mit Hilfe des Schadcodes versuchten Cyber-Kriminelle, fremde Inhalte in Webseiten einzubetten und Kryptowährungen zu schürfen.
- JS.Inject
- Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.
JS.BtcMine - JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.
JS.DownLoader - Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
- Trojan.Starter.7394
- Trojaner, der im infizierten System eine ausführbare Datei mit einem bestimmten Funktionsumfang startet.
- Trojan.Encoder.567
- Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
- VBS.BtcMine
- Auf VBS geschriebene JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Die Analyse des E-Mail-Traffics zeigt ein ähnliches Bild auf. In Anhängen ist jedoch weiterhin Spyware häufiger anzutreffen:
JS.DownLoader - Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
- JS.Inject
- Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.
JS.BtcMine - JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.
- Trojan.Encoder.567
- Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.
Trojan.DownLoader - Böswillige Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.
Trojan.PWS.Stealer - Trojaner, die auf infizierten PCs Logins, Passwörter und weitere sensible Daten klauen.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Encoder
2018 gab es im Vergleich zu 2017 weniger Anfragen aufgrund der Infizierung durch Verschlüsselungstrojaner. Der Monat Januar verzeichnete ein Jahrestief. Ein Jahreshoch gab es im November.
Support-Anfragen aufgrund von Encodern im Jahr 2018:
Trojan.Encoder.858 — 19,83% Anfragen;Trojan.Encoder.11464 — 9,64% Anfragen;Trojan.Encoder.567 — 5,08% Anfragen;Trojan.Encoder.11539 — 4,79% Anfragen;- Trojan.Encoder.25574 — 4,46% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Malware für Linux
Unter den böswilligen Apps für Linux zeigten sich 2018 Mining-Trojaner besonders aktiv. Die ersten Angriffe auf Linux-Server wurden durch die Virenanalysten von Doctor Web Anfang Mai 2018 registriert. Cyber-Kriminelle bauten eine Verbindung zum Server via SSH auf, suchten mit Hilfe der Bruteforce-Methode nach Login und Passwort des Nutzers und deaktivierten nach ihrer erfolgreichen Autorisierung das Tool iptables, welches für die Verwaltung der Firewall verantwortlich ist. Anschließend luden sie einen Mining-Trojaner und seine Konfigurationsdatei auf den Zielrechner herunter. Später wurde dafür eine andere Malware verwendet. So wurde im August der auf Go erstellte Schädling
Die Virenanalysten von Doctor Web fanden auf demselben Server weitere Trojaner für Microsoft Windows.
Gefährliche und nicht empfohlene Webseiten
In die Datenbanken von Office Control und Web-Antivirus SpIDer Gate werden regelmäßig neue Adressen von nicht empfohlenen und potenziell gefährlichen Webseiten aufgenommen. Darunter sind u.a. böswillige Webseiten und Phishing-Ressourcen, von denen böswillige Programme verbreitet werden, zu finden. Das nachfolgende Diagramm zeigt die Verteilung von gefundenen nicht empfohlenen und potenziell gefährlichen Webseiten.
Cyber-Kriminelle im Netz
Betrug gab es schon immer im Netz – das Jahr 2018 war hier keine Ausnahme. So wurde Anfang März ein Massenversand von Phishing-Mails im Namen von Mail.Ru Group registriert. Um an Logins und Passwörter von Mail.Ru-Nutzern zu kommen, erstellten Unbekannte eine ähnliche Webseite des beliebten Dienstes.
Im Mai 2018 berichtete Doctor Web von neuen Methoden der Cyber-Betrüger, die Nutzer über massenhafte Spam- und Phishing-Mails auf speziell angefertigte Webseiten lockten. Die Spammer versprachen, Überzahlungen für Sozial- und Krankenkassenversicherungen zu erstatten. Um die Rückerstattung zu erhalten, sollten einfältige Nutzer einen kleinen Betrag auf das Konto der Betrüger überweisen. Selbstverständlich gab es danach keine Rückerstattung.
Die Virenanalysten von Doctor Web spürten 110 ähnliche Webseiten auf, die von Netzbetrügern im Zeitraum von Februar bis Mai 2018 erstellt wurden. Im August 2018 wurden Domainadministratoren angegriffen, die früher Dienstleistungen von RU-CENTER genutzt haben. Mitte des Monats erhielten sie E-Mails, die angeblich von RU-CENTER stammten. In den Phishing-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges bezahlt werden sollten.
LBetrüger versenden häufig E-Mails im Namen bekannter Unternehmen. Betroffen war diesmal der Online-Shop Aliexpress, dessen Stammkunden Phishing-Mails mit der Einladung, Links zu Aktionen und Rabatten zu folgen, erhalten haben.
In der Tat war der Online-Shop nichts anderes als eine Sammlung von Links, die den Nutzer zu betrügerischen Marktplätzen weiterleiteten. Die Frage, wie die Kriminellen in den Besitz der Kundendatenbank von Aliexpress gekommen sind, bleibt immer noch unbeantwortet.
Malware für mobile Geräte
Nutzer von Android-Geräten erlebten auch im Jahr 2018 Angriffe von vielen böswilligen Apps. Darunter waren u.a. Banking-Trojaner, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner
Im November 2018 haben die Virenanalysten von Doctor Web
Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling
Auch Banking-Trojaner für Android wurden aktiv verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das frei zugängliche Muster von
Viele Banking-Trojaner gelangten auf Geräte der Nutzer dank Trojanern wie
Auch 2018 haben Trojaner der Familie
Ein weiterer Trojaner unter dem Namen
Cyber-Kriminelle griffen auch auf andere Methoden zurück, um mit Hilfe der Schädlinge an Geld zu kommen. So setzten sie den Mining-Trojaner
Im Herbst wurde auch
Trojaner wurden auch in Betrugskampagnen eingesetzt. In einem Fall wurde Nutzern für die Teilnahme an der Umfrage eine Entschädigung versprochen, die aber gemäß Regel der Kriminellen nur überwiesen werden konnte, wenn Nutzer selbst einen kleinen Betrag an Cyber-Betrüger überwiesen. Nach der Überweisung des Geldes war von den Umfrage-Autoren nichts mehr zu hören. In einem weiteren Fall wurden von Kriminellen sogenannte Klicker eingesetzt, die durch das Klicken auf Anzeigen Geld für ihre Besitzer verdienen sollten.
Trojaner wie bspw.
2018 wurden auch Fälle mit der Infizierung von Android-Firmware registriert. Einer solcher Fälle war die Infizierung von über 40 Smartphone- und Tablet-Modellen durch
Trends
Obwohl es 2018 keine großen Epidemien gab, ist eine massive Verbreitung von Malware in der Zukunft wahrscheinlich. Böswillige Szenarien in verschiedenen Sprachen werden sich weiterhin vermehren und nicht nur Microsoft Windows, sondern auch andere Plattformen wie Linux gefährden.
Auch neue Mining-Trojaner, die Hardware-Ressourcen infizierter Geräte verdeckt ausnutzen, werden Nutzern zusetzen. Das Interesse der Cyber-Kriminellen am IoT wird weiter steigen: Trojaner für smarte Geräte gibt es bereits und in naher Zukunft wird deren Anzahl sicherlich wachsen.
Es gibt jeden Grund zur Annahme, dass Virenschreiber 2019 neue Trojaner für Google Android entwickeln und verbreiten werden. Die Trends des vergangenen Jahres zeigen, dass Werbe- und Banking-Trojaner mit großer Wahrscheinlichkeit die mobile Malware dominieren werden.
Es ist eher unwahrscheinlich, dass betrügerische E-Mails und Newsletter verschwinden: Cyber-Kriminelle werden weiter an neuen Betrugsmethoden tüfteln. Deshalb ist es wichtig, einen zuverlässigen Schutz gegen Viren & Co. zu haben!
Erfahren Sie mehr mit Dr.Web
30.11 Der Doctor Web Virusreport November 2018
Frankfurt, 30. November 2018
Im November 2018 haben die Virenanalysten von Doctor Web einen Mining-Trojaner für Linux erforscht, der die auf dem PC installierte Virenschutzsoftware deinstallieren kann. Außerdem haben sie einen Windows-Clicker und mehrere böswillige Apps für Android ausfindig gemacht.
Hauptereignisse
- Verbreitung eines Windows-Clickers
- Neuer Mining-Trojaner für Linux, der Virenschutzsoftware entfernen kann
- Neue Malware für Android
Bedrohung des Monats
Der Trojaner wird unter dem Namen
Von dieser Webseite wird ein Archiv mit der Datei setup.exe heruntergeladen, die eine andere Datei herunterlädt. Diese Datei wird als ARJ-Archiv getarnt, welches einen Trojaner und die App DynDNS installiert. Wenn der Nutzer entscheidet, die App zu deinstallieren, wird nur die App DynDNS deinstalliert.
Serverstatistik von Doctor Web
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
- JS.DownLoader
- Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
- Trojan.MulDrop
- Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.
Trojan.Encoder.11432 - Wurm, der auch unter dem Namen WannaCry bekannt ist.
Malware im E-Mail-Traffic
- JS.DownLoader
- Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.
- JS.Miner
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.Encoder.26375 - Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.
Encoder
Support-Anfragen aufgrund von Encodern im November 2018:
Trojan.Encoder.858 — 32.15% Anfragen;Trojan.Encoder.11464 — 11.17% Anfragen;Trojan.Encoder.11539 — 10.80% Anfragen;- Trojan.Encoder.25574 — 4.91% Anfragen;
Trojan.Encoder.567 — 1.35% Anfragen;Trojan.Encoder.10700 — 1.35% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Zu den gängigen Methoden der Cyber-Kriminellen gehört das sogenannte Phishing, mit dem einem Opfer eine speziell erstellte Webseite oder ein Formular untergeschoben wird, welches vertrauliche Nutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitet. Diese wiederum können die Daten zur Erpressung der Nutzer verwenden.
Im November 2018 wurden mehrere Kampagnen registriert, in denen Cyber-Kriminelle Nutzer aufforderten, auf einen Link zu klicken, um die Deaktivierung von E-Mail-Konten abzubrechen.
Der Link führte zu einem speziell erstellten Formular, das Benutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitete. Das Analystenteam von Doctor Web machte mehrere Webseiten dieser Art ausfindig und trug sie in die Datenbank von nicht erwünschten Webseiten ein.
Im November 2018 wurden 231.074 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Oktober 2018 | November 2018 | Wachstum |
|---|---|---|
| + 156 188 | + 231 074 | + 47.94% |
Bedrohungen für Linux
Der Trojaner stellt ein Szenario dar, das in der sh-Sprache geschrieben ist und über 1.000 Codezeilen enthält. Der Bösewicht besteht aus mehreren Komponenten, die vom Server der Cyber-Kriminellen heruntergeladen werden. Nach erfolgreicher Installation lädt er den Schädling
Nachdem sich
Andere Ereignisse
Gemäß Statistik war
Die schädlichen Funktionen von
Nach Befehl von Cyber-Kriminellen ist
Der Bösewicht ist in der Lage, nach Online-Banking-Clients in geöffneten Fenstern, in Dateien und Browser-Cookies zu suchen. Nachdem sich
Malware für mobile Geräte
Im November 2018 haben die Analysten von Doctor Web
Hauptereignisse in der mobilen Sicherheitsszene:
- Verbreitung von böswilligen und unerwünschten Apps auf Google Play.
Erfahren Sie mehr mit Dr.Web
20.11 Neuer Mining-Trojaner für Linux löscht Virenschutzsoftware
Frankfurt, 20. November 2018
Der Trojaner, welcher als
Bei einer erfolgreichen Installation lädt der Trojaner eine Version von
Nach seiner Installation sucht
Anschließend versucht der Schädling Services von Virenschutzsoftware mit den Namen safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord zu finden. Sobald der Trojaner einen dieser Services entdeckt, bricht er nicht nur seinen Prozess ab, sondern löscht auch die Dateien und das Verzeichnis, in dem die Virenschutz-App installiert war.
Anschließend trägt sich
Nach all diesen Schritten startet
Eine vollständige Liste mit den Indikatoren einer Infizierung finden Sie hier https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.
31.10 Doctor Web: Rückblick und Analyse von Bedrohungen im Oktober 2018
Frankfurt, 31. Oktober 2018
Im Oktober 2018 hat Doctor Web die Ergebnisse einer Recherche zur Tätigkeit eines Cyber-Kriminellen veröffentlicht. Die Zahl der geschädigten Opfer, die wegen der Betrugsaktionen mindestens 24.000 US-Dollar verloren haben, liegt bei ca. 10.000 Nutzern.
Im Laufe des Monats versendete eine Gruppe von Übeltätern E-Mails, in denen sie von Nutzern Geld für die Nicht-Veröffentlichung ihrer persönlichen Daten forderten. Die Cyber-Kriminellen konnten den Zugang zu einer Datenbank mit E-Mail-Adressen und Passwörtern der Nutzer erlangen und verschickten an diese E-Mail-Adressen Nachrichten, dass auf ihren Rechnern ein Schädling installiert sei und ihre Passwörter den Kriminellen längst bekannt seien. Für die Nicht-Veröffentlichung der persönlichen Daten verlangten die Erpresser ein Lösegeld in Bitcoins, das umgerechnet Beträgen in Höhe von 500 bis 850 US-Dollar entspricht.
Die Kriminellen nutzen dabei mehrere Bitcoin-Geldbörsen. Gemäß Informationen auf der Webseite blockchain.com sind mehrere Opfer auf das Angebot der Übeltäter reingefallen.
In letzter Zeit ist diese Erpressungsmethode bei Cyber-Kriminellen äußerst beliebt. Sie versenden massenhaft E-Mails mit Übereinstimmungen von Benutzernamen und Passwörtern. Die Erpresser setzen keine Viren oder Trojaner ein, um an die Daten zu gelangen. Nutzer können sich gegen solche Angriffe schützen, indem sie neue Passwörter anlegen.
Hauptereignisse
- Gefährlicher Cyber-Krimineller entlarvt
- Massenhafter Versand von Spam durch Erpresser
Bedrohung des Monats
Das Team von Doctor Web führte eine große Recherche durch und teilte deren Ergebnisse im Oktober. Im Rampenlicht der Recherche stand ein Cyber-Krimineller, der sich unter den Namen Investimer, Hyipblock und Mmpower versteckte. Dieser Bösewicht setzte in seinem kriminellen Geschäft ein breites Arsenal an Tools ein, u.a. Stealer, Downloader, Encoder und Miner mit dem integrierten Modul zur Unterschiebung der Inhalte aus der Zwischenablage.
Zum Spezialgebiet von Investimer gehörten Kryptowährungen. Die Methoden, mit denen er Kryptowährungen sammelte, sind vielfältig: Er entwickelte Webseiten von nicht existierenden Kryptobörsen, Mining-Farms, Partnerprogrammen und Online-Lotterien.
Das Beuteschema des Cyber-Kriminellen sah folgendermaßen aus: Der Betrüger lockte das Opfer auf verschiedenen Wegen auf eine böswillige Webseite, von der es ein vermeintliches Client herunterladen sollte. Unter dem Deckmantel des Clients versteckte sich ein Trojaner, der auf Befehl des Kriminellen weiteren Schadcode auf dem Rechner des Opfers installierte. Solche Programme (meistens waren es sogenannte Stealer) klauten aus dem infizierten System sensible Daten, die später zum Gelddiebstahl aus Krypto-Wallets und Bezahlungssystemen verwendet wurden.
Die Analysten von Doctor Web gehen davon aus, dass die Gesamtzahl von Nutzern, die wegen solcher Betrugsaktivitäten zu Schaden kamen, bei ca. 10.000 liegt. Die Schadenschätzung liegt bei etwa 24.000 US-Dollar. Dazu gehören auch 182.000 Dogecoins, was umgerechnet 900 US-Dollar entspricht. Mehr zu dieser Recherche finden Sie hier.
Serverstatistik von Doctor Web
JS.BtcMine - Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
- Trojan.Starter.7394
- Trojaner, der im infizierten System eine ausführbare Datei mit böswilligen Funktionen startet.
Trojan.Encoder.11432 - Verschlüsselungstrojaner, der auch unter dem Namen WannaCry bekannt ist.
Malware im E-Mail-Traffic
JS.BtcMine - Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
W97M.DownLoader - Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.
- Trojan.Encoder.26375
- Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
Encoder
Support-Anfragen aufgrund von Encodern im Oktober 2018:
Trojan.Encoder.858 — 20.04% Anfragen;Trojan.Encoder.11464 — 11.67% Anfragen;Trojan.Encoder.567 — 6.23% Anfragen;- Trojan.Encoder. 25574 — 5.84% Anfragen;
- Trojan.Encoder.1539 — 4.86% Anfragen;
Trojan.Encoder.5342 — 1.75% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Oktober 2018 wurden 156.188 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| September 2018 | Oktober 2018 | Wachstum |
|---|---|---|
| + 271,605 | + 156,188 | - 42.49% |
Malware für mobile Geräte
Anfang Oktober wurde ein neuer Trojaner namens
Ende Oktober wurden auf Google Play Downloader wie
Außerdem erforschte das Analystenteam von Doctor Web die Trojaner
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung von Schadcode auf Google Play;
- Verbreitung eines gefährlichen Banking-Trojaners, der den Schadcode blitzschnell kompilieren und ausführen kann.
Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.
Erfahren Sie mehr mit Dr.Web
19.10 Doctor Web: VPN-Client für Android enthielt einen Trojaner
Frankfurt, 19. Oktober 2018
Der Trojaner, dem der Name
Beim Starten versuchte
Unsichtbar für den Nutzer lud der Schädling eine apk-Datei und speicherte diese auf der SD-Karte. Anschließend versuchte er den Nutzer zu überzeugen, die App zu installieren. Ein Beispiel einer solchen Meldung, mit der
Zum Zeitpunkt der Analyse stellte eine ausführbare Datei den Trojaner
Der IT-Sicherheitsspezialist Doctor Web benachrichtigte Google über den Malwarefund auf Google Play. Anschließend wurde der Schädling aus dem Katalog entfernt.
Alle oben erwähnten Trojaner stellen keine Gefahr für Dr.Web Nutzer dar. Dr.Web für Android spürt diese erfolgreich auf und löscht sie von mobilen Endgeräten.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
28.09 Doctor Web: Rückblick und Analyse von Bedrohungen im September 2018
Frankfurt, 28. September 2018
Der Monat September 2018 wurde durch die Verbreitung eines Banking-Trojaners gekennzeichnet, der PCs von Kunden brasilianischer Banken infizierte. Das Analystenteam von Doctor Web entdeckte über 300 unterschiedliche Muster dieses Schädlings sowie knapp 130 Marktplätze, von denen der Schädling eigene Komponenten lud. Außerdem wurde eine Reihe neuer gefährlicher Apps für Android-Nutzer ausfindig gemacht.
Hauptereignisse
- Verbreitung eines neuen Banking-Trojaners
- Entdeckung von neuen Schädlingen für Android
Bedrohung des Monats
Banking-Trojaner, die Konten von Bankkunden plündern, sind weltweit verbreitet. Ein neuer Schädling, der es auf Bankkunden in Brasilien abgesehen hat, wurde nun vom Analystenteam von Doctor Web unter die Lupe genommen. Registriert wurde er als
Der Trojaner verbreitete sich als App für PDF-Dateien Adobe Reader und infizierte Rechner unter dem Betriebssystem eMicrosoft Windows, in dem Portugiesisch als Benutzersprache eingestellt ist. Alle böswilligen Funktionen von
Wenn der Benutzer Webseiten von brasilianischen Banken öffnet, spielt ihm der Schädling ein gefälschtes Formular zur Eingabe seines Benutzernamens und Passworts zu. In einigen Fällen fordert der Schädling den Benutzer auf, einen Code einzugeben, den er via SMS erhalten haben soll. Anschließend werden gesammelte Daten durch den Bösewicht an Cyber-Kriminelle weitergeleitet.
Serverstatistik von Doctor Web
- JS.BtcMine
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.Encoder.567 - Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.
Trojan.SpyBot.699 - Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
Trojan.PWS.Stealer.1932 - Trojaner, der auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
Malware im E-Mail-Traffic
- Trojan.Encoder.567
- Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.
- JS.BtcMine
- Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
W97M.DownLoader - Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.
Encoder
Support-Anfragen aufgrund von Encodern im September 2018:
Trojan.Encoder.567 — 16,94% Anfragen;Trojan.Encoder.858 — 12,71% Anfragen;Trojan.Encoder.11464 — 10,68% Anfragen;- Trojan.Encoder.25574 — 4,79% Anfragen;
Trojan.Encoder.24249 — 4,42% Anfragen;Trojan.Encoder.11539 — 1,84% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im September 2018 wurden 271.605 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| August 2018 | September 2018 | Wachstum |
|---|---|---|
| + 538 480 | + 271 605 | – 49,5% |
Malware für mobile Endgeräte
Im September 2018 konnten die Virenanalysten von Doctor Web die Verbreitung von
Unter den auf Google Play entdeckten Schädlingen finden sich auch die Banking-Trojaner
Darüber hinaus haben Cyber-Kriminelle im September 2018 den gefährlichen Spion
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung von böswilligen Apps auf Google Play
- Verbreitung von Spyware
- Aufspürung eines kostenpflichtigen Schädlings, der Android-Nutzer ausspioniert.
Erfahren Sie mehr mit Dr.Web
30.08 Doctor Web: Rückblick und Analyse von Bedrohungen im August 2018
Frankfurt, 31. August 2018
Im August 2018 konnten die Virenanalysten von Doctor Web Mining-Trojaner ausfindig machen, die Kryptowährung - ohne Wissen der Anwender - geschürft haben. Diese Schädlinge waren nicht nur für Windows-, sondern auch für Linux-Geräte bestimmt. Cyber-Kriminelle wollten so das begehrte digitale Geld verschwinden lassen.
Außerdem wurde die Dr.Web Virendatenbank um neue Signaturen für Android-Trojaner erweitert.
Hauptereignisse
- Verbreitung von Mining-Trojanern für Windows und Linux
- Betrügerische E-Mails
- Entdeckung neuer Schädlinge für Android
Bedrohung des Monats
Der Schädling, der in der Dr.Web Virendefinitionsdatei unter dem Namen
Alle entdeckten Schädlinge wurden selbstverständlich in die Dr.Web Virendatenbank aufgenommen.
Serverstatistik von Doctor Web
- JS.BtcMine
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.Encoder.11432 - Wurm, der auch unter dem Namen WannaCry bekannt ist.
- Trojan.BtcMine
- Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
- Win32.HLLW.Shadow
- Wurm, der für seine Verbreitung Wechseldatenträger und Network Volumes ausnutzt. Außerdem kann sich der Schädling mit Hilfe des SMB-Protokolls verbreiten, vom Remote-Server eine Datei herunterladen und diese ausführen.
Malware im E-Mail-Traffic
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
Trojan.Encoder.567 , Trojan.Encoder.25843- Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.
- JS.BtcMine
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
Trojan.Inject - Trojaner, die Schadcode in Webseiten einbetten.
Encoder
Support-Anfragen aufgrund von Encodern im August 2018:
Trojan.Encoder.858 — 20,00% AnfragenTrojan.Encoder.11464 — 14,23% Anfragen- Trojan.Encoder.25574 — 9,24% Anfragen
Trojan.Encoder.567 — 3,46% AnfragenTrojan.Encoder.24249 — 3,45% AnfragenTrojan.Encoder.10700 — 2,50% Anfragen
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im August 2018 wurden Domainadministratoren attackiert, die früher Dienstleistungen des Domainregistrierungsdienstes RU-CENTER in Anspruch genommen haben. Mitte des Monats erhielten sie E-Mails, die angeblich von diesem Unternehmen stammen. In den E-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges beglichen werden sollten.
Der Link führte zu einer gehackten Webseite, deren Adresse in die Datenbank von nicht empfohlenen Webseiten aufgenommen wurde. Das böswillige Szenario leitete Anwender auf die Seite von Yandex.Money, wo Betrüger an ihr Geld kommen konnten. Mehr dazu finden Sie hier.
Im August erhielten viele Anwender E-Mails, in denen Cyber-Kriminelle Lösegeld für nicht veröffentlichte und vermeintlich heikle Videos von Nutzern gefordert haben. Das Lösegeld sollte in Bitcoins gezahlt werden und betrug umgerechnet mehrere Tausend Euro.
Sicherlich ist dies eine Falle für einfältige Nutzer. Das Analyseteam von Doctor Web empfiehlt, keine gleichen Logins und Passwörter für verschiedene Webseiten zu verwenden und diese regelmäßig zu ändern.
Im August 2018 wurden 538.480 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Juli 2018 | August 2018 | Wachstum |
|---|---|---|
| +512.763 | +538.480 | +5% |
Malware für mobile Endgeräte
Im August 2018 entdeckten die Virenanalysten von Doctor Web den Trojaner
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung eines Trojaners, der Wallet-Nummern in Zwischenspeichern von Android-Geräten unterschiebt
- Entdeckung von Malware auf Google Play
- Verbreitung von Banking-Trojanern
- Entdeckung von Spyware
Erfahren Sie mehr mit Dr.Web
31.07 Doctor Web: Rückblick und Analyse von Bedrohungen im Juli 2018
Frankfurt, 31. Juli 2018
Anfang Juli haben die Sicherheitsanalysten von Doctor Web einen Trojaner analysiert, der sich einer ungewöhnlichen Verbreitungsmethode bediente. Im Laufe des Monats zeigten sich auch Spammer aktiv, die betrügerische Webseiten beworben haben. Zudem wurde die Dr.Web Virendefinitionsdatei um neue Signaturen für Android-Schädlinge erweitert.
Hauptereignisse
- Entdeckung eines gefährlichen Mining-Trojaners
- Verbreitung böswilliger Newsletter
- Neuer Trojaner für Android
Bedrohung des Monats
Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits. So konnten z.B. die Schädlinge
Im Juli 2018 teilte ein Anwender dem technischen Support von Doctor Web mit, dass er auf seinem PC immer wieder eine Mining-App entdecken konnte, die jedes Mal durch Virenschutzsoftware entfernt wurde. Während der Untersuchung stellten die Virenanalysten von Doctor Web fest, dass eine App zur Automatisierung von Prozessen für ein erneutes Auftauchen des Schädlings verantwortlich war.
Über Updates lud diese App Malware herunter und installierte den Mining-Trojaner
Mehr zum Trojaner lesen Sie hier.
Serverstatistik von Doctor Web
- JS.BtcMine
- JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.DownLoader - Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.
- Trojan.Starter.7394
- Trojaner, der im infizierten System eine Datei mit einem gewissen Funktionenset startet.
Malware im Email-Traffic
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- JS.BtcMine
- Szenario auf JavaScript, welches Kryptowährung schürft.
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
- Trojan.Inject
- Familie von Trojanern, die den Schadcode in Prozesse anderer Programme integriert.
Encoder
Support-Anfragen aufgrund von Encodern im Juli 2018:
Trojan.Encoder.858 — 17.69% Anfragen;- Trojan.Encoder.25574 — 11.38% Anfragen;
Trojan.Encoder.11464 — 8.06% Anfragen;Trojan.Encoder.567 — 5.08% Anfragen;Trojan.Encoder.5342 — 3.85% Anfragen;Trojan.Encoder.24249 — 3.33% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Juli 2018 konnten die Virenanalysten von Doctor Web mehrere betrügerische E-Mail-Kampagnen entdecken. So haben Spammer im Namen von Yandex die Anwender aufgefordert, die Verknüpfung der E-Mail-Adresse mit einem Konto auf passport.yandex.ru zu bestätigen. Der Link, den die Empfänger erhielten, führte auf die Webseite von Yandex, der andere aber führte das Opfer zur Webseite von Cyber-Kriminellen, die einen Geldbetrag für das versprochene Geschenk forderten.
In anderen betrügerischen E-Mails gab es auch Links zum Service Google Docs, wo Cyber-Kriminelle das Bild reCAPCHA imitierten und mit dessen Hilfe Nutzer auf Phishing-Webseiten weiterleiteten.
Die Adressen sämtlicher betrügerischer Webseiten wurden in die Datenbank nicht empfohlener Webseiten hinzugefügt.
Im Juli 2018 wurden insgesamt 512.763 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Juni 2018 | Juli 2018 | Wachstum |
|---|---|---|
| + 395 477 | + 512 763 | +29.6% |
Bedrohungen für mobile Geräte
Im Juli 2018 wurden auf Google Play mehrere Schädlinge entdeckt. Einer davon war
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung von Trojanern auf Google Play
- Verbreitung von Banking-Trojanern für Android
- Verbreitung einer Android-Backdoor, die Rechner unter Windows infiziert
- Entdeckung von neuen kommerziell verwendeten Spyware-Schädlingen
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie in unserem Bericht.
Erfahren Sie mehr mit Dr.Web
31.07 Doctor Web: Rückblick und Analyse von Bedrohungen für mobile Geräte im Juli 2018
Frankfurt, 31. Juli 2018
Im Juli 2018 haben Cyber-Kriminelle
Hauptereignisse
- Verbreitung einer Android-Backdoor, die Nutzer ausspioniert und Rechner unter Windows infiziert
- Neue Malware auf Google Play
- Verbreitung von Banking-Trojanern
Mobile Bedrohung des Monats
Im Juli 2018 wurde ein erneuter Angriff gegen Android-Nutzer durch
Liste von Verzeichnissen, wo der Trojaner
Beispiele von erfolgreichen Kopiervorgängen mit Bildern auf der SD-Karte eines infizierten Android-Gerätes:
Statistik von Dr.Web für Android
- Android.Altamob.1.origin
- Werbe-Plattform, die böswillige Module unsichtbar herunterlädt und startet.
Android.HiddenAds .288.originAndroid.HiddenAds .524- Trojaner, die lästige Werbung anzeigen, sich als beliebte Apps verbreiten und ins Systemverzeichnis installieren.
Android.Mobifun .4- Trojaner, der andere böswillige Apps herunterlädt.
Android.Xiny .197- Trojaner, der böswillige Apps herunterlädt und installiert.
- Adware.SalmonAds.3.origin
- Adware.Altamob.1.origin
- Adware.Appalytic.1.origin
- Adware.Adtiming.1.origin
- Adware.Jiubang.2
- Unerwünschte Module, die in Android-Apps eingebettet werden.
Banking-Trojaner
Im vergangenen Monat wurde auf Google Play ein weiterer Trojaner entdeckt, der nach der Klassifikation von Doctor Web den Namen
Die Virenanalysten von Doctor Web nahmen einen weiteren Android-Trojaner unter die Lupe. Der Schädling heißt
Mit Hilfe des Schädlings versuchten Cyber-Kriminelle, den Zugang zu Kundenkonten bei türkischen Banken zu ergaunern.
Zu Banking-Trojanern, die Nutzer im vergangenen Monat attackierten, gehört auch
Websites, von denen
Spyware
Im vergangenen Monat konnten die Malwareanalysten von Doctor Web kommerziell eingesetzte Spyware ausfindig machen. Die erste App wurde als
Banking-Trojaner stellen für Besitzer von mobilen Geräten eine ernsthafte Gefahr dar. Cyber-Kriminelle verbreiten Malware nicht nur über betrügerische Websites, sondern auch über Google Play. Um sich zuverlässig gegen Android-Trojaner zu schützen, installieren Sie Dr.Web für Android!
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
16.04 Der von Doctor Web entdeckte Encoder kann Dateien nicht entschlüsseln
Frankfurt, 16. April 2018
Der neue Trojaner wurde als
Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.
Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen jedoch nicht möglich.
Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer gut.
Damit der Trojaner Ihre Dateien nicht vernichten kann, aktivieren Sie die Option Schutz vor Datenverlust
| Ready to combat encryption ransomware! | Produktpräsentationen | Kostenlose Entschlüsselung |
23.03 Doctor Web: Neuer Trojaner verbreitet sich auf YouTube
Frankfurt, 23. März 2018
Der als
Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:
- Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
- Gespeicherte Logins/Passwörter aus den genannten Browsern;
- Bildschirmaufnahmen.
Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Alle übermittelten Daten speichert
Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als
Mehr zum Trojaner.
Frankfurt, 13. März 2018
Die entdeckten Apps tragen Namen von bekannten Apps und besitzen ähnliche Benutzeroberflächen. Die Malware-Analysten von Doctor Web haben gefälschte QIWI-App-Software (russischer Zahlungsdienstleister), Sberbank Online, Odnoklassniki und VK (beliebte soziale Netzwerke) und NTV (russischer Fernsehsender) gefunden.
Im Folgenden wird gezeigt, wie Cyber-Kriminelle potenzielle Opfer austricksen. In der linken Abbildung sehen Sie die gefälschte App, die Sie bei Google Play finden, in der rechten Abbildung sehen Sie die echte App.
Jedes Mal, wenn die gefälschten Apps gestartet werden, stellen sie eine Verbindung mit dem Verwaltungsserver her. Der Server antwortet mit dem Parameter "none" oder sendet den von Cyber-Kriminellen angegebenen Weblink. Wenn der Parameter empfangen wird, extrahieren die Schadprogramme mehrere Bilder aus ihren Ressourcen und zeigen sie den Benutzern an. Wenn die Schadprogramme den Weblink vom Server erhalten, laden sie die Webseite und zeigen sie an. Die Seite wird dann über WebView direkt in den Anwendungen geöffnet. Die Benutzer sehen den Link zur Ziel-Internetadresse jedoch nicht. Die Inhalte der gezeigten Webseiten können variieren. Zum Beispiel können Smartphone-Nutzer gefälschte Anmeldeformulare von Online-Banking-Systemen oder sozialen Netzwerken sehen. So laufen die Nutzer Gefahr, Opfer von Phishing-Angriffen zu werden. Da diese Funktionalität eine Bedrohung darstellt, wurde die App als
Neben den beschriebenen Trojanern wurden über 70 vergleichbare Apps entdeckt, die bereits von über 270.000 Nutzern heruntergeladen wurden. Unter den Apps finden sich gefälschte Spiele, Rezeptbücher, Strickanleitungen usw. Einige von ihnen führen die genannten Funktionen wirklich aus. Diese können Links zu beliebigen Webseiten vom Verwaltungsserver erhalten, Apps herunterladen und diese anzeigen. Das gilt auch für
Die Trojaner wurden von mindestens vier Entwicklern verbreitet: Tezov apps, Aydarapps, Chmstudio und SVNGames. Das Team von Doctor Web benachrichtigte Google über alle böswilligen Apps. Zum Zeitpunkt der Veröffentlichung dieser Meldung waren sie jedoch immer noch verfügbar.
Das Team von Doctor Web warnt alle Nutzer, auch bei der Installation von Apps aus zuverlässigen Quellen wie Google Play auf den Namen eines Entwicklers zu achten. Cyber-Kriminelle können die Oberflächen von Apps kopieren, um Nutzer dazu zu bewegen, diese zu installieren. Dr.Web für Android entdeckt und löscht alle bekannten Varianten von
- Mehr zum Trojaner Android.Click.415 Trojan
- Mehr zum Trojaner Android.Click.416 Trojan
- Mehr zum Trojaner Android.Click.417 Trojan
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
06.03 Doctor Web: Neue Download-Trojaner laufen verdeckt
Frankfurt, 6. März 2018
Die Trojanerfamilie
Eine der Dateien, die
Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.
Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.
Dr.Web Malwareschutzprodukte schützen zuverlässig gegen
01.03 Doctor Web: Über 40 Modelle von Android-Smartphones sind infiziert
Frankfurt, 1. März 2018
Nachdem
Die Analyse der App für Leagoo M9 zeigte, dass sie mit dem gleichen Zertifikat wie bei dem Trojaner
Zum jetzigen Zeitpunkt konnten die Malwareanalysten von Doctor Web den Schädling
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ-5510 Strike Power Max 4G (Russia)
Diese Liste ist nicht vollständig und kann durchaus noch länger sein.
Eine weite Verbreitung von
Dr.Web Produkte für Android erkennen alle bekannten Versionen von
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
28.02 Doctor Web: Rückblick und Analyse von mobilen Bedrohungen im Februar 2018
Frankfurt, 28. Februar 2018
Im Februar 2018 wurde ein Mining-Trojaner entdeckt, der verschiedene Android-Geräte per Fernzugriff infizieren konnte. Darüber hinaus wurden Anwender vom Trojaner
Hauptereignisse
- Verbreitung eines Mining-Trojaners, der Android-Geräte selbständig infizieren kann
- Verbreitung eines Banking-Trojaners
Mobile Bedrohung des Monats
Im Februar 2018 wurde der Trojaner
Dr.Web Produkte für Android
Android.RemoteCode .121.originAndroid.RemoteCode .117.origin- Trojaner, die u.a. böswillige Module herunterladen und starten.
Android.HiddenAds .253Android.HiddenAds .222.origin- Trojaner, die aufdringliche Werbung anzeigen und sich unter dem Deckmantel beliebter Apps durch andere böswillige Software verbreiten.
Android.Mobifun .4- Trojaner, der andere böswillige Apps herunterlädt.
- Adware.Adpush.601
- Adware.Jiubang.2
- Adware.Jiubang.1
Adware.Leadbolt .12.origin- Unerwünschte App-Module, die in Android-Apps eingebettet werden und aufdringliche Werbung anzeigen.
Tool.SilentInstaller .1.origin- Potenziell gefährlicher Schädling, der Apps unsichtbar für Anwender startet.
Banking-Trojaner
Im vergangenen Monat wurde auf Google Play
Die Virenschreiber feilen weiterhin an Apps für Android und verbreiten diese sowohl nach alten als auch nach neuen Methoden. Es gibt immer noch Trojaner auf Google Play. Um sich gegen diese Art von Bedrohungen zu schützen, sollten Anwender Dr.Web Produkte für Android installieren.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
05.02 Doctor Web warnt vor neuem Verschlüsselungstrojaner
Frankfurt, 5. Februar 2018
Der Trojaner, den seine Entwickler als «GandCrab!» tauften, wurde in die Dr.Web Virendefinitionsdatei als
Nachdem
Der Trojaner verschlüsselt Inhalte von internen und externen Datenträgern sowie Network Values außer Verzeichnissen, in denen es Dienst- und Systemordner gibt. Jeder einzelne Datenträger wird in einem separaten Strom verschlüsselt. Nachdem die Verschlüsselung durchgeführt wurde, sendet der Schädling Informationen zur Anzahl von verschlüsselten Dateien sowie zur Zeit, die dafür verwendet wurde.
Der Trojaner verwendet einen Verwaltungsserver. Um dessen Namen herauszufinden, führt der Schädling den Befehl nslookup aus und sucht nach nötigen Informationen in den Suchtreffern.
Zurzeit ist die Dekodierung von Dateien, die durch
Damit der Trojaner Ihre Dateien nicht vernichten kann, aktivieren Sie die Option Schutz vor Datenverlust
| Mehr zu Verschlüsselungs-Trojanern | Produktpräsentationen | Kostenlose Entschlüsselung | Rubrique " Tout chiffrer " |
31.01 Doctor Web: Rückblick und Analyse von Bedrohungen im Januar 2018
Frankfurt, 31. Januar 2018
Der Jahresbeginn 2018 wurde durch mehrere auf Google Play entdeckte Spiele, die mit einem Trojaner ausgerüstet waren, gekennzeichnet. Der Schädling konnte auf infizierten Geräten böswillige Module herunterladen und diese ausführen. Die Schadcode-Analysten von Doctor Web haben auch mehrere Mining-Trojaner erforscht, die Server unter Windows infizierten. Alle erwähnten Schädlinge nutzten die Sicherheitslücke in Cleverence Mobile SMARTS Server aus.
Hauptereignisse
- Neuer gefährlicher Android-Trojaner auf Google Play.
- Verbreitung neuer Versionen von Mining-Trojanern, die Server unter Windows infizieren.
Bedrohung des Monats
Die Anwendungen Cleverence Mobile SMARTS Server wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Im Juli 2017 haben die Sicherheitsanalysten von Doctor Web bereits eine Zero-Day-Sicherheitslücke in dieser Software entdeckt und deren Entwickler benachrichtigt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der die Schwachstelle beseitigen sollte. Dies gelang aber nicht für alle Server, weil einige Administratoren den veröffentlichten Sicherheits-Patch nicht installiert haben. So konnten Kriminelle weiterhin Kryptowährung schürfen. Die Einschleusung sah so aus: An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, sendete man den Befehl, einen neuen Benutzer mit Administratorrechten anzulegen, und erhielt einen unerlaubten Zugang zum Server via RDP. In einigen Fällen konnten Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem man den Zugang zum System erhalten hatte, installierte man darauf einen Mining-Trojaner.
Der von Kriminellen entwickelte Mining-Trojaner wird laufend verbessert. Zunächst wurden mehrere Versionen des Trojaners installiert. Diese sind bspw. unter den Namen
Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Virenschutzsoftware zu entfernen. Dir Kriminellen verwenden
Dr.Web Antivirus Statistik
- Trojan.Moneyinst.520
- Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.
- Trojan.Starter.7394
- Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.
Trojan.BPlug - Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.
- Trojan.DownLoad
- Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Trojan.Zadved - Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
Serverstatistik
- JS.BtcMine.7, JS.BtcMine.2
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
JS.DownLoader - Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Trojan.PWS.Stealer - Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Malware im E-Mail-Traffic
- JS.BtcMine.7
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- JS.Inject
- Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
- Trojan.Encoder.24348
- Ein Vertreter der Erpressungs-Trojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Encoder
Support-Anfragen aufgrund von Encodern im Januar 2018:
Trojan.Encoder.858 — 22.12% AnfragenTrojan.Encoder.567 — 7.83% AnfragenTrojan.Encoder.11539 — 6.45% Anfragen- Trojan.Encoder.2267 — 3.46% Anfragen
Trojan.Encoder.761 — 3.23% AnfragenTrojan.Encoder.3953 — 3.20% Anfragen
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Januar 2018 wurden 309.933 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Dezember 2017 | Januar 2018 | Wachstum |
|---|---|---|
| +241.274 | + 309.933 | +28,4% |
Malware für mobile Endgeräte
Im Januar 2018 haben die Sicherheitsanalysten von Doctor Web
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung eines neuen Trojaners auf Google Play;
- Verbreitung eines neuen Mining-Schädlings, der infizierte mobile Geräte unter Android zum Schürfen von Kryptowährung ausnutzte;
- Entdeckung neuer Spyware.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
24.01 Sicherheitslücke in Cleverence Mobile SMARTS Server wird zum Schürfen von Kryptowährung ausgenutzt
Frankfurt, 24. Januar 2018
Die Cleverence Mobile SMARTS Server-Anwendungen wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Diese Anwendungen laufen unter Microsoft Windows. Ende Juli 2017 haben die Sicherheitsanalysten von Doctor Web eine Schwachstelle in einer der Komponenten von Cleverence Mobile SMARTS Server entdeckt, über die Cyber-Kriminelle unerlaubt auf Server zugreifen können und Trojaner aus der Familie Trojan.BtcMine - die zum Schürfen von Kryptowährung eingesetzt werden - installieren. Die Entwickler von Cleverence Mobile SMARTS Server wurden bereits über die Sicherheitslücke benachrichtigt.
Am Anfang haben Übeltäter mehrere Versionen des Mining-Trojaners eingesetzt. Diese wurden von Dr.Web als
Der Trojaner stellt eine dynamische Bibliothek dar, die Cyber-Kriminelle in einem temporären Verzeichnis speichern und anschließend starten. Der Schädling ersetzt einen regulären Windows-Dienst, indem die Datei des regulären Dienstes gelöscht wird. Der böswillige Dienst sichert sich anschließend ein paar Systemprivilegien und markiert sich als kritisch. Danach speichert der Trojaner alle für seine Arbeit wichtigen Dateien auf der Festplatte und beginnt, Kryptowährung zu schürfen. Dabei nutzt er Ressourcen des infizierten Servers aus.
Obwohl die Entwickler von Cleverence Mobile SMARTS Server den Sicherheits-Patch bereits veröffentlicht haben, installieren einige Administratoren keine Updates. Währenddessen installieren Cyber-Kriminelle ihre Mining-Trojaner auf infizierten Servern und passen deren Versionen laufend an. Seit November 2017 setzen sie einen neuen Trojaner ein, an dem man immer noch feilt. Der Schädling heißt
Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem
Nachdem
Der Mining-Trojaner verfügt über eine Liste von IP-Adressen von Verwaltungsservern. Er prüft, ob ein Server aktiv ist und konfiguriert Proxy-Server auf dem infizierten Rechner, um Kryptowährung zu schürfen. Auf Befehl von Cyber-Kriminellen startet er auch die PowerShell. Danach leitet er deren Ein- und Ausgabe an den infizierten Rechner des Nutzers weiter. So können Cyber-Kriminelle auf dem infizierten Rechner verschiedene Befehle per Fernzugriff ausführen.
Nach all diesen Aktionen bettet der Trojaner ein Modul zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon in alle gestarteten Prozesse ein.
Obwohl
| Mehr zum Trojaner |
