Frankfurt, 16. April 2018

Die Malwareanalysten von Doctor Web haben einen neuen Encoder unter die Lupe genommen. Aufgrund eines Fehlers im Code ist die Entschlüsselung von Daten in den meisten Fällen nicht möglich.

Der neue Trojaner wurde als Trojan.Encoder.25129 getauft. Durch den Dr.Web Präventivschutz wird er als DPH:Trojan.Encoder.9 erkannt. Nach seinem Start prüft er den Standort des Benutzers gemäß IP-Adresse des infizierten Geräts. Laut Plan der Cyber-Kriminellen nimmt der Schädling von der Verschlüsselung Abstand, wenn die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan ist, oder in den Einstellungen des Betriebssystems die russische Sprache definiert ist. Aufgrund eines Fehlers im Code verschlüsselt der Schädling jedoch alle Dateien - unabhängig von der IP-Adresse - auf allen infizierten Geräten.

Trojan.Encoder.25129 verschlüsselt den Inhalt der Ordnern eines aktuellen Benutzers, seines Windows-Desktops sowie von Dienstverzeichnissen wie AppData und LocalAppData. Die Verschlüsselung erfolgt unter Einsatz von Algorithmen AES-256-CBC. Den verschlüsselten Dateien wird die Erweiterung .tron zugewiesen. Dateien mit einer Größe von 30.000.000 Byte (ca. 28.6 MB) werden nicht verschlüsselt. Nach Abschluss der Verschlüsselung erstellt der Trojaner die Datei %ProgramData%\\trig und trägt den Wert «123» ein (wenn eine solche Datei bereits existiert, wird die Verschlüsselung nicht durchgeführt). Anschließend sendet der Encoder seine Anfrage an die Webseite iplogger und zeigt seine Forderung nach Lösegeld an.

Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.

Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen jedoch nicht möglich.

Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer gut.

Frankfurt, 23. März 2018

Der IT-Sicherheitsspezialist Doctor Web warnt vor einem neuen Trojaner, der auf einem infizierten Gerät Dateien sowie andere sensible Daten klaut. Der damit verbundene Datenverlust kann dazu führen, dass Cyber-Kriminelle den Zugang zu verschiedenen Konten des Opfers in Online-Services und sozialen Netzwerken bekommen.

Der als Trojan.PWS.Stealer.23012 getaufte Schädling ist auf Python geschrieben und infiziert Rechner unter Microsoft Windows. Die Verbreitung des Trojaners geht auf den 11. März 2018 zurück und dauert bis heute an. Cyber-Kriminelle posten Links in Kommentaren zu Video-Spots auf YouTube. In vielen solcher Videos wird auf vermeintliche Spiel-Techniken mit Hilfe spezieller Software hingewiesen. Cyber-Kriminelle versuchen, den Trojaner als eben diese Tools auszugeben. Alle Links führen zu Yandex.Disk. Um den Benutzer zu überzeugen, auf den Link zu klicken, werden mehrere Kommentare unter verfälschten Konten verfasst. Beim Klicken auf den Link wird ein RAR-Archiv heruntergeladen, welches einen Trojaner enthält.

Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:

• Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• Gespeicherte Logins/Passwörter aus den genannten Browsern;
• Bildschirmaufnahmen.

Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".

Alle übermittelten Daten speichert Trojan.PWS.Stealer.23012 im Verzeichnis C:/PG148892HQ8. Anschließend verpackt er sie ins Archiv spam.zip, das zusammen mit Geo-Daten des infizierten Geräts an den Server von Cyber-Kriminellen übermittelt wird.

Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als Trojan.PWS.Stealer.23198 erkannt. Alle bekannten Modifikationen des Schädlings werden durch Dr.Web Antivirus erfolgreich entdeckt und stellen deshalb keine Gefahr für Dr.Web Nutzer dar.

Mehr zum Trojaner.

Frankfurt, 13. März 2018

Die Malware-Analysten von Doctor Web entdecken auf Google Play Android-Trojaner, die als bekannte Apps verbreitet werden. Die gefälschten Apps können beliebige Webseiten auf Befehl von Cyber-Kriminellen laden und anzeigen. Diese Funktion kann zum Ausführen von Phishing-Angriffen verwendet werden.

Die entdeckten Apps tragen Namen von bekannten Apps und besitzen ähnliche Benutzeroberflächen. Die Malware-Analysten von Doctor Web haben gefälschte QIWI-App-Software (russischer Zahlungsdienstleister), Sberbank Online, Odnoklassniki und VK (beliebte soziale Netzwerke) und NTV (russischer Fernsehsender) gefunden.

Im Folgenden wird gezeigt, wie Cyber-Kriminelle potenzielle Opfer austricksen. In der linken Abbildung sehen Sie die gefälschte App, die Sie bei Google Play finden, in der rechten Abbildung sehen Sie die echte App.

Jedes Mal, wenn die gefälschten Apps gestartet werden, stellen sie eine Verbindung mit dem Verwaltungsserver her. Der Server antwortet mit dem Parameter "none" oder sendet den von Cyber-Kriminellen angegebenen Weblink. Wenn der Parameter empfangen wird, extrahieren die Schadprogramme mehrere Bilder aus ihren Ressourcen und zeigen sie den Benutzern an. Wenn die Schadprogramme den Weblink vom Server erhalten, laden sie die Webseite und zeigen sie an. Die Seite wird dann über WebView direkt in den Anwendungen geöffnet. Die Benutzer sehen den Link zur Ziel-Internetadresse jedoch nicht. Die Inhalte der gezeigten Webseiten können variieren. Zum Beispiel können Smartphone-Nutzer gefälschte Anmeldeformulare von Online-Banking-Systemen oder sozialen Netzwerken sehen. So laufen die Nutzer Gefahr, Opfer von Phishing-Angriffen zu werden. Da diese Funktionalität eine Bedrohung darstellt, wurde die App als Android.Click.415 in die Virendefinitionsdatei aufgenommen.

Neben den beschriebenen Trojanern wurden über 70 vergleichbare Apps entdeckt, die bereits von über 270.000 Nutzern heruntergeladen wurden. Unter den Apps finden sich gefälschte Spiele, Rezeptbücher, Strickanleitungen usw. Einige von ihnen führen die genannten Funktionen wirklich aus. Diese können Links zu beliebigen Webseiten vom Verwaltungsserver erhalten, Apps herunterladen und diese anzeigen. Das gilt auch für Android.Click.415. Diese Apps wurden in die Dr.Web Virendefinitionsdatei als Android.Click.416 und Android.Click.417 aufgenommen. Außerdem zeigen einige Modifikationen dieser Apps aufdringliche Werbung an.

Die Trojaner wurden von mindestens vier Entwicklern verbreitet: Tezov apps, Aydarapps, Chmstudio und SVNGames. Das Team von Doctor Web benachrichtigte Google über alle böswilligen Apps. Zum Zeitpunkt der Veröffentlichung dieser Meldung waren sie jedoch immer noch verfügbar.

Das Team von Doctor Web warnt alle Nutzer, auch bei der Installation von Apps aus zuverlässigen Quellen wie Google Play auf den Namen eines Entwicklers zu achten. Cyber-Kriminelle können die Oberflächen von Apps kopieren, um Nutzer dazu zu bewegen, diese zu installieren. Dr.Web für Android entdeckt und löscht alle bekannten Varianten von Android.Click.415, Android.Click.416 und Android.Click.417. Diese Schädlinge stellen für Dr.Web Nutzer somit keine Gefahr dar.

• Mehr zum Trojaner Android.Click.415 Trojan
• Mehr zum Trojaner Android.Click.416 Trojan
• Mehr zum Trojaner Android.Click.417 Trojan

Frankfurt, 6. März 2018

Die Sicherheitsexperten von Doctor Web nehmen Trojaner Trojan.LoadMoney, die andere gefährliche Apps auf infizierte Rechner herunterladen, genau unter die Lupe.

Die Trojanerfamilie Trojan.LoadMoney ist schon seit 2013 bekannt. Neue Schädlinge aus diesem Stall erscheinen regelmäßig. Einer davon wurde vor kurzem als Trojan.LoadMoney.3209 getauft. Der Trojaner hat zwei Internetadressen, von denen er Apps herunterlädt und startet. Zum Zeitpunkt der Analyse konnte der Schädling eine identische Installationsdatei herunterladen und in einem temporären Verzeichnis speichern. Anschließend wurde die Datei eingelesen und gelöscht. Später wurde sie aber wieder in einem temporären Verzeichnis mit einem zufälligen Namen gespeichert. Schließlich wurde die ausführbare Datei durch den Hauptspeicher eingelesen und aus diesem gestartet. Die Ausgangsdatei wurde dabei gelöscht.

Eine der Dateien, die Trojan.LoadMoney.3209 herunterlädt, wurde als Trojan.LoadMoney.3558 getauft. Dieser Schädling ist sehr kompliziert. Trojan.LoadMoney.3558 infiziert das Betriebssystem und nutzt dabei das frei verfügbare Tool cURL. Mit Hilfe dieses Tools kann mit mehreren Servern und einer Vielzahl von Protokollen gleichzeitig gearbeitet werden. Der Trojaner entschlüsselt und speichert dies auf der Festplatte. Zum Herunterladen von Dateien mit Hilfe von cURL nutzt der Schädling Trojan.LoadMoney.3558 den Windows-Taskplaner. Der Bösewicht enthält vier verschlüsselte Internetadressen. Eine davon wird für die Arbeit mit cURL benutzt, von den drei anderen wird unsichtbar eine ausführbare Datei gestartet: Trojan.LoadMoney.3263. Nach dem Starten wird die Installationsdatei von Trojan.LoadMoney.3263 gelöscht.

Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.

Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.

Dr.Web Malwareschutzprodukte schützen zuverlässig gegen Trojan.LoadMoney. Sie stellen daher für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 1. März 2018

Mitte 2017 berichteten die Virenanalysten von Doctor Web vom neuen Trojaner Android.Triada.231, der in Firmware einiger Android-Smartphones eingebettet ist. Die Liste der infizierten Geräte wurde immer wieder erweitert und zählt heute über 40 Modelle. Der Trojaner wurde nun von den Doctor Web Virenanalysten erforscht.

Android.Triada.231 ist ein Vertreter der gefährlichen Trojanerfamilie Android.Triada. Diese infizieren den Prozess einer wichtigen Systemkomponente unter dem Namen Zygote, welche am Starten aller Apps beteiligt ist. Nach der Einschleusung dringen Trojaner in Prozesse anderer Apps ein und sind dann in der Lage, Aktionen ohne Wissen des Nutzers durchzuführen. So kann der Schädling andere Malware herunterladen und installieren. Die Besonderheit von Android.Triada.231 besteht darin, dass Virenschreiber den Schädling in die Bibliothek libandroid_runtime.so auf Ebene des Quellcodes integrieren und nicht als Einzelsoftware verbreiten. Auf diese Weise nistet sich der Bösewicht in die Firmware der Smartphones schon bei deren Herstellung ein.

Nachdem Android.Triada.231 letzten Sommer entdeckt wurde, wurden alle betroffenen Hersteller darüber informiert. Trotz der Warnung gelangt der Trojaner immer noch auf neue Modelle von Smartphones. So wurde er z.B. in Leagoo M9 entdeckt, der im Dezember 2017 angekündigt wurde. Die Analyse zeigte, dass der Schädling ins Leagoo-Smartphone auf den Hinweis eines Softwareentwicklers aus Shanghai eingebettet wurde. Dieser bat den Hersteller, einen Schadcode in Systembibliotheken vor der Kompilation zu integrieren. Diese Bitte erweckte beim Hersteller keinen Verdacht und der Schädling konnte sich auf diese Weise in die Firmware der Leagoo-Smartphones einschleusen.

Die Analyse der App für Leagoo M9 zeigte, dass sie mit dem gleichen Zertifikat wie bei dem Trojaner Android.MulDrop.924signiert ist. Darüber wurde bereits 2016 berichtet. Das lässt darauf schließen, dass der Entwickler des Schädlings auch bei der Verbreitung von Android.Triada.231 mitgewirkt hat.

Zum jetzigen Zeitpunkt konnten die Malwareanalysten von Doctor Web den Schädling Android.Triada.231 in der Firmware von über 40 Android-Modellen entdecken:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Diese Liste ist nicht vollständig und kann durchaus noch länger sein.

Eine weite Verbreitung von Android.Triada.231 zeugt davon, dass einige Hersteller von Android-Geräten keinen grossen Wert auf Sicherheit legen und die Einbettung von Schadcode zur gängigen Praxis gehört.

Dr.Web Produkte für Android erkennen alle bekannten Versionen von Android.Triada.231. Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage, Android.Triada.231 Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage,

Mehr zum Trojanerthis Trojan

Frankfurt, 28. Februar 2018

Im Februar 2018 wurde ein Mining-Trojaner entdeckt, der verschiedene Android-Geräte per Fernzugriff infizieren konnte. Darüber hinaus wurden Anwender vom Trojaner Android.BankBot.336.origin bedroht, der sensible Daten und das Geld der Anwender klaute.

Mobile Bedrohung des Monats

Im Februar 2018 wurde der Trojaner Android.CoinMine.15 verbreitet, den Cyber-Kriminelle zum Schürfen von Kryptowährung Monero nutzten. Dieser Schädling stellte einen Wurm dar und konnte ans Netz angeschlossene Smartphones, Tablets, TVs, Router und andere Android-Geräte infizieren, wenn auf ihnen die Android Device Bridge (ADB) deaktiviert war. Bei einer erfolgreichen Infizierung versuchte eine der Komponenten des Schädlings das nächste Ziel zu finden und installierte eine Kopie von Android.CoinMine.15.

Dr.Web Produkte für Android

Android.RemoteCode.121.origin

Android.RemoteCode.117.origin

Trojaner, die u.a. böswillige Module herunterladen und starten.

Android.HiddenAds.253

Android.HiddenAds.222.origin

Trojaner, die aufdringliche Werbung anzeigen und sich unter dem Deckmantel beliebter Apps durch andere böswillige Software verbreiten.

Android.Mobifun.4

Trojaner, der andere böswillige Apps herunterlädt.

Adware.Adpush.601

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Leadbolt.12.origin

Unerwünschte App-Module, die in Android-Apps eingebettet werden und aufdringliche Werbung anzeigen.

Tool.SilentInstaller.1.origin

Potenziell gefährlicher Schädling, der Apps unsichtbar für Anwender startet.

Banking-Trojaner

Im vergangenen Monat wurde auf Google Play Android.BankBot.336.origin entdeckt, der von Virenschreibern unter dem Deckmantel einer universalen App für mehrere Online-Banking-Systeme verbreitet wurde. Der Schädling klaute Benutzernamen und Passwörter sowie Kreditkartendaten und konnte das Geld an Kriminelle versenden.

Die Virenschreiber feilen weiterhin an Apps für Android und verbreiten diese sowohl nach alten als auch nach neuen Methoden. Es gibt immer noch Trojaner auf Google Play. Um sich gegen diese Art von Bedrohungen zu schützen, sollten Anwender Dr.Web Produkte für Android installieren.

Frankfurt, 5. Februar 2018

Verschlüsselungstrojaner, die auf einem infizierten Rechner Daten verschlüsseln und anschließend Lösegeld für die Dekodierung verlangen, stellen nach wie vor eine ernsthafte Bedrohung dar. Der IT-Sicherheitsspezialist Doctor Web warnt Anwender vor einem neuen Verschlüsselungstrojaner, der sich aktuell breit macht.

Der Trojaner, den seine Entwickler als «GandCrab!» tauften, wurde in die Dr.Web Virendefinitionsdatei als Trojan.Encoder.24384 aufgenommen. Er fügt den verschlüsselten Daten die Erweiterung *.GDCB bei. Zum heutigen Zeitpunkt sind zwei Versionen dieses Encoders bekannt.

Nachdem Trojan.Encoder.24384 auf dem anzugreifenden Rechner unter Microsoft Windows gestartet hat, kann er Informationen zur Anzahl der gestarteten Prozesse von Virenschutzsoftware sammeln. Sobald der Schädling sichergestellt hat, dass er ein zweites Mal nicht ausgeführt wurde, bricht er alle Prozesse gemäß der Liste von Virenschreibern ab. Nachdem er seine Kopie auf einer Festplatte gespeichert hat, modifiziert er einen Zweig des Windows-Registry.

Der Trojaner verschlüsselt Inhalte von internen und externen Datenträgern sowie Network Values außer Verzeichnissen, in denen es Dienst- und Systemordner gibt. Jeder einzelne Datenträger wird in einem separaten Strom verschlüsselt. Nachdem die Verschlüsselung durchgeführt wurde, sendet der Schädling Informationen zur Anzahl von verschlüsselten Dateien sowie zur Zeit, die dafür verwendet wurde.

Der Trojaner verwendet einen Verwaltungsserver. Um dessen Namen herauszufinden, führt der Schädling den Befehl nslookup aus und sucht nach nötigen Informationen in den Suchtreffern.

Zurzeit ist die Dekodierung von Dateien, die durch Trojan.Encoder.24384 verschlüsselt wurden, nicht möglich. Das Team von Doctor Web möchte Anwender daran erinnern, dass die Sicherung aller sensiblen Daten auf externen Datenträgern Ihre Daten retten kann.

Frankfurt, 31. Januar 2018

Der Jahresbeginn 2018 wurde durch mehrere auf Google Play entdeckte Spiele, die mit einem Trojaner ausgerüstet waren, gekennzeichnet. Der Schädling konnte auf infizierten Geräten böswillige Module herunterladen und diese ausführen. Die Schadcode-Analysten von Doctor Web haben auch mehrere Mining-Trojaner erforscht, die Server unter Windows infizierten. Alle erwähnten Schädlinge nutzten die Sicherheitslücke in Cleverence Mobile SMARTS Server aus.

Bedrohung des Monats

Die Anwendungen Cleverence Mobile SMARTS Server wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Im Juli 2017 haben die Sicherheitsanalysten von Doctor Web bereits eine Zero-Day-Sicherheitslücke in dieser Software entdeckt und deren Entwickler benachrichtigt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der die Schwachstelle beseitigen sollte. Dies gelang aber nicht für alle Server, weil einige Administratoren den veröffentlichten Sicherheits-Patch nicht installiert haben. So konnten Kriminelle weiterhin Kryptowährung schürfen. Die Einschleusung sah so aus: An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, sendete man den Befehl, einen neuen Benutzer mit Administratorrechten anzulegen, und erhielt einen unerlaubten Zugang zum Server via RDP. In einigen Fällen konnten Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem man den Zugang zum System erhalten hatte, installierte man darauf einen Mining-Trojaner.

Der von Kriminellen entwickelte Mining-Trojaner wird laufend verbessert. Zunächst wurden mehrere Versionen des Trojaners installiert. Diese sind bspw. unter den Namen Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 bekannt. Später wurde die Liste um Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033 erweitert. Die neueste Version des Schädlings ist Trojan.BtcMine.1978.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Virenschutzsoftware zu entfernen. Dir Kriminellen verwenden Trojan.BtcMine.1978 zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon. Das Team von Doctor Web empfiehlt, alle für Cleverence Mobile SMARTS Server veröffentlichten Sicherheits-Patches zu installieren. Mehr Informationen zum Vorfall finden Sie in diesem Artikel.

Dr.Web Antivirus Statistik

Trojan.Moneyinst.520

Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.

Trojan.Starter.7394

Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.

Trojan.BPlug

Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.

Trojan.DownLoad

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

JS.BtcMine.7, JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.DownLoader

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.PWS.Stealer

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

JS.BtcMine.7

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.Encoder.24348

Ein Vertreter der Erpressungs-Trojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Encoder

Support-Anfragen aufgrund von Encodern im Januar 2018:

• Trojan.Encoder.858 — 22.12% Anfragen
• Trojan.Encoder.567 — 7.83% Anfragen
• Trojan.Encoder.11539 — 6.45% Anfragen
• Trojan.Encoder.2267 — 3.46% Anfragen
• Trojan.Encoder.761 — 3.23% Anfragen
• Trojan.Encoder.3953 — 3.20% Anfragen

Gefährliche Webseiten

Im Januar 2018 wurden 309.933 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im Januar 2018 haben die Sicherheitsanalysten von Doctor Web Android.RemoteCode.127.origin entdeckt, der sich in mehrere Android-Spiele auf Google Play eingeschleust hat. Er konnte unsichtbar böswillige Module herunterladen und starten. Letztere waren in der Lage, vordefinierte Aktionen durchzuführen. Darüber hinaus wurden Anwender vom Banking-Trojaner Android.BankBot.250.origin bedroht, der Online-Banking-Zugangsdaten klaute. Man entdeckte auch Android.CoinMine.8, der Kapazitäten von Smartphones und Tablets zum Schürfen von Monero ausnutzt. Darüber hinaus konnte die Dr.Web Virendatenbank um mehrere Signaturen für Android-Spyware erweitert werden. Mit Hilfe dieser Malware - Android.Spy.422.origin - konnten Kriminelle Nutzer ausspionieren. Andere böswillige Apps waren Variationen von Android.Spy.410.origin, der noch im Dezember 2017 verbreitet wurde.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung eines neuen Trojaners auf Google Play;
• Verbreitung eines neuen Mining-Schädlings, der infizierte mobile Geräte unter Android zum Schürfen von Kryptowährung ausnutzte;
• Entdeckung neuer Spyware.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 24. Januar 2018

Im Juli 2017 haben die Sicherheitsspezialisten von Doctor Web in Cleverence Mobile SMARTS Server-Anwendungen eine Zero-Day-Sicherheitslücke entdeckt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der diese Sicherheitslücke schließen soll. Die Schwachstelle wird jedoch immer noch zum Schürfen von Kryptowährung ausgenutzt.

Die Cleverence Mobile SMARTS Server-Anwendungen wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Diese Anwendungen laufen unter Microsoft Windows. Ende Juli 2017 haben die Sicherheitsanalysten von Doctor Web eine Schwachstelle in einer der Komponenten von Cleverence Mobile SMARTS Server entdeckt, über die Cyber-Kriminelle unerlaubt auf Server zugreifen können und Trojaner aus der Familie Trojan.BtcMine - die zum Schürfen von Kryptowährung eingesetzt werden - installieren. Die Entwickler von Cleverence Mobile SMARTS Server wurden bereits über die Sicherheitslücke benachrichtigt.

Am Anfang haben Übeltäter mehrere Versionen des Mining-Trojaners eingesetzt. Diese wurden von Dr.Web als Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 erkannt. An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, senden sie den Befehl, einen neuen Benutzer mit Administratorrechten zu erstellen, und erhalten auf diese Weise unerlaubten Zugang zum Server via RDP. In einigen Fällen können Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem sie den Zugang zum System erhalten haben, installieren sie einen Mining-Trojaner.

Der Trojaner stellt eine dynamische Bibliothek dar, die Cyber-Kriminelle in einem temporären Verzeichnis speichern und anschließend starten. Der Schädling ersetzt einen regulären Windows-Dienst, indem die Datei des regulären Dienstes gelöscht wird. Der böswillige Dienst sichert sich anschließend ein paar Systemprivilegien und markiert sich als kritisch. Danach speichert der Trojaner alle für seine Arbeit wichtigen Dateien auf der Festplatte und beginnt, Kryptowährung zu schürfen. Dabei nutzt er Ressourcen des infizierten Servers aus.

Obwohl die Entwickler von Cleverence Mobile SMARTS Server den Sicherheits-Patch bereits veröffentlicht haben, installieren einige Administratoren keine Updates. Währenddessen installieren Cyber-Kriminelle ihre Mining-Trojaner auf infizierten Servern und passen deren Versionen laufend an. Seit November 2017 setzen sie einen neuen Trojaner ein, an dem man immer noch feilt. Der Schädling heißt Trojan.BtcMine.1978 und ist zum Schürfen von Monero (XMR) und Aeon gedacht.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Dr.Web, Windows Live OneCare, Kaspersky Antivirus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security und Windows Defender zu entfernen. Anschließend sucht er nach Prozessen von Malwareschutz-Apps, um diese zu stoppen. Dr.Web findet und sperrt den Treiber Process Hacker, über den Trojan.BtcMine.1978 Prozesse abbrechen kann. Dieser Treiber wurde in die Malwaredefinitionsdatei von Dr.Web als Hacktool aufgenommen.

Nachdem Trojan.BtcMine.1978 eine Liste von Ports erhalten hat, sucht er in seinem Umfeld nach einem Router. Anschließend leitet er via UPnP den TCP-Port des Routers an Ports aus dieser Liste weiter und baut via HTTP eine Verbindung zu ihnen auf. Alle notwendigen Einstellungen speichert der Schädling im Registry von Windows.

Der Mining-Trojaner verfügt über eine Liste von IP-Adressen von Verwaltungsservern. Er prüft, ob ein Server aktiv ist und konfiguriert Proxy-Server auf dem infizierten Rechner, um Kryptowährung zu schürfen. Auf Befehl von Cyber-Kriminellen startet er auch die PowerShell. Danach leitet er deren Ein- und Ausgabe an den infizierten Rechner des Nutzers weiter. So können Cyber-Kriminelle auf dem infizierten Rechner verschiedene Befehle per Fernzugriff ausführen.

Nach all diesen Aktionen bettet der Trojaner ein Modul zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon in alle gestarteten Prozesse ein.

Obwohl Trojan.BtcMine.1978 Prozesse von Virenschutzsoftware abbrechen kann, sind Dr.Web Nutzer in Sicherheit. Der Dr.Web Selbstschutz hindert den Trojaner daran, kritische Virenschutzkomponenten zu stoppen. Das Team von Doctor Web empfiehlt Administratoren von Servern, die Cleverence Mobile SMARTS Server verwenden, alle neuesten Sicherheits-Patches zu installieren.

Frankfurt, 16. Januar 2018

Virenanalysten von Doctor Web haben im App-Katalog Google Play Android-Spiele mit dem eingebetteten Trojaner Android.RemoteCode.127.origin aufgespürt. Er lädt zusätzliche Module herunter und installiert diese. Die böswilligen Module simulieren Aktionen von Anwendern, rufen heimlich Webseiten auf und klicken auf vorgegebene Elemente.

Android.RemoteCode.127.origin ist eine Komponente des Software Development Kits (SDK) unter dem Namen 呀呀云 («Ja Ja Jun»), das Entwickler zur Erweiterung der Funktionalität ihrer Apps verwenden. Mit Hilfe dieses SDKs können Spieler in Kontakt miteinander bleiben. Das SDK hat jedoch auch andere Funktionen, und zwar lädt es heimlich böswillige Module von einem Remote-Server herunter und installiert diese.

Beim Starten von Apps, in denen dieses SDK eingebettet ist, sendet Android.RemoteCode.127.origin eine Anfrage an den Verwaltungsserver. Als Rückmeldung kann der Schädling einen Befehl zum Herunterladen von weiteren Modulen sowie Ausführen von vordefinierten Aktionen erhalten. Eines der Module, die die Virenanalysten von Doctor Web abgefangen haben, trägt den Namen Android.RemoteCode.126.origin. Nach dem Start baut er eine Verbindung zum Verwaltungsserver auf und erhält von ihm einen Link zum Herunterladen eines vermeintlich harmlosen Bildes.

Diese Grafik ist aber mit einem weiteren Trojaner-Modul ausgerüstet, der eine neue Version von Android.RemoteCode.126.origin darstellt. Eine solche Verdeckungsmethode wurde von den Virenanalysten von Doctor Web mehrmals registriert. So wurde sie z.B. 2016 für den Trojaner Android.Xiny.19.origin eingesetzt.

Nach der Entschlüsselung startet der neue Schädling seine Aktivitäten zusammen mit der älteren Version, die von Dr.Web als Android.RemoteCode.125.origin erkannt wird. Anschließend lädt er eine Grafik herunter, die eine weitere schädliche Komponente enthält. Diese wird von Dr.Web als Android.Click.221.origin erkannt.

Ihre Hauptaufgabe ist es, Webseiten heimlich aufzurufen und auf Links und Banner zu klicken. Dafür lädt Android.Click.221.origin ein Skript von der vorgegebenen Adresse herunter. Dieses wiederum kann auf der Webseite beliebige Aktionen vornehmen, u.a. Klicks auf vorgegebene Elemente simulieren. Wenn der Trojaner auf Links, Banner oder Anzeigen geklickt hat, schreiben die Kriminellen schwarze Zahlen. Die Funktionalität von Android.RemoteCode.127.origin geht aber darüber hinaus – die Kriminellen können beliebige Trojaner-Module entwickeln, die weitere böswillige Aktionen vornehmen. So können sie Phishing-Fenster zum Klauen von Login-Daten oder Werbung anzeigen sowie weitere böswillige Apps heimlich herunterladen und installieren.

Die Virenanalysten von Doctor Web haben auf Google Play 27 Spiele entdeckt, in denen das schadhafte SDK verwendet wurde. Insgesamt haben 4.500.000 Anwender diese böswilligen Spiele heruntergeladen. Eine Liste von Apps mit dem eingebetteten Android.RemoteCode.127.origin sieht wie folgt aus:

Die Virenanalysten von Doctor Web haben Google über die trojanische Komponente in den oben erwähnten Apps informiert. Zum Zeitpunkt der Veröffentlichung dieser Meldung standen sie aber immer noch zum Herunterladen bereit. Inhaber von Android-Smartphones und -Tablets, die Spiele mit dem Trojaner Android.RemoteCode.127.origin installiert haben, sollten diese so schnell wie möglich löschen. Dr.Web Produkte für Android erkennen Apps, die Android.RemoteCode.127.origin enthalten. Für Dr.Web Anwender stellt der Trojaner daher keine Bedrohung dar.

Mehr zum Trojaner

Frankfurt, 29. Dezember 2017

Der letzte Jahresmonat bleibt aufgrund einer gefährlichen Backdoor, die eine 64-Bit-Version von Microsoft Windows infizieren kann, in Erinnerung. Die Virenanalysten von Doctor Web haben auch festgestellt, dass Cyber-Kriminelle Webseiten mit Hilfe des Linux-Trojaners Linux.ProxyM angegriffen haben. In die Virendefinitionsdatei von Dr.Web wurden außerdem Kennungen von Malware aufgenommen, die Android-Nutzer angreift.

Bedrohung des Monats

Im Dezember 2017 haben die Virenanalysten die Trojaner-Familie Anunak unter die Lupe genommen, welche auf dem infizierten Gerät Befehle von Cyber-Kriminellen ausführen konnte. Die neue Backdoor ist für eine 64-Bit-Version von Microsoft Windows gedacht und wurde als BackDoor.Anunak.142 getauft. Der Trojaner kann auf dem infizierten Gerät folgende Aktionen durchführen:

• Dateien von einem vorgegebenen Remote-Server herunterladen;
• Dateien auf einen Remote-Server hochladen;
• Dateien auf dem infizierten Gerät starten;
• Befehle in der Konsole cmd.exe ausführen;
• Traffic zwischen Ports weiterleiten;
• Eigene Module herunterladen und installieren.

Mehr dazu finden Sie hier.

Dr.Web Antivirus Statistik

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.Encoder.11432

Encoder, der auch unter dem Namen WannaCry bekannt ist.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

Trojan.BPlug

Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.

Serverstatistik

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.DownLoader

Trojaner auf JavaScript, die andere Malware herunterladen und installieren.

VBS.DownLoader

VBScript-Trojaner auf JavaScript, die andere Malware herunterladen und installieren.

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

Encoder

Support-Anfragen aufgrund von Encodern im Dezember 2017:

• Trojan.Encoder.858 — 27.29% Anfragen;
• Trojan.Encoder.11539 — 12.55% Anfragen;
• Trojan.Encoder.3953 — 4.09% Anfragen;
• Trojan.Encoder.11464 — 3.41% Anfragen;
• Trojan.Encoder.2667 — 2.59% Anfragen;
• Trojan.Encoder.567 — 2.05% Anfragen.

Gefährliche Webseiten

Im Dezember 2017 wurden 241.274 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für Linux

Der Trojaner Linux.ProxyM ist denVirenanalysten seit Mai 2017 bekannt. Es geht um einen simplen Schädling, der auf dem infizierten Gerät einen SOCKS-Proxy-Server starten kann. Übeltäter haben via Linux.ProxyM über 400 Spam-Mails pro Tag von jedem infizierten Gerät versendet. Bald darauf fingen die Übeltäter an, das IoT zum Versenden von Phishing-Mails zu verwenden. Phishing-Mails kamen angeblich von DocuSign — dem Service, mit dessen Hilfe man ein Dokument hochladen, unterzeichnen und verfolgen kann. So haben Cyber-Kriminelle persönliche Daten der Nutzer gesammelt.

Im Dezember 2017 haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Mehr dazu wurde in folgender Meldung berichtet.

Malware für mobile Endgeräte

Im Dezember 2017 wurden auf Google Play Banking-Trojaner wie Android.BankBot.243.origin und Android.BankBot.255.origin entdeckt. Diese klauten Logins und Passwörter für Online-Banking-Konten. Ein ähnlicher Trojaner verbreitete sich auch außerhalb von Google Play. Er wurde als Android.Packed.15893 getauft. Außerdem wurde ein weiterer Schädling namens Android.Spy.410.origin in die Dr.Web Virendatenbank eingetragen. Dieser spionierte italienische Nutzer aus.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung von neuen Banking-Trojanern;
• Entdeckung von Spyware, die vertrauliche Daten klaut.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 7. Dezember 2017

Der IT-Sicherheitsspezialist Doctor Web berichtete bereits über den Trojaner Linux.ProxyM, der smarte Geräte unter Linux infizieren kann. Im September haben Cyber-Kriminelle mit dessen Hilfe Spam versendet. In letzter Zeit verwenden sie diesen zum Hacken von Webseiten.

Linux.ProxyM ist ein Schädling für Linux, der auf dem infizierten Gerät einen SOCKS-Proxy-Server startet. Mit dessen Hilfe können Cyber-Kriminelle destruktive Aktionen vornehmen. Bekannt sind Varianten des Trojaners mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC. Dies bedeutet, dass Linux.ProxyM nahezu beliebige Geräte unter Linux infizieren kann, u.a. Router, TV-Konsolen sowie andere ähnliche Geräte.

Im September wurde den Analysten von Doctor Web bekannt, dass Übeltäter via Linux.ProxyM über 400 Spam-Mails pro Tag von jedem infizierten Gerät versendet haben. In E-Mails wurden Services „für Erwachsene“ und zweifelhafte finanzielle Dienstleistungen beworben. Bald darauf begannen die Übeltäter, das IoT zum Versenden von Phishing-Mails zu verwenden. Solche Mails kamen vermeintlich von DocuSign — dem Service, mit dessen Hilfe man ein Dokument hochladen, ansehen, unterzeichnen und verfolgen kann.

Wenn der Nutzer dem Link in der E-Mail folgte, gelangte er auf eine fingierte Webseite von DocuSign mit einem Anmeldungsformular. Nachdem man seine Daten inkl. Passwort eingegeben hat, wurde dieses an Cyber-Kriminelle versendet. Der Nutzer gelangte anschließend auf die Webseite von DocuSign.

Im Dezember haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Die letzte Methode ermöglicht es Cyber-Kriminellen, Dateien auf dem anzugreifenden Server über spezielle Befehle zu lesen. Angegriffen wurden Spielserver, Foren und andere Webseiten.

Die Malwareanalysten von Doctor Web verfolgen weiter die Aktivitäten des Linux.ProxyM-Botnets. Die Statistik zu registrierten Angriffen finden Sie nachfolgend:

Obwohl es in Linux.ProxyM nur eine Funktion (Proxy-Server) gibt, finden Cyber-Kriminelle immer neue Möglichkeiten für dessen Verwendung und zeigen häufiger Interesse am Internet der Dinge.

Mehr zum Trojaner

Frankfurt, 30. November 2017

Im November haben die Malwareanalysten von Doctor Web einen neuen Banking-Trojaner unter die Lupe genommen. Der Schädling heißt Trojan.Gozi und ist im Unterschied zu seinen Vorgängern modular aufgebaut. Er kann nun keine Namen von Verwaltungsservern generieren. Diese sind stattdessen in seiner Konfigurationsdatei implementiert.

Im November haben die Malwareanalysten auch einen Trojaner für Linux und mehrere Webseiten entdeckt, mit denen Übeltäter gutgläubige Nutzer betrogen haben.

Bedrohung des Monats

Die Trojaner-Familie Gozi ist unseren Malwareanalysten gut bekannt. Die Vertreter dieser Familie konnten zum Beispiel Adressen von Verwaltungsservern aus einer Textdatei, die man von der NASA-Webseite herunterladen kann. generieren. Die neuen Version des Trojaners, der nun Trojan.Gozi.64 heißt, kann 32- und 64-Bit-Versionen von Microsoft Windows 7 und höher infizieren. Unter älteren Versionen des Betriebssystems kann der Schädling nicht gestartet werden.

Ziel von Trojan.Gozi.64 ist es, Web-Injects durchzuführen. In anderen Worten kann er in Webseiten, die ein Nutzer aufruft, fremde Inhalte einbetten und so Daten aus gefälschten Formularen für Online-Banking-Seiten herausfischen.

Da die Modifikation von Webseiten auf dem infizierten PC erfolgt, bleibt die URL einer solchen Webseite immer noch korrekt und kann somit die Aufmerksamkeit und Vorsicht des Nutzers beeinträchtigen. Die vom Nutzer eingegebenen Daten werden aber an Cyber-Kriminelle übertragen. Auf diese Weise kann das Benutzerkonto kompromittiert werden.

Mehr zur Funktionsweise und zu Möglichkeiten von Trojan.Gozi.64 können Sie in diesem Artikel erfahren.

Dr.Web Antivirus Statistik

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.Encoder.11432

Wurm, der unter dem Namen WannaCry bekannt ist, kann PCs unter Microsoft Windows ohne Beteiligung der Nutzer infizieren. Der Schädling verschlüsselt Dateien auf dem PC und verlangt ein Lösegeld. Die Entschlüsselung von Dateien erfolgt unter Verwendung von verschiedenen Schlüsseln, deshalb gibt es keine Garantie, dass auch nach der Entschlüsselung die Dateien wiederhergestellt werden können.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

Trojan.DownLoader25.54584, Trojan.DownLoad3.46852

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

PowerShell.DownLoader

Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

PowerShell.DownLoader

Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Dr.Web Bot für Telegram

Android.HiddenAds.200.origin

Trojaner, der aufdringliche Werbung anzeigt und als angeblich beliebte App durch andere Schädlinge verbreitet und installiert werden.

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Joke.Locker.1.origin

Riskware für Android, die den Bildschirm des mobilen Endgeräts sperren und BSOD, Blue Screen of Death, anzeigt.

Encoder

Support-Anfragen wegen Encoder im November:

• Trojan.Encoder.3953 — 17,88% Anfragen;
• Trojan.Encoder.858 — 8,39% Anfragen;
• Trojan.Encoder.11539 — 6,39% Anfragen;
• Trojan.Encoder.567 — 5,66% Anfragen;
• Trojan.Encoder.3976 — 2,37% Anfragen;
• Trojan.Encoder.761 — 2,37% Anfragen.

Böswillige Webseiten

Im November 2017 wurden 331 895 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Im November wurde auch eine weitere betrügerische Methode entdeckt, mit der Cyber-Kriminelle das Geld der Nutzer stehlen wollten. Nutzer im russischsprachigen Internet wurden dazu aufgerufen, auf die Webseite eines vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds zu gehen, ihre ID-Nummer einzugeben und das Geld, worauf sie angeblich Anspruch hätten, aus der Pensionskasse auf ihr Konto überweisen zu lassen. Zunächst musste man aber selbst einen finanziellen Beitrag leisten.

Auf Servern, wo auch die Webseite des vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds gehostet wird, haben unsere Analysten mehrere betrügerische Projekte entdeckt. Mehr dazu finden Sie in diesem Artikel.

Malware für Linux

Ende November haben die Malwareanalysten von Doctor Web eine neue Backdoor für Linux analysiert. Der Schädling heisst Linux.BackDoor.Hook.1 und ist in der Lage, auf Befehl von Cyber-Kriminellen Apps zu starten, Dateien herunterzuladen oder eine Verbindung zum Remote-Server aufzubauen. Über weitere Eigenschaften des Schädlings Linux.BackDoor.Hook.1 wurde hier berichtet.

Malware für mobile Endgeräte

Im November haben unsere Malwareanalysten auf Google Play den Trojaner Android.RemoteCode.106.origin entdeckt, der weitere böswillige Module herunterlädt. Sie luden Webseiten und klickten auf Werbe-Links und Banner. Außerdem wurden im Katalog Google Play Trojaner der Familie Android.SmsSend ausfindig gemacht, die kostenpflichtige Kurznachrichten versendeten. Im November verbreitete sich auf Google Play der Schädling Android.CoinMine.3, der infizierte Smartphones und Tablets zum Schürfen von Monero ausnutzte. Darüber hinaus wurden auf Google Play mehrere Android.Banker gefunden, die vertrauliche Daten und das Geld von Konten der Android-Nutzer entwendeten.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung mehrerer Trojaner auf Google Play.

Mehr zur Lage in der Sicherheitsszene finden Sie hier.

Frankfurt, 24. November 2017

Trojaner, die das Geld von Bankkonten stehlen, sind gefährlich. In der Regel handelt es sich bei diesen Trojanern um komplexe Apps mit mehreren Komponenten. Deshalb tauchen Banking-Trojaner nicht so oft auf. Die Virenanalysten von Doctor Web haben eine neue Version des Banking-Trojaners, der zur Familie Trojan.Gozi gehört, unter die Lupe genommen und berichten, wie er funktioniert und wie man sich gegen ihn schützen kann.

Der neue Banking-Trojaner wurde als Trojan.Gozi.64 getauft und basiert auf dem Quellcode der Vorgänger-Version von Trojan.Gozi, der schon längere Zeit frei verfügbar ist. Wie andere Vertreter der Familie kann Trojan.Gozi.64 PCs mit 32- und 64-Bit-Versionen von Windows infizieren. Der Trojaner verfügt über eine modulare Architektur, besteht aber ausschließlich aus herunterladbaren Plug-ins. Trojan.Gozi.64 hat keine Algorithmen zum Generieren von Namen von Verwaltungsservern. Die letzten sind in seiner Konfiguration bereits vorhanden. Einer der Vorgänger des Trojaners verwendete zum Beispiel eine Text-Datei, die er vom NASA-Server herunterlud.

Die Entwickler des Schädlings haben dafür gesorgt, dass er nur unter Microsoft Windows 7 und höher funktioniert. Zusätzliche Module werden durch einen Loader heruntergeladen. Das Datenaustauschprotokoll verwendet die Datenverschlüsselung. Der Loader von Trojan.Gozi.64 ist in der Lage auf dem infizierten PC folgende Funktionen zu übernehmen:

• Prüfung auf neue Updates des Trojaners;
• Herunterladen von Plug-ins für den Browser, über die Web-Injects erfolgen;
• Herunterladen der Konfiguration von Web-Injects;
• Erhalten von persönlichen Aufgaben, u.a. zum Herunterladen von weiteren Plug-ins;
• Steuerung des PCs per Fernzugriff.

Um ein Web-Inject durchzuführen, verwendet Trojan.Gozi.64 das eigene einstellbare Plug-in. Den Virenanalysten von Doctor Web sind zurzeit Plug-ins von Microsoft Internet Explorer, Microsoft Edge, Google Chrome und Mozilla Firefox bekannt. Nachdem der Trojaner ein entsprechendes Modul installiert hat, erhält er von einem Remote-Server ein ZIP-Archiv mit der Konfiguration des Web-Injects. Im Endeffekt kann Trojan.Gozi.64 auf Bank-Webseiten gefälschte Web-Formulare einfügen. Dabei wird eine Webseite unmittelbar auf dem infizierten PC modifiziert. Die URL einer solchen Webseite bleibt immer noch korrekt, was die Wachsamkeit des Anwenders einschränken kann. Daten, die man in das Web-Formular eingibt, werden auf diese Weise gestohlen.

Auf den infizierten PC können auch weitere böswillige Module heruntergeladen und installiert werden. Darunter finden sich ein Keylogger, ein VNC-Modul für den Remote-Zugriff auf den infizierten PC, eine SOCKS-Proxy-Server-Komponente, ein Plug-in für den Datendiebstahl aus E-Mail-Clients usw.

Da Signaturen für Trojan.Gozi.64 und seine böswilligen Module in die Dr.Web Virendefinitionsdatei eingetragen wurden, stellt der Schädling für Dr.Web Nutzer keine Bedrohung dar.

Frankfurt, 20. November 2017

Die Sicherheitsanalysten von Doctor Web haben eine Linux-Backdoor entdeckt. Dies zeugt unter anderem von hohem Interesse der Cyber-Kriminellen am Betriebssystem Linux.

Den Trojaner, der unter dem Namen Linux.BackDoor.Hook.1 geführt wird, wurde von unseren Malwareanalysten in der Bibliothek libz entdeckt, die einige Apps zur Komprimierung und Entpackung nutzen. Der Schädling arbeitet nur mit binären Dateien, die den Datenaustausch per SSH sicherstellen. Die Übeltäter verwenden eine besondere Methode beim Aufbau der Verbindung zur Backdoor: Im Unterschied zu vergleichbaren böswilligen Apps nutzt Linux.BackDoor.Hook.1 das erste Socket von 1024 und die restlichen 1023 schließt sie.

Linux.BackDoor.Hook.1 kann auf Befehl von Cyber-Kriminellen Dateien herunterladen, Apps starten oder eine Verbindung zum Remote-Server herstellen. Der Trojaner stellt für Dr.Web Nutzer keine Gefahr dar. Die entsprechende Signatur wurde in die Virendefinitionsdatei von Dr.Web Antivirus für Linux bereits eingetragen.

Mehr zum Trojaner

Frankfurt, 27. Oktober 2017

Im Oktober wurde auf Google Play ein Android-Trojaner entdeckt, der in harmlose Apps eingebettet war. Mit diesem Trojaner konnten Cyber-Kriminelle mobile Endgeräte der Nutzer in Proxy-Server umwandeln. Außerdem tauchte ein Erpressungstrojaner auf, der auf Android-Smartphones und -Tablets ein Passwort zur Entsperrung des Bildschirms änderte, Daten verschlüsselte und ein Lösegeld für die Entschlüsselung verlangte.

Mobile Bedrohung des Monats

Im Oktober wurde auf Google Play der Trojaner Android.SockBot.5 entdeckt, der in der Dr.Web Virendefinitionsdatei seit Juni 2017 eintragen war. Cyber-Kriminelle haben ihn in folgende Apps eingebettet:

• PvP skins for Minecraft
• Game Skins for Minecraft
• Military Skins for Minecraft
• Cartoon skins for Minecraft
• Hot Skins for Minecraft PE
• Skins Herobrine for Minecraft
• Skins FNAF for Minecraft
• Assassins skins for Minecraft

Mit diesen Apps konnte man das Äußere von Charakteren im mobilen Spiel Minecraft anpassen.

Nach dem Starten konnte der Trojaner eine Verbindung zur Verwaltungszentrale herstellen und sich über das SOCKS-Protokoll mit der vordefinierten Adresse im Netz verbinden. Im Endergebnis konnten Cyber-Kriminelle Smartphones und Tablets der Nutzer in Proxy-Server umwandeln und über diese den Netzwerk-Traffic leiten.

Dr.Web Produkte für Android

Android.Click.171.origin

Android.Click.173.origin

Trojaner, die in einem bestimmten Zeittakt auf definierte Webseiten zugreifen und für eine vermeintliche Steigerung deren Beliebtheit sorgen.

Android.HiddenAds.68.origin

Trojaner, der unerwünschte Werbung anzeigt.

Android.CallPay.1.origin

Schädling, der Android-Geräten einen Zugang zu erotischen Inhalten bietet und unsichtbar für den Benutzer Anrufe an Premium-Nummern tätigt.

Android.Sprovider.10

Trojaner, der auf Android-Geräte Apps herunterlädt und installiert. Außerdem kann er Werbung anzeigen.

Adware.Jiubang.2

Adware.Fly2tech.2

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Fly2tech.4

Unerwünschte Module, die in Android-Apps eingebettet werden und unerwünschte Werbung auf mobilen Endgeräten anzeigen.

Erpressungstrojaner

Im Oktober berichteten einige Medien von einem Android-Trojaner, der den PIN-Code zur Entsperrung des Bildschirms eines Smartphones oder Tablets änderte, Daten verschlüsselte und ein Lösegeld für die Wiederherstellung von Daten forderte. Der Schädling wurde in die Dr.Web Virendefinitionsdatei als Android.Banker.184.origin noch im August 2017 aufgenommen. Deshalb stellt sie für Dr.Web Nutzer keine Bedrohung dar. .

Nach dem Starten versucht der Trojaner, mittels Accessibility Service den Zugriff auf eine Liste von Gerätadministratoren zu erhalten und fügt sich selber in diese ein. Anschließend ändert er den PIN-Code zur Entsperrung des Gerätes, verschlüsselt Daten der Nutzer und verlangt ein Lösegeld für die Entsperrung. Es gibt Versionen des Schädlings, die größere Dateien von ab 10 MB nicht verschlüsseln können.

Obwohl man in einigen Medien von einer neuen Funktionalität von Android.Banker.184.origin redet, wiesen andere Trojaner vergleichbare Möglichkeiten bereits früher auf. Bereits 2014 konnten die Malwareanalysten von Doctor Web den Android-Trojaner Android.Locker.38.origin finden, der seinen eigenen Code zur Entsperrung des Bildschirms setzte. In diesem Jahr ist auch der erste Encoder für Android aufgetaucht, der als Android.Locker.2.origin benannt wurde. Böswillige Aktionen wurden auch mittels Accessibility Service in Android-Trojanern bereits verwendet. Ein Beispiel dafür ist Android.BankBot.211.origin.

Übeltäter versuchen immer noch, Google Play als Kanal für die Verbreitung von Android-Apps zu nutzen und feilen weiter an ihrer Malware. Um ein Android-Gerät gegen Malware zu schützen, müssen die Nutzer Dr.Web Virenschutzprodukte für Android verwenden.

Frankfurt, 29. Oktober 2017

Im Oktober sorgte der neue Encoder Trojan.BadRabbit für Schlagzeilen. Dieser Trojaner begann sich am 24. Oktober zu verbreiten. Angegriffen wurden Nutzer in Russland und in der Ukraine.

Im Oktober analysierten die Virenanalysten von Doctor Web eine neue Backdoor, die auf Python geschrieben ist. Dieser Schädling kann Daten aus Browsern klauen, Tastaturdrucke abfangen, Dateien herunterladen, auf dem infizierten PC speichern usw.

Außerdem haben unsere Virenanalysten einen Linux-Trojaner analysiert, der smart Geräte infizieren kann.

Bedrohung des Monats

Wie seine Vorgänger stellt Trojan.BadRabbit einen Wurm dar, der sich selbständig verbreiten kann. Der Schädling besteht aus mehreren Komponenten: einem Dropper, einer Verschlüsselungskomponente, die auch für die Entschlüsselung sorgt, und dem Wurm selbst. Ein Teil des Codes wurde dem Trojan.Encoder.12544 entnommen, der auch unter dem Namen NotPetya bekannt ist. Beim Starten prüft der Schädling, ob die Datei C:\Windows\cscc.dat vorhanden ist, und dann ggf. seine Arbeit abbricht. Deshalb kann die Erstellung der Datei cscc.dat im Verzeichnis C:\Windows schädliche Folgen beim Starten des Trojaners abwenden.

Nach Ansicht einiger Forscher sind einige kompromittierte Webseiten mit einem böswilligen JavaScript-Szenario eine Hauptquelle für die Verbreitung von Trojan.BadRabbit. Der Encoder verschlüsselt Dateien mit Erweiterungen wie .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Anschließend verlangt der Schädling ein Lösegeld in Bitcoins, das innerhalb von 48 Stunden gezahlt werden soll, sonst wird es erhöht.

Die Analyse von Trojan.BadRabbit läuft noch, aber Dr.Web kann den Schädling erfolgreich erkennen und löschen. Die vorläufige Analyse zeigte, dass der Trojaner das Betriebssystem auf die Präsenz von Dr.Web und McAfee prüft. Wenn Trojan.BadRabbit Dr.Web auf dem PC entdeckt, überspringt er die Verschlüsselung im Benutzermodus, versucht aber die Verschlüsselung nach dem Neustart des Betriebssystems zu erzwingen. Diese Funktion des Schädlings wird von Dr.Web blockiert, deshalb sind Nutzer von Dr.Web 9.1 und höher sowie Dr.Web KATANA geschützt. Die Voraussetzung ist aber, dass man den Präventivschutz nicht angepasst oder nicht ausgeschaltet hat.

Dr.Web Antivirus Statistik

Trojan.Exploit

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Serverstatistik

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

JS.BtcMine.1

Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.

W97M.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

BackDoor.Bebloh.184

Banking-Trojaner, die vertrauliche Daten von Bankkunden durch das Abfangen von Tastaturdrucken und online übermittelten Daten klauen.

Malware im E-Mail-Traffic

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

VBS.DownLoader

Trojaner auf VBScript, die andere Malware herunterladen und installieren.

W97M.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Dr.Web Bot für Telegram

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Android.Hidden

Android-Trojaner, die sich im System verstecken können.

Program.TrackerFree.2.origin

Spyware Mobile Tracker Free, die Kinder ausspioniert.

Encoder

Support-Anfragen wegen Encoder im Oktober:

• Trojan.Encoder.3953 — 17,26% Anfragen;
• Trojan.Encoder.858 — 16,67% Anfragen;
• Trojan.Encoder.13671 — 5,51% Anfragen;
• Trojan.Encoder.2667 — 4,02% Anfragen;
• Trojan.Encoder.567 — 2,38% Anfragen;
• Trojan.Encoder.3976 — 2,23% Anfragen.

Böswillige Webseiten

Im Oktober 2017 wurden 256 429 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für Linux

Im Oktober haben die Virenanalysten einen Trojaner entdeckt, der smarte Geräte unter Linux infizieren kann. Der Schädling heißt Linux.IotReapper und stellt eine bekannte Version von Linux.Mirai dar. Linux.IotReapper startet Exploits und prüft, wie erfolgreich sie ausgeführt wurden. Nachher wartet der Trojaner auf Befehle von Cyber-Kriminellen. Er kann unter anderem auf dem infizierten Gerät Malware herunterladen und starten. Der Trojaner wird von Dr. Web Antivirus für Linux als Linux.IotReapper erfolgreich erkannt und neutralisiert.

Andere Ereignisse

Mitte Oktober wurde die Python.BackDoor.33 in Dr.Web eingetragen. Dieser Schädling verbreitet sich von selbst: nach der Installation auf dem infizierten Gerät und dem Neustart versucht Python.BackDoor.33, alle angeschlossenen Datenträger mit Namen von C bis Z zu infizieren. Anschließend bestimmt der Trojaner eine IP-Adresse sowie einen verfügbaren Port des Verwaltungsservers, indem er Anfragen an Server wie pastebin.com, docs.google.com und notes.io versendet. Dieser Wert ist wie folgt:

Python.BackDoor.33 lädt vom Verwaltungsserver ein Python-Szenario und startet es. So kann er Passwörter klauen, Tastaturdrucke abfangen und Befehle im Hintergrund ausführen. Mit diesem Szenario kann der Schädling folgende Aktionen vornehmen:

• Daten aus Browsern wie Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
• Tastaturdrucke abfangen und Bildschirmaufnahmen machen;
• Zusätzliche Module auf Python herunterladen und diese ausführen;
• Dateien herunterladen und diese auf Datenträgern der infizierten Geräte abspeichern;
• Inhalte aus dem Zielverzeichnis ziehen;
• Durch Verzeichnisse laufen;
• Systemdaten abfragen.

Mehr zu Python.BackDoor.33 finden Sie in diesem Artikel.

Malware für mobile Endgeräte

Im Oktober sorgte ein Erpressungs-Trojaner für Schlagzeilen. Dr.Web erkennt den Schädling als Android.Banker.184.origin. Dieser ist unseren Malwareanalysten seit August 2017 bekannt. Der Schädling ändert den PIN-Code zur Entsperrung des Android-Endgeräts, verschlüsselt Daten und verlangt ein Lösegeld für die Wiederherstellung der Funktionsweise des Gerätes. Außerdem wurde auf Google Play im vorigen Monat ein Trojaner entdeckt, der von Dr.Web als Android.SockBot.5 eingestuft wurde. Dieser wandelt mobile Endgeräte in Proxy-Server um.

Hauptereignisse:

• Erpressungs-Trojnaer, der einen PIN-Code zur Entsperrung des Bildschirms auf Android-Geräten ändert und Dateien verschlüsselt;
• Trojaner auf Google Play, der infizierte Android-Geräte in Proxy-Server umwandelt.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie обзоре.

Frankfurt, 25. Oktober 2017

Trojan.BadRabbit, auch als BadRabbit bekannt, stellt keine Bedrohung für Nutzer von aktuellen Dr.Web Versionen mit einem aktivierten Präventivschutz dar. Der Schädling wird als DPH: Trojan.Encoder.32 erkannt und neutralisiert. Präventiv wird auch sein Eintrag im MBR (Master Boot Record) gesperrt. Nach dem Funktionsumfang ist der Schädling dem Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist, ähnlich.

Im Netz gibt es bereits Empfehlungen, wie man sich gegen die Bedrohung schützen sollte:

• Datei C:\Windows\infpub.dat mit Attribut ReadOnly erstellen;
• Datei C:\Windows\cscc.dat mit Attribut ReadOnly erstellen;
• Das Ausführen von infpub.dat und install_flash_player.exe in Group Policies sperren.

Einige dieser Maßnahmen können nur einen kurzfristigen Effekt haben. Unser Team von Doctor Web kann aber solche temporären Maßnahmen nicht als Allheilmittel empfehlen, weil nur eine kleine Änderung im Schädling alle Maßnahmen nutzlos macht. Deshalb ist eine zuverlässige Virenschutz-App das beste Mittel. Eine aktuelle Version von Dr.Web schützt Sie gegen BadRabbit.

Sobald das Team des Virenlabors von Doctor Web seine Forschungsarbeiten abgeschlossen hat, wird eine detaillierte Beschreibung des Schädlings veröffentlicht.

Frankfurt, 16. Oktober 2017

Als Backdoor bezeichnet man einen Schädling, der Befehle von Cyber-Kriminellen erhält und diesen einen unerlaubten Zugang zum infizierten Gerät bietet. Die Analysten von Doctor Web haben eine neue Backdoor erforscht, die auf Python geschrieben ist.

Der Schädling wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Python.BackDoor.33 aufgenommen. Die Datei enthält das gezippte Tool py2exe, das die auf Python geschriebenen Szenarien unter Windows ausführt. Die Hauptfunktionen von Malware sind in der Datei mscore.pyc realisiert.

Python.BackDoor.33 speichert seine Kopie auf der Festplatte, passt das Registry von Windows an und schließt das Szenario ab. So werden böswillige Funktionen meistens nach dem Neustart des Rechners ausgeführt.

Nach dem Neustart versucht der Trojaner, alle verfügbaren Geräte mit dem Namen von C bis Z zu infizieren. Dafür erstellt er ein verdecktes Verzeichnis, speichert dort eine Kopie seiner ausführbaren Datei ab und erstellt einen Link <volume name>.lnk, der zu einer böswilligen Datei weiterleitet. Alle Dateien, die anders als .lnk, VolumeInformation.exe und .vbs heißen, werden in das früher erstellte Verzeichnis verschoben.

Danach versucht der Trojaner eine IP-Adresse sowie einen Port des Verwaltungsservers zu identifizieren, indem er Anfragen an Services wie pastebin.com, docs.google.com und notes.io versendet. Dies sieht wie folgt aus:

Wenn die Backdoor an die IP-Adresse und das Port gelangt, versendet er an einen Verwaltungsserver eine spezielle Anfrage. Wenn die Anfrage beantwortet wird, lädt er vom Verwaltungsserver das auf Python geschriebene Szenario, das in der Dr.Web Virendefinitionsdatei als Python.BackDoor.35 eingetragen wurde. Mit dem Szenario lassen sich Passwörter, eingegebene Daten klauen und Befehle per Fernzugriff ausführen. Der Trojaner kann außerdem verbundene Datenträger prüfen und diese infizieren. Python.BackDoor.35 ermöglicht somit Folgendes:

• Daten aus Browsern Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
• Tastatureingaben und Bildschirmaufnahmen ablesen;
• Zusätzliche Module auf Python herunterladen und ausführen;
• Dateien herunterladen und diese auf dem infizierten Gerät abspeichern;
• Inhalte aus einem Verzeichnis abrufen;
• Sich über verschiedene Verzeichnisse verbreiten;
• Informationen zum System anfordern.

Außerdem verfügt Python.BackDoor.35 über eine Selbstaktualisierungsfunktion. Zurzeit ist sie aber nicht verfügbar. Signaturen für alle erwähnten böswilligen Programme wurden in die Dr.Web Virendefinitionsdatei eingetragen. Die entdeckte Malware stellt für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 29. September 2017

Im September haben mehrere Medien mitgeteilt, dass Cyber-Kriminelle Web-Browser von Anwendern als Tool zum unerlaubten Mining von Kryptowährungen ausgenutzt haben. Dabei erfreut sich die Kryptowährung Monero (XMR) größter Beliebtheit.

Der Mining-Schädling, der von unseren Spezialisten als Tool.BtcMine.1046 in die Virendefinitionsdatei aufgenommen wurde, ist auf JavaScript geschrieben. Beim Aufrufen einiger Webseiten begann der Bösewicht mittels eines JavaScript-Szenarios Kryptowährung zu scheffeln. Nach Angaben von Anwendern konnte die CPU-Auslastung bei 100% liegen und ging auf Standardwerte zurück, sobald der Browser geschlossen wurde. Es ist schwierig abzuschätzen, auf was dies genau zurückzuführen ist – auf eine freiwillige Einbettung des Codes oder Webseiten-Hacks. Aktuell warnt Dr.Web Antivirus vor potenziell gefährlichen Inhalten, sobald ähnliche Webseiten aufgerufen werden.

Kurz danach wurde ein zweites böswilliges Tool unter dem Namen Tool.BtcMine.1048 in die Virendefinitionsdatei eingeführt. Dieser Miner ist auf JavaScript geschrieben und wurde ohne Zustimmung der Webseiten-Besucher eingesetzt. Eine solche Technologie kann sowohl legal als auch illegal eingesetzt werden. Ähnliche Szenarien können in den Webseiten-Code nicht nur von Inhabern, sondern auch von Werbetreibenden durch Hacks eingebettet werden. Außerdem kann die Mining-Funktion auch in Plug-ins realisiert werden, die Anwender in Browsern installieren.

Die Sicherheitsspezialisten von Doctor Web haben im September Schwachstellen im Bluetooth-Protokoll entdeckt und herausgefunden, dass Cyber-Kriminelle IoT zum Versenden von Spam-Mails verwenden.

Bedrohung des Monats

Doctor Web teilte hier Informationen über Linux.ProxyM bereits mit. Der Schädling startete auf einem infizierten Gerät einem SOCKS-Proxy-Server. Es gibt bereits Konfigurationen des Trojaners für Geräte mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. er kann auf smarten Geräten wie Router, TV-Konsolen usw. funktionieren. Die Virenanalysten haben festgestellt, dass Cyber-Kriminelle mittels dieser infizierten Geräte Spam-Mails, wo Webseiten für Erwachsene beworben werden, versenden. Täglich versendet jedes infizierte Gerät etwa 400 Mails. Die Aktivitäten des Botnets sind nachfolgend abgebildet:

Die meisten durch Linux.ProxyM infizierten Geräte, von denen Angriffe durchgeführt werden, befinden sich in Brasilien. Weiter folgen die USA und Russland.

Mehr zu Linux.ProxyM finden Sie hier

Dr.Web Antivirus Statistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Trojan.BitCoinMiner.4

Schädling, der zum versteckten Mining von BitCoin geeignet ist.

Win32.Virut.5

Polymorpher Virus, der ausführbare Daten infiziert und infizierte Geräte mittels eines IRC-Kanals verwaltet.

Trojan.BtcMine

Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.

Serverstatistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.CCleaner.2

Trojaner, der in CCleaner (Programm zum Optimieren von Microsoft Windows) gefunden wurde.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

Win32.HLLW.Shadow

Wurm, der zu seiner Verbreitung Wechseldatenträger und Logical Volumes verwendet. Außerdem kann er sich mittels SMB-Protokoll verbreiten und von einem Verwaltungsserver ausführbare Dateien herunterladen und starten.

Malware im E-Mail-Traffic

Trojan.Inject

Familie von Trojanern, die ihren Schadcode in andere Apps einbetten.

VBS.DownLoader

Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Dr.Web Bot für Telegram

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Joke.Locker.1.origin

Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.

Android.Hidden

Android-Trojaner, die sich im System verstecken können.

Encoder

Support-Anfragen wegen Encoder im September:

• Trojan.Encoder.858 — 23.49% Anfragen;
• Trojan.Encoder.13671 — 5.33% Anfragen;
• Trojan.Encoder.11464 — 3.89% Anfragen;
• Trojan.Encoder.761 — 2.74% Anfragen;
• Trojan.Encoder.5342 — 2.02% Anfragen;
• Trojan.Encoder.567 — 2.00% Anfragen.

Böswillige Webseiten

Im September 2017 wurden 298 324 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für mobile Endgeräte

Im September wurde die Sicherheitslücke „BlueBorne“ im Bluetooth-Protokoll entdeckt. Anfällig sind verschiedene Geräte, u.a. Android-Smartphones und Tablets. Diese Sicherheitslücken ermöglichen eine totale Kontrolle über infizierte Geräte, lassen einen beliebigen Code ausführen und vertrauliche Daten klauen. Darüber hinaus wurde auf Google Play im vorigen Monat Android.BankBot.234.origin entdeckt, der Bankkartendaten klaut.

Hauptereignisse:

• Neue Details zu entdeckten Schwachstellen im Bluetooth-Protokoll;
• Neuer Banking-Trojaner auf Google Play entdeckt.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 12. September 2017

Die Anzahl von böswilligen Apps, die smarte Geräte unter Linux infizieren, wächst ununterbrochen. Ein wesentlicher Teil davon sind für DDoS-Angriffe und für die Gewährleistung der Anonymität im Netz gedacht. Wie die Analyse von Doctor Web zeigt, nutzen Cyber-Kriminelle Linux-Trojaner für einen massenhaften Versand von Spam-Mails.

Es handelt sich um den Schädling Linux.ProxyM, von dem wir im Juni berichtet haben. Dieser Trojaner startet auf einem infizierten Gerät einen SOCKS-Proxyserver und ist in der Lage, Honeypots zu entdecken, die von Sicherheitsspezialisten als Attrappe für Übeltäter dient. Nachdem der Schädling eine Bestätigung von seinem Verwaltungsserver erhalten hat, lädt er von diesem Server zwei Internetadressen, unter denen er eine Liste von Benutzernamen und Passwörtern findet und für seinen SOCKS-Proxyserver verwendet. Diesen Trojaner gibt es für Geräte mit x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. Linux.ProxyM kann praktisch auf allen Geräten unter Linux, u.a. Router, TV-Konsolen und andere Hardware laufen.

Die Virenanalysten von Doctor Web fanden heraus, dass Übeltäter mit Hilfe von Linux.ProxyM Spam-Mails versenden. Vom Verwaltungsserver kommt auf das infizierte Gerät ein Befehl, der die Adresse eines SMTP-Servers einen Benutzernamen und ein Passwort, eine Liste von E-Mail-Adressen und ein Muster der E-Mail enthält. In den E-Mails werden Webseiten für Erwachsene beworben. Eine typische Nachricht, die mittels der durch Linux.ProxyM infizierten Geräte versendet wird, sieht wie folgt aus:

Subject: Kendra asked if you like hipster girls
        
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

Laut der Statistik, die Doctor Web zur Verfügung steht, verschickt jedes infizierte Gerät etwa 400 Spam-Mails in 24 Stunden. Eine grafische Übersicht der durch Linux.ProxyM durchgeführten Angriffe ist wie folgt dargestellt:

Die Anzahl von einzelnen IP-Adressen der infizierten Endgeräte können Sie dem nachfolgenden Diagramm entnehmen. Das Diagramm zeigt nur Bots an, die von den Analysten von Doctor Web registriert wurden. Eine tatsächliche Zahl von infizierten Geräten kann höher sein.

Die geografische Verteilung von Angriffen durch Linux.ProxyM in den letzten 30 Tagen ist wie folgt:

Es lässt sich vermuten, dass der Funktionsumfang des Schädlings erweitert wird. Das IoT ist längst im Blick der Cyber-Kriminellen. Davon zeugt eine weite Verbreitung von Malware für Linux, die Geräte mit der unterschiedlichen Architekturen infizieren kann.

Frankfurt, 31.August 2017

Im August registrierte das Team von Doctor Web mehrere massenhafte Mail-Angriffe gegen Administratoren von Webseiten. Übeltäter forderten sie auf, eine spezielle PHP-Datei auf die Webseite hochzuladen, was eine Webseite kompromittieren könnte. Ein neuer Mining-Trojaner, dessen Downloader einen Link zur Webseite von Brian Krebs enthält, wurde entdeckt. Und in die Dr.Web Virendefinitionsdatei haben unsere Sicherheitsspezialisten Downloader des Linux-Trojaners Linux- Hajime für Geräte mit der MIPS- und MIPSEL-Architektur aufgenommen.

Bedrohung des Monats

Netzwürmer unter dem Namen Linux.Hajime sind bereits seit 2016 bekannt. Zu deren Verbreitung verwenden Cyber-Kriminelle ein Telnet-Protokoll. Nach der Ermittlung eines Passwortes und Autorisierung auf einem Zielgerät speichert dort das infizierende Plug-in einen Downloader. Vom PC, von dem ein Angriff durchgeführt wird, lädt er ein Hauptmodul des Trojaners herunter und bringt das infizierte Gerät in ein dezentrales Botnet ein. Virenschutz-Apps konnten Linux.Hajime nur für Geräte mit der ARM-Architektur erkennen. Die Virenanalysten von Doctor Web trugen funktionsähnliche böswillige Apps für MIPS- und MIPSEL-Geräte ein.

Der Löwenanteil von Infizierungen durch Linux.Hajime entfällt auf Mexico. Weiter folgen die Türkei und Brasilien. Mehr Informationen zu Hajime-Downloadern, die in die Dr.Web Virendefinitionsdatei als Linux.DownLoader.506 und Linux.DownLoader.356 eingetragen wurden, finden Sie hier.

Dr.Web Statistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Serverstatistik

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Trojan.PWS.Stealer

Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.

VBS.DownLoader

Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.

Trojan.Encoder.13570

Erpresser, der für die Entschlüsselung von Daten Geld verlangt.

Encoder

Support-Anfragen wegen Encoder im August:

• Trojan.Encoder.858 — 29.21% Anfragen;
• Trojan.Encoder.567 — 4.02% Anfragen;
• Trojan.Encoder.761 — 1.85% Anfragen;
• Trojan.Encoder.11464 — 1.85% Anfragen;
• Trojan.Encoder.741 — 1.55% Anfragen
• Trojan.Encoder.3976 — 1.08% Anfragen.

Böswillige Webseiten

Im August 2017 wurden 275 399 Internetadressen in die Datenbank von nicht empfohlenen

Auf die Liste von nicht empfohlenen Webseiten kommen nicht selten bereits attackierte Homepages. Auf diesen sind unter anderem Szenarien anzutreffen, die Besucherzahlen künstlich steigern und sogar Malware verbreiten. Bei Angriffen auf Webseiten sammeln Übeltäter Daten zu angegriffenen Webseiten, u.a. Code, CMS, Subdomains, Browser und Version des Web-Servers usw. Wenn DNS-Server, die eine Webseite bedienen, richtig konfiguriert sind, können Cyber-Kriminelle keine Daten zur Domainzone erhalten. Bei falsch eingestellten DNS-Servern kann aber ein Übeltäter mittels einer AXFR-Anfrage an alle Informationen zu registrierten Subdomains gelangen. Eine falsche Einstellung von DNS-Servern öffnet zwar keine Sicherheitslücken, kann aber dazu führen, dass eine Webseite kompromittiert wird. Mehr dazu finden Sie hier.

Andere Ereignisse

Im August haben die Virenanalysten von Doctor Web einen neuen Schädling für Linux in die Dr.Web Virendefinitionsdatei aufgenommen - Linux.BtcMine.26. Der Trojaner ist zum Mining von Kryptowährung von Monero (XMR) gedacht und verbreitet sich wie Linux.Mirai: Cyber-Kriminelle stellen eine Verbindung zum Zielgerät via Telnet her, indem sie einen Benutzernamen und ein Passwort ermitteln und auf dem Gerät einen Downloader speichern. Anschließend starten sie die böswillige App durch einen Befehl und diese lädt einen weiteren Trojaner nach.

Linux.BtcMine.26 zeichnet sich durch eine Besonderheit aus: der Code enthält einen Link zur Webseite krebsonsecurity.com, die einem bekannten Sicherheitsspezialisten Brian Krebs gehört. Mehr dazu lesen Sie in unseren News.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im August wurden auf Google Play mehrere böswillige Android-Apps entdeckt. Trojaner, die als Android.Click.268 und Android.Click.274 klassifiziert wurden, verübten DDoS-Attacken auf Netzwerke. Und Android.Click.269 rief vorgegebene Webseiten auf, klickte auf Banner und besorgte somit Cyber-Kriminellen etwas Geld. Ein weiterer Schädling, der Android.BankBot.225.origin heißt, verfälschte Eingabefelder für Banking-Apps und klaute sensible Daten. Außerdem wurde auf Google Play Android.MulDrop.1067 entdeckt, der weitere Trojaner installieren soll.

Hauptereignisse im August 2017:

• Neuer Android-Trojaner, der DDoS-Angriffe auf Webseiten durchführt;
• Banking-Trojaner auf Google Play entdeckt;
• Dropper, der andere Trojaner installieren soll, auf Google Play entdeckt.

Mehr zur mobilen Sicherheitsszene lesen Sie hier.

July 31, 2017

Zusammenfassung

Der Juli ist in der Regel kein Monat für aufsehenerregende Ereignisse. Im Juli haben aber die Sicherheitsspezialisten von Doctor Web in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt. Später wurde auch eine Verbreitungsquelle von BackDoor.Dande aufgespürt. Ende Juli entdeckte man auf der Webseite für öffentliche Services gosuslugi.ru einen Schadcode. Im Juli wurden auch mehrere böswillige Apps für Android gefunden.

Bedrohung des Monats

Die beliebte App M.E.Doc zum Dokumentenmanagement wurde von Intellect Service entwickelt. In der Komponente der App, die ZvitPublishedObjects.Server.MeCom heißt, haben Virenanalysten von Doctor Web einen Eintrag entdeckt, der für den Schlüssel des Windows-Registry typisch ist: HKCU\SOFTWARE\WC.

Dieser Schlüssel wurde von Trojan.Encoder.12703 verwendet. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

Die angeforderte Datei ZvitPublishedObjects.dll hatte den gleichen Hash wie das von Doctor Web analysierte Muster. So konnten Virenanalysten von Doctor Web zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

• Daten für den Zugang zu Mailservern sammeln;
• Befehle im infizierten System ausführen;
• Dateien ins infizierte System herunterladen;
• Herunterladen, Speichern und Starten von ausführbaren Dateien;
• Hochladen von Dateien auf einen Remote-Server.

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden. Mehr dazu finden Sie hier.

Statistik

Dr.Web Antivirus

• Trojan.DownLoader
  Trojaner, die andere Malware herunterladen und installieren.
• Trojan.InstallCore
  Trojaner, die andere Malware installieren.
• Trojan.BtcMine
  Familie von Trojanern, die unerlaubt CPU-Ressourcen des PCs zum Mining von der Kryptowährung wie Bitcoin anzapfen.

Serverstatistik

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die auf den Rechner weitere böswillige Apps herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.InstallCore
  Familie von Installationsassistent für unerwünschte Apps.
• Trojan.DownLoader
  Trojaner, die zum Herunterlanden von anderen Apps geeignet sind.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malwarestatistik für E-Mail-Traffic

• JS.DownLoader
  Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
• JS.Inject.3
  Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
• Trojan.Encoder.6218
  Erpresser, der für die Entschlüsselung von Daten Geld verlangt.
• Trojan.InstallCore
  Installationsassistenten für böswillige und unerwünschte Apps.

Statistik von Dr.Web Bot für Telegram

• Android.Locker.139.origin
  Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
• EICAR Test File
  Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.
• Joke.Locker.1.origin
  Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.
• Android.SmsSend.20784
  Böswillige Software, die Nutzern kostspielige Services unterschiebt.
• Trojan.PWS.Stealer
  Trojaner, die vertrauliche Daten klauen sollen.

Encoder

Support-Anfragen wegen Encoder im Juli:

• Trojan.Encoder.858 — 34.80% Anfragen;
• Trojan.Encoder.567 — 8.21% Anfragen;
• Trojan.Encoder.761 — 3.19% Anfragen;
• Trojan.Encoder.5342 — 3.04% Anfragen;
• Trojan.Encoder.11423 — 2.13% Anfragen;
• Trojan.Encoder.11432 — 1.98% Anfragen;

Böswillige Webseiten

Im Juli 2017 wurden 327 295 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Mitte Juli wurde auf der russischen Webseite für elektronische Services gosuslugi.ru ein potenzieller Schadcode entdeckt. Dieser Code ließ den Browser jedes Benutzers mit einer von 15 Domainadressen, von denen 5 niederländischen Unternehmen gehören, verbinden. Bei der dynamischen Generierung von Webseiten wurde auch ein Container <iframe> eingefügt. Dadurch konnte man den Browsern beliebige Daten abfragen. Alle Sicherheitslücken der Webseite wurden von der Administration von gosuslugi.ru nach der Veröffentlichung der Meldung über den Vorfall geschlossen.

Andere Ereignisse

Im Jahre 2011 haben unsere Analysten den Trojaner BackDoor.Dande gemeldet, der Pharmaunternehmen und Apotheken ausspionierte. Nach der Analyse der Festplatte, die von einem geschädigten Nutzer zur Verfügung gestellt wurde, kam man zum Schluss, dass der Trojaner von einer ePrica-Komponente heruntergeladen und installiert wurde. Dieses Modul lud vom Server, der der Firma Spargo Technologii gehört, den Installationsassistenten von BackDoor.Dande herunter, der eine Backdoor auf den zu infizierenden PCs startete. Das fragwürdige Modul war mit der digitalen Signatur «Spargo» versehen.

Die von Doctor Web durchgeführte Analyse zeigte, dass BackDoor.Dande in eine frühere Version des Installationsassistenten von ePrica eingebettet wurde. Unter den Modulen des Trojaners sind ein Installationsassistent sowie Komponenten zur Sammlung von Einkaufsdaten zu Medikamenten zu finden. Da die Backdoor auch nach der Entfernung von ePrica im System weiterhin bestand, konnten Cyber-Kriminelle Nutzer laufend ausspionieren. Mehr zu Ermittlungen im Fall ePrica, die von Doctor Web durchgeführt wurden, finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Juli haben die Sicherheitsspezialisten von Doctor Web im auf Google Play beliebten Spiel BlazBlue Android.DownLoader.558.origin entdeckt. Der Schädling konnte beliebige ungeprüfte App-Komponenten herunterladen und starten. Später wurde der Trojaner Android.BankBot.211.origin erforscht. Er konnte infizierte mobile Endgeräte verwalten und klaute vertrauliche Daten wie Logins und Passwörter. Ende Juli wurde der Trojaner Android.Triada.231 entdeckt, der von Cyber-Kriminellen in eine der Systembibliotheken von Android eingebettet wurde. Der Schädling wurde in Prozesse aller laufenden Apps integriert und startete einzelne Module des Trojaners.

Hauptereignisse im Juni 2017:

• Entdeckung eines Android-Trojaners in Android-Firmware von einigen mobilen Geräten;
• Entdeckung eines Download-Trojaner auf Google Play;
• Entdeckung eines Banken-Trojaners, der infizierte Geräte steuern und vertrauliche Daten klauen kann.

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 31. Juli 2017

Im Juli haben die Sicherheitsanalysten von Doctor Web auf einigen Smartphone-Modellen unter Android einen Trojaner aufgespürt, der in einer Systembibliothek von Android eingebettet war. Der Schädling konnte u.a. in laufende Prozesse eindringen und weitere böswillige Module starten. Darüber hinaus haben die Analysten von Doctor Web auf Google Play ein Spiel ausfindig gemacht, das mit einem Download-Trojaner ausgerüstet war. Darüber hinaus hat man noch einen neuen gefährlichen Trojaner analysiert, der sich die Kontrolle über infizierte Geräte und vertrauliche Daten von Nutzern sichert.

Bedrohung des Monats

Android.Triada.231 der in einer Systembibliothek von Android eingebettet war, konnte in laufende Prozesse eindringen und unsichtbar für den Benutzer weitere Trojaner-Module herunterladen und starten. Der Trojaner wurde auf mehreren Android-Modellen entdeckt.

Besonderheiten von Android.Triada.231 sind wie folgt:

• Die Einbettung in die Systembibliothek ist auf Ebene des Quellcodes realisiert;
• Der Schädling bettet sich in laufende Prozesse ein und integriert in diese böswillige Module;
• Um den Trojaner zu installieren, ist die Neuinstallation des Betriebssystems erforderlich.

Mehr zum Trojaner finden Sie in dieser Mitteilung.

Statistik von Dr.Web Produkten für Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Trojaner, die zum Herunterladen anderer Apps gedacht sind.

Android.HiddenAds.85.origin

Android.HiddenAds.68.origin

Android.HiddenAds.83.origin

Trojaner, die zum Anzeigen anderer Apps gedacht sind, werden unter dem Deckmantel beliebter Apps verbreitet und im Systemverzeichnis unsichtbar installiert.

Adware.Avazu.8.origin

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Adware.Cootek.1.origin

Unerwünschte App-Module, die in Android-Apps eingebettet werden und zum Anzeigen auf mobilen Geräten gedacht sind.

Trojaner auf Google Play

Im Juli haben Sicherheitsspezialisten von Doctor Web auf Google Play Android.DownLoader.558.origin entdeckt, der in BlazBlue eingebettet ist. Der Schädling ist im Update-Modul integriert und kann ungeprüfte Komponenten von Apps herunterladen. Mehr Informationen zu Android.DownLoader.558.origin finden Sie hier.

Bankentrojaner

Im Monat Juli wurde der Trojaner Android.BankBot.211.origin entdeckt, der sich einen Zugang zum Accessibility Service unter Android sichern wollte. Über erweiterte Möglichkeiten konnte er infizierte Geräte steuern und Daten, die über die Tastatur eingegeben werden, abfangen. Außerdem fischte Android.BankBot.211.origin vertrauliche Daten aus fingierten Formularen heraus, die in Online-Banking- und Zahlungs-Apps angezeigt wurden. Mehr zur Funktionsweise des Trojaners können Sie hier lesen.

Virenschreiber greifen Android-Nutzer weiterhin an. Ständig erweitern sie die Funktionalität von Trojanern und versuchen, diese mit allen zugänglichen Methoden zu verbreiten. Für einen zuverlässigen Schutz gegen Malware empfehlen wir Dr.Web Produkte für Android zu installieren.

Frankfurt, 27. Juli 2017

Virenanalysten von Doctor Web haben einen Schädling entdeckt, der in die Firmware von Android-Geräten eingebettet ist. Der Trojaner, der unter dem Namen Android.Triada.231 geführt wird, ist in eine Systembibliothek integriert, dringt in Prozesse laufender Apps ein und kann unter anderem weitere Module herunterladen.

Trojaner der Familie Android.Triada betten sich in den Systemprozess der Komponente Zygote ein. Diese ist für das Starten von Apps verantwortlich. Durch die Infizierung von Zygote werden Schädlinge in sämtliche laufende Apps eingebettet, sichern sich deren Rechte und funktionieren mit ihnen als Ganzes. Ein solcher Schädling ist dabei in der Lage, weitere böswillige Module herunterzuladen und zu starten.

Im Unterschied zu anderen Vertretern dieser Familie, die sich root-Privilegien zu sichern versuchen, ist der von unseren Analysten entdeckte Trojaner Android.Triada.231 in die Systembibliothek libandroid_runtime.so integriert. Seine modifizierte Version wurde gleichzeitig auf mehreren infizierten Gerätetypen wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20 entdeckt. Die Bibliothek libandroid_runtime.so wird von allen Android-Apps verwendet, deshalb ist der Schadcode im Speicher aller gestarteten Apps vorhanden.

Android.Triada.231 wurde in den Quellcode eingefügt. Deshalb lässt sich annehmen, dass Insider oder unseriöse Partner hier die Finger im Spiel haben.

Android.Triada.231 ist in libandroid_runtime.so so integriert und erhält einen Befehl jedes Mal, wenn eine beliebige App einen Eintrag im Systemprotokoll macht. Da der Dienst namens Zygote früher als andere Apps startet, wird der Trojaner durch Zygote ausgeführt.

Nach der Initialisierung nimmt der Schädling Einstellungen vor, erstellt ein Verzeichnis und prüft, wo er läuft. Wenn der Trojaner unter Dalvik läuft, fängt er eine der Systemmethoden ab, kann alle Apps überwachen und böswillige Aktivitäten durchführen.

Die Hauptfunktion von Android.Triada.231 ist es, einen unsichtbaren Start von böswilligen Modulen zu gewährleisten, die ihrerseits weitere böswillige Komponenten des Trojaners herunterladen können. Um die letzteren zu starten, prüft der Schädling, ob ein spezielles Verzeichnis vorhanden ist. Der Name des Verzeichnisses soll einen Wert MD5 enthalten. Wenn Android.Triada.231 ein solches Verzeichnis findet, sucht er darin nach der Datei 32.mmd oder 64.mmd (für 32- und 64-Bit-Versionen). Wenn es diese Datei gibt, entschlüsselt sie der Trojaner zunächst und speichert diese dann unter dem Namen libcnfgp.so. Anschließend lädt der Bösewicht diese in den Hauptspeicher und löscht die entschlüsselte Datei. Wenn der Schädling kein passendes Objekt findet, sucht er nach der Datei 36.jmd. Android.Triada.231 entschlüsselt diese, speichert unter dem Namen mms-core.jar, und startet mi Hilfe von DexClassLoader. Anschließend wird die vom ihm erstellte Kopie gelöscht.

So kann sich Android.Triada.231 in verschiedene Module einbetten und auf laufende Programme Einfluss nehmen. So können Virenschreiber jedes Mal einen Befehl zum Herunterladen und Starten von böswilligen Plug-ins abgeben und dadurch Cyber-Spionage betreiben.

Außerdem kann Android.Triada.231 aus der Bibliothek libandroid_runtime.so ein Trojaner-Modul Android.Triada.194.origin extrahieren, das dort verschlüsselt gespeichert ist. Seine Hauptfunktion ist es, weitere böswillige Komponenten herunterzuladen und die Interaktion mit diesen zu gewährleisten.

Da Android.Triada.231 in eine von Bibliotheken integriert ist und im Systemverzeichnis liegt, kann er mit Standardtools nicht entfernt werden. Das einzige Mittel im Kampf mit dem Trojaner ist die Installation einer „sauberen“ Android-Firmware. Die Sicherheitsspezialisten von Doctor Web haben Hersteller von kompromittierten Geräten benachrichtigt. Deshalb müssen Nutzer alle weiteren Updates installieren.

Mehr zum Trojaner