Frankfurt, 28. September 2018

Der Monat September 2018 wurde durch die Verbreitung eines Banking-Trojaners gekennzeichnet, der PCs von Kunden brasilianischer Banken infizierte. Das Analystenteam von Doctor Web entdeckte über 300 unterschiedliche Muster dieses Schädlings sowie knapp 130 Marktplätze, von denen der Schädling eigene Komponenten lud. Außerdem wurde eine Reihe neuer gefährlicher Apps für Android-Nutzer ausfindig gemacht.

Bedrohung des Monats

Banking-Trojaner, die Konten von Bankkunden plündern, sind weltweit verbreitet. Ein neuer Schädling, der es auf Bankkunden in Brasilien abgesehen hat, wurde nun vom Analystenteam von Doctor Web unter die Lupe genommen. Registriert wurde er als Trojan.PWS.Banker1.28321. Zum jetzigen Zeitpunkt sind den Virenanalysten von Doctor Web 340 verschiedene Muster von Trojan.PWS.Banker1.28321 und 129 Domains und IP-Adressen bekannt, von welchen diese böswillige Archive herunterladen.

Der Trojaner verbreitete sich als App für PDF-Dateien Adobe Reader und infizierte Rechner unter dem Betriebssystem eMicrosoft Windows, in dem Portugiesisch als Benutzersprache eingestellt ist. Alle böswilligen Funktionen von Trojan.PWS.Banker1.28321 sind in einer verschlüsselten und gepackten Bibliothek, die der Schädling von Webseiten der Cyber-Kriminellen herunterlädt, enthalten.

Wenn der Benutzer Webseiten von brasilianischen Banken öffnet, spielt ihm der Schädling ein gefälschtes Formular zur Eingabe seines Benutzernamens und Passworts zu. In einigen Fällen fordert der Schädling den Benutzer auf, einen Code einzugeben, den er via SMS erhalten haben soll. Anschließend werden gesammelte Daten durch den Bösewicht an Cyber-Kriminelle weitergeleitet.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.567

Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

Trojan.PWS.Stealer.1932

Trojaner, der auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Malware im E-Mail-Traffic

Trojan.Encoder.567

Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.

JS.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

W97M.DownLoader

Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.

Encoder

Support-Anfragen aufgrund von Encodern im September 2018:

• Trojan.Encoder.567 — 16,94% Anfragen;
• Trojan.Encoder.858 — 12,71% Anfragen;
• Trojan.Encoder.11464 — 10,68% Anfragen;
• Trojan.Encoder.25574 — 4,79% Anfragen;
• Trojan.Encoder.24249 — 4,42% Anfragen;
• Trojan.Encoder.11539 — 1,84% Anfragen.

Gefährliche Webseiten

Im September 2018 wurden 271.605 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im September 2018 konnten die Virenanalysten von Doctor Web die Verbreitung von Android.Click auf Google Play registrieren. Viele Apps, die dieser Familie angehören, gaben Cyber-Kriminelle als Apps von Wettannahmestellen aus. Diese Trojaner öffneten Webseiten von existierenden Wettannahmestellen, konnten aber jederzeit ihre eigenen betrügerischen Inhalte unterschieben. Außerdem ist Android.Click.265.origin auf Google Play wieder vorgedrungen und hat sich unter den Namen bekannter Firmen verbreitet. Android.Click.265.origin lädt Webseiten mit Premium-Services und bestätigt kostenpflichtige Abos der Nutzer ohne deren Wissen.

Unter den auf Google Play entdeckten Schädlingen finden sich auch die Banking-Trojaner Android.Banker.2855, Android.Banker.2856 und Android.Banker.283.origin. Diese versteckten sich in Apps, die auf den ersten Blick als harmlos erscheinen. Das Gegenteil ist jedoch der Fall.

Darüber hinaus haben Cyber-Kriminelle im September 2018 den gefährlichen Spion Android.Spy.460.origin verbreitet. Zu weiteren von Dr.Web aufgespürten Bedrohungen gehören Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin und Program.Spymaster.2.origin. Diese böswilligen Apps überwachen den SMS- und Anrufverlauf der Nutzer, orten Lokalitäten, wo sich die Nutzer befinden, verschieben ihre Kontakte aus dem Telefonbuch auf einen Remote-Server und können die Chronik der Webbrowser sowie weitere sensible Informationen klauen.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung von böswilligen Apps auf Google Play
• Verbreitung von Spyware
• Aufspürung eines kostenpflichtigen Schädlings, der Android-Nutzer ausspioniert.

Frankfurt, 31. August 2018

Im August 2018 konnten die Virenanalysten von Doctor Web Mining-Trojaner ausfindig machen, die Kryptowährung - ohne Wissen der Anwender - geschürft haben. Diese Schädlinge waren nicht nur für Windows-, sondern auch für Linux-Geräte bestimmt. Cyber-Kriminelle wollten so das begehrte digitale Geld verschwinden lassen.

Außerdem wurde die Dr.Web Virendatenbank um neue Signaturen für Android-Trojaner erweitert.

Bedrohung des Monats

Der Schädling, der in der Dr.Web Virendefinitionsdatei unter dem Namen Linux.BtcMine.82, geführt wird, wurde bereits im Juni diesen Jahres eingesetzt. Der Trojaner ist auf Go geschrieben und stellt einen Dropper dar, welcher einen gepackten Mining-Trojaner enthält. Dieser Dropper speichert den Schädling auf einer Festplatte und führt diesen aus – so beginnt der Mining-Trojaner die Kryptowährung Monero (XMR) zu schürfen. Das Analyseteam von Doctor Web hat mehrere Mining-Trojaner für Windows auf dem Server von Cyber-Kriminellen entdeckt.

Alle entdeckten Schädlinge wurden selbstverständlich in die Dr.Web Virendatenbank aufgenommen.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.11432

Wurm, der auch unter dem Namen WannaCry bekannt ist.

Trojan.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

Win32.HLLW.Shadow

Wurm, der für seine Verbreitung Wechseldatenträger und Network Volumes ausnutzt. Außerdem kann sich der Schädling mit Hilfe des SMB-Protokolls verbreiten, vom Remote-Server eine Datei herunterladen und diese ausführen.

Malware im E-Mail-Traffic

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Trojan.Encoder.567, Trojan.Encoder.25843

Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Inject

Trojaner, die Schadcode in Webseiten einbetten.

Encoder

Support-Anfragen aufgrund von Encodern im August 2018:

• Trojan.Encoder.858 — 20,00% Anfragen
• Trojan.Encoder.11464 — 14,23% Anfragen
• Trojan.Encoder.25574 — 9,24% Anfragen
• Trojan.Encoder.567 — 3,46% Anfragen
• Trojan.Encoder.24249 — 3,45% Anfragen
• Trojan.Encoder.10700 — 2,50% Anfragen

Gefährliche Webseiten

Im August 2018 wurden Domainadministratoren attackiert, die früher Dienstleistungen des Domainregistrierungsdienstes RU-CENTER in Anspruch genommen haben. Mitte des Monats erhielten sie E-Mails, die angeblich von diesem Unternehmen stammen. In den E-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges beglichen werden sollten.

Der Link führte zu einer gehackten Webseite, deren Adresse in die Datenbank von nicht empfohlenen Webseiten aufgenommen wurde. Das böswillige Szenario leitete Anwender auf die Seite von Yandex.Money, wo Betrüger an ihr Geld kommen konnten. Mehr dazu finden Sie hier.

Im August erhielten viele Anwender E-Mails, in denen Cyber-Kriminelle Lösegeld für nicht veröffentlichte und vermeintlich heikle Videos von Nutzern gefordert haben. Das Lösegeld sollte in Bitcoins gezahlt werden und betrug umgerechnet mehrere Tausend Euro.

Sicherlich ist dies eine Falle für einfältige Nutzer. Das Analyseteam von Doctor Web empfiehlt, keine gleichen Logins und Passwörter für verschiedene Webseiten zu verwenden und diese regelmäßig zu ändern.

Im August 2018 wurden 538.480 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im August 2018 entdeckten die Virenanalysten von Doctor Web den Trojaner Android.Clipper.1.origin, der in Zwischenspeichern von Android-Geräten Wallet-Nummern unterschob. Außerdem konnten die Analysten eine Reihe von böswilligen Banking-Apps entdecken, die als angeblich harmlose Apps verbreitet wurden: Android.Banker.2843 und Android.Banker.2855. Weiterhin versuchten Cyber-Kriminelle mobile Geräte durch Schädling wie Android.DownLoader.768.origin, Android.DownLoader.772.origin und Android.DownLoader.784.origin zu infizieren, indem sie auf Smartphones und Tablets der Anwender Malware heruntergeladen haben. Ausfindig machte man auch Vertreter der Familie Android.Click. Die Cyber-Kriminellen haben mit Hilfe dieser Apps ihr Geld verdient. Ein weiterer Trojaner, der auch diesem Zweck diente, heißt Android.FakeApp.110. Er verbreitete sich ebenfalls über Google Play. Unter den entdeckten böswilligen Programmen ist auch Android.Spy.490.origin zu finden, der in beliebige Apps eingebettet und als Original-App verbreitet werden konnte.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung eines Trojaners, der Wallet-Nummern in Zwischenspeichern von Android-Geräten unterschiebt
• Entdeckung von Malware auf Google Play
• Verbreitung von Banking-Trojanern
• Entdeckung von Spyware

Frankfurt, 31. Juli 2018

Anfang Juli haben die Sicherheitsanalysten von Doctor Web einen Trojaner analysiert, der sich einer ungewöhnlichen Verbreitungsmethode bediente. Im Laufe des Monats zeigten sich auch Spammer aktiv, die betrügerische Webseiten beworben haben. Zudem wurde die Dr.Web Virendefinitionsdatei um neue Signaturen für Android-Schädlinge erweitert.

Bedrohung des Monats

Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits. So konnten z.B. die Schädlinge Trojan.Encoder.12544 (Petya, Petya.A, ExPetya und WannaCry-2) und BackDoor.Dande in Systeme der Anwender eindringen.

Im Juli 2018 teilte ein Anwender dem technischen Support von Doctor Web mit, dass er auf seinem PC immer wieder eine Mining-App entdecken konnte, die jedes Mal durch Virenschutzsoftware entfernt wurde. Während der Untersuchung stellten die Virenanalysten von Doctor Web fest, dass eine App zur Automatisierung von Prozessen für ein erneutes Auftauchen des Schädlings verantwortlich war.

Über Updates lud diese App Malware herunter und installierte den Mining-Trojaner Trojan.BtcMine.2869. Zum 9. Juli konnten die Malwareanalysten von Doctor Web 2.700 PCs ausfindig machen, die durch diesen Trojaner infiziert wurden.

Mehr zum Trojaner lesen Sie hier.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.DownLoader

Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.

Trojan.Starter.7394

Trojaner, der im infizierten System eine Datei mit einem gewissen Funktionenset startet.

Malware im Email-Traffic

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

Szenario auf JavaScript, welches Kryptowährung schürft.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Trojan.Inject

Familie von Trojanern, die den Schadcode in Prozesse anderer Programme integriert.

Encoder

Support-Anfragen aufgrund von Encodern im Juli 2018:

• Trojan.Encoder.858 — 17.69% Anfragen;
• Trojan.Encoder.25574 — 11.38% Anfragen;
• Trojan.Encoder.11464 — 8.06% Anfragen;
• Trojan.Encoder.567 — 5.08% Anfragen;
• Trojan.Encoder.5342 — 3.85% Anfragen;
• Trojan.Encoder.24249 — 3.33% Anfragen.

Gefährliche Webseiten

Im Juli 2018 konnten die Virenanalysten von Doctor Web mehrere betrügerische E-Mail-Kampagnen entdecken. So haben Spammer im Namen von Yandex die Anwender aufgefordert, die Verknüpfung der E-Mail-Adresse mit einem Konto auf passport.yandex.ru zu bestätigen. Der Link, den die Empfänger erhielten, führte auf die Webseite von Yandex, der andere aber führte das Opfer zur Webseite von Cyber-Kriminellen, die einen Geldbetrag für das versprochene Geschenk forderten.

In anderen betrügerischen E-Mails gab es auch Links zum Service Google Docs, wo Cyber-Kriminelle das Bild reCAPCHA imitierten und mit dessen Hilfe Nutzer auf Phishing-Webseiten weiterleiteten.

Die Adressen sämtlicher betrügerischer Webseiten wurden in die Datenbank nicht empfohlener Webseiten hinzugefügt.

Im Juli 2018 wurden insgesamt 512.763 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im Juli 2018 wurden auf Google Play mehrere Schädlinge entdeckt. Einer davon war Android.Banker.2746, der ein gefälschtes Fenster für die Eingabe von persönlichen Daten beim Starten von Banking-Apps anzeigte. Ein weiterer Schädling, der als Android.DownLoader.753.origin getauft wurde, lud Banking-Trojaner für Android vom Server der Übeltäter herunter, um die Entdeckung auf Google Play zu verhindern. Unter den verbreiteten Trojanern gab es auch andere Banking-Trojaner. Dazu gehörte u.a. Android.BankBot.279.origin, der beim Aufrufen von böswilligen Webseiten automatisch auf mobile Geräte heruntergeladen wurde. Darüber hinaus verbreiteten Cyber-Kriminelle eine Backdoor-App, die Sicherheitsspezialisten von Doctor Web seit April 2017 bekannt ist. Diese App spionierte Nutzer aus und verbreitete einen Wurm, der Rechner unter Windows infizierte. Außerdem wurde kommerziell verwendete Spyware wie Program.Shadspy.1.origin und Program.AppSpy.1.origin entdeckt und analysiert.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung von Trojanern auf Google Play
• Verbreitung von Banking-Trojanern für Android
• Verbreitung einer Android-Backdoor, die Rechner unter Windows infiziert
• Entdeckung von neuen kommerziell verwendeten Spyware-Schädlingen

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie in unserem Bericht.

Frankfurt, 31. Juli 2018

Im Juli 2018 haben Cyber-Kriminelle Android.Backdoor.554.origin verbreitet, welche den Virenanalysten von Doctor Web seit April 2017 bekannt ist. Die Backdoor spionierte Nutzer aus und konnte ihre infizierten Geräte per Fernzugriff verwalten. Android.Backdoor.554.origin versteckte sich in einem Windows-Wurm, den diese auf eine SD-Karte eines mobilen Gerätes kopierte, um später Rechner unter Windows zu infizieren. Im vergangenen Monat haben Cyber-Kriminelle weiterhin Android-Smartphones und -Tablets mit Hilfe von Banking-Trojanern angegriffen. Android.Banker.2746 z.B. konnte sogar von Google Play heruntergeladen werden. Andere Trojaner wurden durch den auch auf Google Play verfügbaren Schädling Android.DownLoader.753.origin heruntergeladen. Zu den weiteren Schädlingen, die durch Cyber-Kriminelle verbreitet wurden, zählt auch Android.BankBot.279.origin, der als nützliche App gepriesen wurde. Des weiteren wurden zwei neue Spion-Programme entdeckt, die folgende Namen bekamen: Program.Shadspy.1.origin und Program.AppSpy.1.origin.

Mobile Bedrohung des Monats

Im Juli 2018 wurde ein erneuter Angriff gegen Android-Nutzer durch Android.Backdoor.554.origin registriert. Der Trojaner verbreitete sich unter dem Deckmantel von neuen WhatsApp- und Telegram-Versionen sowie wichtigen System-Updates.

Android.Backdoor.554.origin führte Befehle von Cyber-Kriminellen aus und erlaubte es ihnen, die infizierten Geräte zu kontrollieren. Der Trojaner ermittelte außerdem den Standort von Android-Geräten, fing Chats in beliebten Nachrichtendiensten ab, bekam Zugang zu Anrufen und Kurznachrichten sowie zu Kontakten aus dem Adressbuch. Darüber hinaus versteckte der Schädling einen Windows-Wurm, der Win32.HLLW.Siggen.10482 heißt. Nach der Infizierung eines mobilen Geräts kopierte Android.Backdoor.554.origin einen Wurm in Bildverzeichnisse auf der SD-Karte. Die ausführbare Datei von Win32.HLLW.Siggen.10482 mit der Erweiterung .pif, bekam den Namen eines Verzeichnisses, wo sie platziert wurde. Beim nächsten Kopieren und Öffnen dieser Verzeichnisse lief der Nutzer Gefahr, den Wurm auszuführen.

Liste von Verzeichnissen, wo der Trojaner Android.Backdoor.554.origin den Schädling Win32.HLLW.Siggen.10482 platzierte:

Beispiele von erfolgreichen Kopiervorgängen mit Bildern auf der SD-Karte eines infizierten Android-Gerätes:

Statistik von Dr.Web für Android

Android.Altamob.1.origin

Werbe-Plattform, die böswillige Module unsichtbar herunterlädt und startet.

Android.HiddenAds.288.origin

Android.HiddenAds.524

Trojaner, die lästige Werbung anzeigen, sich als beliebte Apps verbreiten und ins Systemverzeichnis installieren.

Android.Mobifun.4

Trojaner, der andere böswillige Apps herunterlädt.

Android.Xiny.197

Trojaner, der böswillige Apps herunterlädt und installiert.

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Unerwünschte Module, die in Android-Apps eingebettet werden.

Banking-Trojaner

Im vergangenen Monat wurde auf Google Play ein weiterer Trojaner entdeckt, der nach der Klassifikation von Doctor Web den Namen Android.DownLoader.753.origin trägt. Der Schädling wurde als Finanz-App verbreitet. Einige Versionen des Schädlings konnten in der Tat Funktionen erfüllen, die restlichen waren nutzlos und boten Nutzern an, eine andere Online-Banking-App auf Google Play herunterzuladen und zu installieren.

Android.DownLoader.753.origin konnte vom Remote-Server einen Trojaner der Familie Android.BankBot herunterladen und versuchte, diesen zu installieren, indem er einen Standarddialog der Installation anzeigte.

Die Virenanalysten von Doctor Web nahmen einen weiteren Android-Trojaner unter die Lupe. Der Schädling heißt Android.Banker.2746 und wurde durch Virenschreiber auf Google Play verbreitet, indem er als vermeintliche Online-Banking-App ausgegeben wurde.

Mit Hilfe des Schädlings versuchten Cyber-Kriminelle, den Zugang zu Kundenkonten bei türkischen Banken zu ergaunern. Android.Banker.2746 zeigte ein verfälschtes Login-Formular an und fing Kurznachrichten mit Prüfcodes ab.

Zu Banking-Trojanern, die Nutzer im vergangenen Monat attackierten, gehört auch Android.BankBot.279.origin. Übeltäter verbreiteten diesen über betrügerische Websites. Der Trojaner wurde dabei als harmlose oder nützliche App wie Adobe Flash Player, Messaging-Clients, VPN-Clients usw. heruntergeladen. Android.BankBot.279.origin überwachte die auf dem Handy oder Tablet installierten Online-Banking-Apps und zeigte ein verfälschtes Formular, über das Cyber-Kriminelle Nutzerdaten herausfischen wollten. Außerdem konnte der Banking-Trojaner den PIN-Code anpassen oder das infizierte Gerät sperren.

Websites, von denen Android.BankBot.279.origin heruntergeladen wurde:

Spyware

Im vergangenen Monat konnten die Malwareanalysten von Doctor Web kommerziell eingesetzte Spyware ausfindig machen. Die erste App wurde als Program.AppSpy.1.origin getauft. Der Schädling überwacht den Standort eines mobilen Geräts, hört Telefonate und fängt Kurznachrichten ab. Der zweite Schädling bekam den Namen Program.Shadspy.1.origin. Diese böswillige App verfügt über eine erweiterte Funktionalität: Abfangen von Telefongesprächen und Kurznachrichten, Standortermittlung für Geräte, unerlaubte Audioaufnahme, Kopieren der Chronik aus dem Webbrowser sowie von Daten über geplante Ereignisse aus dem Kalender, unerlaubte Videoaufnahmen usw. Bei root-Privilegien kann Program.Shadspy.1.origin auch Chats in Facebook und WhatsApp klauen.

Banking-Trojaner stellen für Besitzer von mobilen Geräten eine ernsthafte Gefahr dar. Cyber-Kriminelle verbreiten Malware nicht nur über betrügerische Websites, sondern auch über Google Play. Um sich zuverlässig gegen Android-Trojaner zu schützen, installieren Sie Dr.Web für Android!

Frankfurt, 16. April 2018

Die Malwareanalysten von Doctor Web haben einen neuen Encoder unter die Lupe genommen. Aufgrund eines Fehlers im Code ist die Entschlüsselung von Daten in den meisten Fällen nicht möglich.

Der neue Trojaner wurde als Trojan.Encoder.25129 getauft. Durch den Dr.Web Präventivschutz wird er als DPH:Trojan.Encoder.9 erkannt. Nach seinem Start prüft er den Standort des Benutzers gemäß IP-Adresse des infizierten Geräts. Laut Plan der Cyber-Kriminellen nimmt der Schädling von der Verschlüsselung Abstand, wenn die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan ist, oder in den Einstellungen des Betriebssystems die russische Sprache definiert ist. Aufgrund eines Fehlers im Code verschlüsselt der Schädling jedoch alle Dateien - unabhängig von der IP-Adresse - auf allen infizierten Geräten.

Trojan.Encoder.25129 verschlüsselt den Inhalt der Ordnern eines aktuellen Benutzers, seines Windows-Desktops sowie von Dienstverzeichnissen wie AppData und LocalAppData. Die Verschlüsselung erfolgt unter Einsatz von Algorithmen AES-256-CBC. Den verschlüsselten Dateien wird die Erweiterung .tron zugewiesen. Dateien mit einer Größe von 30.000.000 Byte (ca. 28.6 MB) werden nicht verschlüsselt. Nach Abschluss der Verschlüsselung erstellt der Trojaner die Datei %ProgramData%\\trig und trägt den Wert «123» ein (wenn eine solche Datei bereits existiert, wird die Verschlüsselung nicht durchgeführt). Anschließend sendet der Encoder seine Anfrage an die Webseite iplogger und zeigt seine Forderung nach Lösegeld an.

Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.

Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen jedoch nicht möglich.

Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer gut.

Frankfurt, 23. März 2018

Der IT-Sicherheitsspezialist Doctor Web warnt vor einem neuen Trojaner, der auf einem infizierten Gerät Dateien sowie andere sensible Daten klaut. Der damit verbundene Datenverlust kann dazu führen, dass Cyber-Kriminelle den Zugang zu verschiedenen Konten des Opfers in Online-Services und sozialen Netzwerken bekommen.

Der als Trojan.PWS.Stealer.23012 getaufte Schädling ist auf Python geschrieben und infiziert Rechner unter Microsoft Windows. Die Verbreitung des Trojaners geht auf den 11. März 2018 zurück und dauert bis heute an. Cyber-Kriminelle posten Links in Kommentaren zu Video-Spots auf YouTube. In vielen solcher Videos wird auf vermeintliche Spiel-Techniken mit Hilfe spezieller Software hingewiesen. Cyber-Kriminelle versuchen, den Trojaner als eben diese Tools auszugeben. Alle Links führen zu Yandex.Disk. Um den Benutzer zu überzeugen, auf den Link zu klicken, werden mehrere Kommentare unter verfälschten Konten verfasst. Beim Klicken auf den Link wird ein RAR-Archiv heruntergeladen, welches einen Trojaner enthält.

Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:

• Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• Gespeicherte Logins/Passwörter aus den genannten Browsern;
• Bildschirmaufnahmen.

Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".

Alle übermittelten Daten speichert Trojan.PWS.Stealer.23012 im Verzeichnis C:/PG148892HQ8. Anschließend verpackt er sie ins Archiv spam.zip, das zusammen mit Geo-Daten des infizierten Geräts an den Server von Cyber-Kriminellen übermittelt wird.

Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als Trojan.PWS.Stealer.23198 erkannt. Alle bekannten Modifikationen des Schädlings werden durch Dr.Web Antivirus erfolgreich entdeckt und stellen deshalb keine Gefahr für Dr.Web Nutzer dar.

Mehr zum Trojaner.

Frankfurt, 13. März 2018

Die Malware-Analysten von Doctor Web entdecken auf Google Play Android-Trojaner, die als bekannte Apps verbreitet werden. Die gefälschten Apps können beliebige Webseiten auf Befehl von Cyber-Kriminellen laden und anzeigen. Diese Funktion kann zum Ausführen von Phishing-Angriffen verwendet werden.

Die entdeckten Apps tragen Namen von bekannten Apps und besitzen ähnliche Benutzeroberflächen. Die Malware-Analysten von Doctor Web haben gefälschte QIWI-App-Software (russischer Zahlungsdienstleister), Sberbank Online, Odnoklassniki und VK (beliebte soziale Netzwerke) und NTV (russischer Fernsehsender) gefunden.

Im Folgenden wird gezeigt, wie Cyber-Kriminelle potenzielle Opfer austricksen. In der linken Abbildung sehen Sie die gefälschte App, die Sie bei Google Play finden, in der rechten Abbildung sehen Sie die echte App.

Jedes Mal, wenn die gefälschten Apps gestartet werden, stellen sie eine Verbindung mit dem Verwaltungsserver her. Der Server antwortet mit dem Parameter "none" oder sendet den von Cyber-Kriminellen angegebenen Weblink. Wenn der Parameter empfangen wird, extrahieren die Schadprogramme mehrere Bilder aus ihren Ressourcen und zeigen sie den Benutzern an. Wenn die Schadprogramme den Weblink vom Server erhalten, laden sie die Webseite und zeigen sie an. Die Seite wird dann über WebView direkt in den Anwendungen geöffnet. Die Benutzer sehen den Link zur Ziel-Internetadresse jedoch nicht. Die Inhalte der gezeigten Webseiten können variieren. Zum Beispiel können Smartphone-Nutzer gefälschte Anmeldeformulare von Online-Banking-Systemen oder sozialen Netzwerken sehen. So laufen die Nutzer Gefahr, Opfer von Phishing-Angriffen zu werden. Da diese Funktionalität eine Bedrohung darstellt, wurde die App als Android.Click.415 in die Virendefinitionsdatei aufgenommen.

Neben den beschriebenen Trojanern wurden über 70 vergleichbare Apps entdeckt, die bereits von über 270.000 Nutzern heruntergeladen wurden. Unter den Apps finden sich gefälschte Spiele, Rezeptbücher, Strickanleitungen usw. Einige von ihnen führen die genannten Funktionen wirklich aus. Diese können Links zu beliebigen Webseiten vom Verwaltungsserver erhalten, Apps herunterladen und diese anzeigen. Das gilt auch für Android.Click.415. Diese Apps wurden in die Dr.Web Virendefinitionsdatei als Android.Click.416 und Android.Click.417 aufgenommen. Außerdem zeigen einige Modifikationen dieser Apps aufdringliche Werbung an.

Die Trojaner wurden von mindestens vier Entwicklern verbreitet: Tezov apps, Aydarapps, Chmstudio und SVNGames. Das Team von Doctor Web benachrichtigte Google über alle böswilligen Apps. Zum Zeitpunkt der Veröffentlichung dieser Meldung waren sie jedoch immer noch verfügbar.

Das Team von Doctor Web warnt alle Nutzer, auch bei der Installation von Apps aus zuverlässigen Quellen wie Google Play auf den Namen eines Entwicklers zu achten. Cyber-Kriminelle können die Oberflächen von Apps kopieren, um Nutzer dazu zu bewegen, diese zu installieren. Dr.Web für Android entdeckt und löscht alle bekannten Varianten von Android.Click.415, Android.Click.416 und Android.Click.417. Diese Schädlinge stellen für Dr.Web Nutzer somit keine Gefahr dar.

• Mehr zum Trojaner Android.Click.415 Trojan
• Mehr zum Trojaner Android.Click.416 Trojan
• Mehr zum Trojaner Android.Click.417 Trojan

Frankfurt, 6. März 2018

Die Sicherheitsexperten von Doctor Web nehmen Trojaner Trojan.LoadMoney, die andere gefährliche Apps auf infizierte Rechner herunterladen, genau unter die Lupe.

Die Trojanerfamilie Trojan.LoadMoney ist schon seit 2013 bekannt. Neue Schädlinge aus diesem Stall erscheinen regelmäßig. Einer davon wurde vor kurzem als Trojan.LoadMoney.3209 getauft. Der Trojaner hat zwei Internetadressen, von denen er Apps herunterlädt und startet. Zum Zeitpunkt der Analyse konnte der Schädling eine identische Installationsdatei herunterladen und in einem temporären Verzeichnis speichern. Anschließend wurde die Datei eingelesen und gelöscht. Später wurde sie aber wieder in einem temporären Verzeichnis mit einem zufälligen Namen gespeichert. Schließlich wurde die ausführbare Datei durch den Hauptspeicher eingelesen und aus diesem gestartet. Die Ausgangsdatei wurde dabei gelöscht.

Eine der Dateien, die Trojan.LoadMoney.3209 herunterlädt, wurde als Trojan.LoadMoney.3558 getauft. Dieser Schädling ist sehr kompliziert. Trojan.LoadMoney.3558 infiziert das Betriebssystem und nutzt dabei das frei verfügbare Tool cURL. Mit Hilfe dieses Tools kann mit mehreren Servern und einer Vielzahl von Protokollen gleichzeitig gearbeitet werden. Der Trojaner entschlüsselt und speichert dies auf der Festplatte. Zum Herunterladen von Dateien mit Hilfe von cURL nutzt der Schädling Trojan.LoadMoney.3558 den Windows-Taskplaner. Der Bösewicht enthält vier verschlüsselte Internetadressen. Eine davon wird für die Arbeit mit cURL benutzt, von den drei anderen wird unsichtbar eine ausführbare Datei gestartet: Trojan.LoadMoney.3263. Nach dem Starten wird die Installationsdatei von Trojan.LoadMoney.3263 gelöscht.

Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.

Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.

Dr.Web Malwareschutzprodukte schützen zuverlässig gegen Trojan.LoadMoney. Sie stellen daher für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 1. März 2018

Mitte 2017 berichteten die Virenanalysten von Doctor Web vom neuen Trojaner Android.Triada.231, der in Firmware einiger Android-Smartphones eingebettet ist. Die Liste der infizierten Geräte wurde immer wieder erweitert und zählt heute über 40 Modelle. Der Trojaner wurde nun von den Doctor Web Virenanalysten erforscht.

Android.Triada.231 ist ein Vertreter der gefährlichen Trojanerfamilie Android.Triada. Diese infizieren den Prozess einer wichtigen Systemkomponente unter dem Namen Zygote, welche am Starten aller Apps beteiligt ist. Nach der Einschleusung dringen Trojaner in Prozesse anderer Apps ein und sind dann in der Lage, Aktionen ohne Wissen des Nutzers durchzuführen. So kann der Schädling andere Malware herunterladen und installieren. Die Besonderheit von Android.Triada.231 besteht darin, dass Virenschreiber den Schädling in die Bibliothek libandroid_runtime.so auf Ebene des Quellcodes integrieren und nicht als Einzelsoftware verbreiten. Auf diese Weise nistet sich der Bösewicht in die Firmware der Smartphones schon bei deren Herstellung ein.

Nachdem Android.Triada.231 letzten Sommer entdeckt wurde, wurden alle betroffenen Hersteller darüber informiert. Trotz der Warnung gelangt der Trojaner immer noch auf neue Modelle von Smartphones. So wurde er z.B. in Leagoo M9 entdeckt, der im Dezember 2017 angekündigt wurde. Die Analyse zeigte, dass der Schädling ins Leagoo-Smartphone auf den Hinweis eines Softwareentwicklers aus Shanghai eingebettet wurde. Dieser bat den Hersteller, einen Schadcode in Systembibliotheken vor der Kompilation zu integrieren. Diese Bitte erweckte beim Hersteller keinen Verdacht und der Schädling konnte sich auf diese Weise in die Firmware der Leagoo-Smartphones einschleusen.

Die Analyse der App für Leagoo M9 zeigte, dass sie mit dem gleichen Zertifikat wie bei dem Trojaner Android.MulDrop.924signiert ist. Darüber wurde bereits 2016 berichtet. Das lässt darauf schließen, dass der Entwickler des Schädlings auch bei der Verbreitung von Android.Triada.231 mitgewirkt hat.

Zum jetzigen Zeitpunkt konnten die Malwareanalysten von Doctor Web den Schädling Android.Triada.231 in der Firmware von über 40 Android-Modellen entdecken:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Diese Liste ist nicht vollständig und kann durchaus noch länger sein.

Eine weite Verbreitung von Android.Triada.231 zeugt davon, dass einige Hersteller von Android-Geräten keinen grossen Wert auf Sicherheit legen und die Einbettung von Schadcode zur gängigen Praxis gehört.

Dr.Web Produkte für Android erkennen alle bekannten Versionen von Android.Triada.231. Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage, Android.Triada.231 Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage,

Mehr zum Trojanerthis Trojan

Frankfurt, 28. Februar 2018

Im Februar 2018 wurde ein Mining-Trojaner entdeckt, der verschiedene Android-Geräte per Fernzugriff infizieren konnte. Darüber hinaus wurden Anwender vom Trojaner Android.BankBot.336.origin bedroht, der sensible Daten und das Geld der Anwender klaute.

Mobile Bedrohung des Monats

Im Februar 2018 wurde der Trojaner Android.CoinMine.15 verbreitet, den Cyber-Kriminelle zum Schürfen von Kryptowährung Monero nutzten. Dieser Schädling stellte einen Wurm dar und konnte ans Netz angeschlossene Smartphones, Tablets, TVs, Router und andere Android-Geräte infizieren, wenn auf ihnen die Android Device Bridge (ADB) deaktiviert war. Bei einer erfolgreichen Infizierung versuchte eine der Komponenten des Schädlings das nächste Ziel zu finden und installierte eine Kopie von Android.CoinMine.15.

Dr.Web Produkte für Android

Android.RemoteCode.121.origin

Android.RemoteCode.117.origin

Trojaner, die u.a. böswillige Module herunterladen und starten.

Android.HiddenAds.253

Android.HiddenAds.222.origin

Trojaner, die aufdringliche Werbung anzeigen und sich unter dem Deckmantel beliebter Apps durch andere böswillige Software verbreiten.

Android.Mobifun.4

Trojaner, der andere böswillige Apps herunterlädt.

Adware.Adpush.601

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Leadbolt.12.origin

Unerwünschte App-Module, die in Android-Apps eingebettet werden und aufdringliche Werbung anzeigen.

Tool.SilentInstaller.1.origin

Potenziell gefährlicher Schädling, der Apps unsichtbar für Anwender startet.

Banking-Trojaner

Im vergangenen Monat wurde auf Google Play Android.BankBot.336.origin entdeckt, der von Virenschreibern unter dem Deckmantel einer universalen App für mehrere Online-Banking-Systeme verbreitet wurde. Der Schädling klaute Benutzernamen und Passwörter sowie Kreditkartendaten und konnte das Geld an Kriminelle versenden.

Die Virenschreiber feilen weiterhin an Apps für Android und verbreiten diese sowohl nach alten als auch nach neuen Methoden. Es gibt immer noch Trojaner auf Google Play. Um sich gegen diese Art von Bedrohungen zu schützen, sollten Anwender Dr.Web Produkte für Android installieren.

Frankfurt, 5. Februar 2018

Verschlüsselungstrojaner, die auf einem infizierten Rechner Daten verschlüsseln und anschließend Lösegeld für die Dekodierung verlangen, stellen nach wie vor eine ernsthafte Bedrohung dar. Der IT-Sicherheitsspezialist Doctor Web warnt Anwender vor einem neuen Verschlüsselungstrojaner, der sich aktuell breit macht.

Der Trojaner, den seine Entwickler als «GandCrab!» tauften, wurde in die Dr.Web Virendefinitionsdatei als Trojan.Encoder.24384 aufgenommen. Er fügt den verschlüsselten Daten die Erweiterung *.GDCB bei. Zum heutigen Zeitpunkt sind zwei Versionen dieses Encoders bekannt.

Nachdem Trojan.Encoder.24384 auf dem anzugreifenden Rechner unter Microsoft Windows gestartet hat, kann er Informationen zur Anzahl der gestarteten Prozesse von Virenschutzsoftware sammeln. Sobald der Schädling sichergestellt hat, dass er ein zweites Mal nicht ausgeführt wurde, bricht er alle Prozesse gemäß der Liste von Virenschreibern ab. Nachdem er seine Kopie auf einer Festplatte gespeichert hat, modifiziert er einen Zweig des Windows-Registry.

Der Trojaner verschlüsselt Inhalte von internen und externen Datenträgern sowie Network Values außer Verzeichnissen, in denen es Dienst- und Systemordner gibt. Jeder einzelne Datenträger wird in einem separaten Strom verschlüsselt. Nachdem die Verschlüsselung durchgeführt wurde, sendet der Schädling Informationen zur Anzahl von verschlüsselten Dateien sowie zur Zeit, die dafür verwendet wurde.

Der Trojaner verwendet einen Verwaltungsserver. Um dessen Namen herauszufinden, führt der Schädling den Befehl nslookup aus und sucht nach nötigen Informationen in den Suchtreffern.

Zurzeit ist die Dekodierung von Dateien, die durch Trojan.Encoder.24384 verschlüsselt wurden, nicht möglich. Das Team von Doctor Web möchte Anwender daran erinnern, dass die Sicherung aller sensiblen Daten auf externen Datenträgern Ihre Daten retten kann.

Frankfurt, 31. Januar 2018

Der Jahresbeginn 2018 wurde durch mehrere auf Google Play entdeckte Spiele, die mit einem Trojaner ausgerüstet waren, gekennzeichnet. Der Schädling konnte auf infizierten Geräten böswillige Module herunterladen und diese ausführen. Die Schadcode-Analysten von Doctor Web haben auch mehrere Mining-Trojaner erforscht, die Server unter Windows infizierten. Alle erwähnten Schädlinge nutzten die Sicherheitslücke in Cleverence Mobile SMARTS Server aus.

Bedrohung des Monats

Die Anwendungen Cleverence Mobile SMARTS Server wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Im Juli 2017 haben die Sicherheitsanalysten von Doctor Web bereits eine Zero-Day-Sicherheitslücke in dieser Software entdeckt und deren Entwickler benachrichtigt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der die Schwachstelle beseitigen sollte. Dies gelang aber nicht für alle Server, weil einige Administratoren den veröffentlichten Sicherheits-Patch nicht installiert haben. So konnten Kriminelle weiterhin Kryptowährung schürfen. Die Einschleusung sah so aus: An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, sendete man den Befehl, einen neuen Benutzer mit Administratorrechten anzulegen, und erhielt einen unerlaubten Zugang zum Server via RDP. In einigen Fällen konnten Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem man den Zugang zum System erhalten hatte, installierte man darauf einen Mining-Trojaner.

Der von Kriminellen entwickelte Mining-Trojaner wird laufend verbessert. Zunächst wurden mehrere Versionen des Trojaners installiert. Diese sind bspw. unter den Namen Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 bekannt. Später wurde die Liste um Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033 erweitert. Die neueste Version des Schädlings ist Trojan.BtcMine.1978.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Virenschutzsoftware zu entfernen. Dir Kriminellen verwenden Trojan.BtcMine.1978 zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon. Das Team von Doctor Web empfiehlt, alle für Cleverence Mobile SMARTS Server veröffentlichten Sicherheits-Patches zu installieren. Mehr Informationen zum Vorfall finden Sie in diesem Artikel.

Dr.Web Antivirus Statistik

Trojan.Moneyinst.520

Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.

Trojan.Starter.7394

Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.

Trojan.BPlug

Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.

Trojan.DownLoad

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

JS.BtcMine.7, JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.DownLoader

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.PWS.Stealer

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

JS.BtcMine.7

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.Encoder.24348

Ein Vertreter der Erpressungs-Trojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Encoder

Support-Anfragen aufgrund von Encodern im Januar 2018:

• Trojan.Encoder.858 — 22.12% Anfragen
• Trojan.Encoder.567 — 7.83% Anfragen
• Trojan.Encoder.11539 — 6.45% Anfragen
• Trojan.Encoder.2267 — 3.46% Anfragen
• Trojan.Encoder.761 — 3.23% Anfragen
• Trojan.Encoder.3953 — 3.20% Anfragen

Gefährliche Webseiten

Im Januar 2018 wurden 309.933 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im Januar 2018 haben die Sicherheitsanalysten von Doctor Web Android.RemoteCode.127.origin entdeckt, der sich in mehrere Android-Spiele auf Google Play eingeschleust hat. Er konnte unsichtbar böswillige Module herunterladen und starten. Letztere waren in der Lage, vordefinierte Aktionen durchzuführen. Darüber hinaus wurden Anwender vom Banking-Trojaner Android.BankBot.250.origin bedroht, der Online-Banking-Zugangsdaten klaute. Man entdeckte auch Android.CoinMine.8, der Kapazitäten von Smartphones und Tablets zum Schürfen von Monero ausnutzt. Darüber hinaus konnte die Dr.Web Virendatenbank um mehrere Signaturen für Android-Spyware erweitert werden. Mit Hilfe dieser Malware - Android.Spy.422.origin - konnten Kriminelle Nutzer ausspionieren. Andere böswillige Apps waren Variationen von Android.Spy.410.origin, der noch im Dezember 2017 verbreitet wurde.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung eines neuen Trojaners auf Google Play;
• Verbreitung eines neuen Mining-Schädlings, der infizierte mobile Geräte unter Android zum Schürfen von Kryptowährung ausnutzte;
• Entdeckung neuer Spyware.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 24. Januar 2018

Im Juli 2017 haben die Sicherheitsspezialisten von Doctor Web in Cleverence Mobile SMARTS Server-Anwendungen eine Zero-Day-Sicherheitslücke entdeckt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der diese Sicherheitslücke schließen soll. Die Schwachstelle wird jedoch immer noch zum Schürfen von Kryptowährung ausgenutzt.

Die Cleverence Mobile SMARTS Server-Anwendungen wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Diese Anwendungen laufen unter Microsoft Windows. Ende Juli 2017 haben die Sicherheitsanalysten von Doctor Web eine Schwachstelle in einer der Komponenten von Cleverence Mobile SMARTS Server entdeckt, über die Cyber-Kriminelle unerlaubt auf Server zugreifen können und Trojaner aus der Familie Trojan.BtcMine - die zum Schürfen von Kryptowährung eingesetzt werden - installieren. Die Entwickler von Cleverence Mobile SMARTS Server wurden bereits über die Sicherheitslücke benachrichtigt.

Am Anfang haben Übeltäter mehrere Versionen des Mining-Trojaners eingesetzt. Diese wurden von Dr.Web als Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 erkannt. An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, senden sie den Befehl, einen neuen Benutzer mit Administratorrechten zu erstellen, und erhalten auf diese Weise unerlaubten Zugang zum Server via RDP. In einigen Fällen können Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem sie den Zugang zum System erhalten haben, installieren sie einen Mining-Trojaner.

Der Trojaner stellt eine dynamische Bibliothek dar, die Cyber-Kriminelle in einem temporären Verzeichnis speichern und anschließend starten. Der Schädling ersetzt einen regulären Windows-Dienst, indem die Datei des regulären Dienstes gelöscht wird. Der böswillige Dienst sichert sich anschließend ein paar Systemprivilegien und markiert sich als kritisch. Danach speichert der Trojaner alle für seine Arbeit wichtigen Dateien auf der Festplatte und beginnt, Kryptowährung zu schürfen. Dabei nutzt er Ressourcen des infizierten Servers aus.

Obwohl die Entwickler von Cleverence Mobile SMARTS Server den Sicherheits-Patch bereits veröffentlicht haben, installieren einige Administratoren keine Updates. Währenddessen installieren Cyber-Kriminelle ihre Mining-Trojaner auf infizierten Servern und passen deren Versionen laufend an. Seit November 2017 setzen sie einen neuen Trojaner ein, an dem man immer noch feilt. Der Schädling heißt Trojan.BtcMine.1978 und ist zum Schürfen von Monero (XMR) und Aeon gedacht.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Dr.Web, Windows Live OneCare, Kaspersky Antivirus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security und Windows Defender zu entfernen. Anschließend sucht er nach Prozessen von Malwareschutz-Apps, um diese zu stoppen. Dr.Web findet und sperrt den Treiber Process Hacker, über den Trojan.BtcMine.1978 Prozesse abbrechen kann. Dieser Treiber wurde in die Malwaredefinitionsdatei von Dr.Web als Hacktool aufgenommen.

Nachdem Trojan.BtcMine.1978 eine Liste von Ports erhalten hat, sucht er in seinem Umfeld nach einem Router. Anschließend leitet er via UPnP den TCP-Port des Routers an Ports aus dieser Liste weiter und baut via HTTP eine Verbindung zu ihnen auf. Alle notwendigen Einstellungen speichert der Schädling im Registry von Windows.

Der Mining-Trojaner verfügt über eine Liste von IP-Adressen von Verwaltungsservern. Er prüft, ob ein Server aktiv ist und konfiguriert Proxy-Server auf dem infizierten Rechner, um Kryptowährung zu schürfen. Auf Befehl von Cyber-Kriminellen startet er auch die PowerShell. Danach leitet er deren Ein- und Ausgabe an den infizierten Rechner des Nutzers weiter. So können Cyber-Kriminelle auf dem infizierten Rechner verschiedene Befehle per Fernzugriff ausführen.

Nach all diesen Aktionen bettet der Trojaner ein Modul zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon in alle gestarteten Prozesse ein.

Obwohl Trojan.BtcMine.1978 Prozesse von Virenschutzsoftware abbrechen kann, sind Dr.Web Nutzer in Sicherheit. Der Dr.Web Selbstschutz hindert den Trojaner daran, kritische Virenschutzkomponenten zu stoppen. Das Team von Doctor Web empfiehlt Administratoren von Servern, die Cleverence Mobile SMARTS Server verwenden, alle neuesten Sicherheits-Patches zu installieren.

Frankfurt, 16. Januar 2018

Virenanalysten von Doctor Web haben im App-Katalog Google Play Android-Spiele mit dem eingebetteten Trojaner Android.RemoteCode.127.origin aufgespürt. Er lädt zusätzliche Module herunter und installiert diese. Die böswilligen Module simulieren Aktionen von Anwendern, rufen heimlich Webseiten auf und klicken auf vorgegebene Elemente.

Android.RemoteCode.127.origin ist eine Komponente des Software Development Kits (SDK) unter dem Namen 呀呀云 («Ja Ja Jun»), das Entwickler zur Erweiterung der Funktionalität ihrer Apps verwenden. Mit Hilfe dieses SDKs können Spieler in Kontakt miteinander bleiben. Das SDK hat jedoch auch andere Funktionen, und zwar lädt es heimlich böswillige Module von einem Remote-Server herunter und installiert diese.

Beim Starten von Apps, in denen dieses SDK eingebettet ist, sendet Android.RemoteCode.127.origin eine Anfrage an den Verwaltungsserver. Als Rückmeldung kann der Schädling einen Befehl zum Herunterladen von weiteren Modulen sowie Ausführen von vordefinierten Aktionen erhalten. Eines der Module, die die Virenanalysten von Doctor Web abgefangen haben, trägt den Namen Android.RemoteCode.126.origin. Nach dem Start baut er eine Verbindung zum Verwaltungsserver auf und erhält von ihm einen Link zum Herunterladen eines vermeintlich harmlosen Bildes.

Diese Grafik ist aber mit einem weiteren Trojaner-Modul ausgerüstet, der eine neue Version von Android.RemoteCode.126.origin darstellt. Eine solche Verdeckungsmethode wurde von den Virenanalysten von Doctor Web mehrmals registriert. So wurde sie z.B. 2016 für den Trojaner Android.Xiny.19.origin eingesetzt.

Nach der Entschlüsselung startet der neue Schädling seine Aktivitäten zusammen mit der älteren Version, die von Dr.Web als Android.RemoteCode.125.origin erkannt wird. Anschließend lädt er eine Grafik herunter, die eine weitere schädliche Komponente enthält. Diese wird von Dr.Web als Android.Click.221.origin erkannt.

Ihre Hauptaufgabe ist es, Webseiten heimlich aufzurufen und auf Links und Banner zu klicken. Dafür lädt Android.Click.221.origin ein Skript von der vorgegebenen Adresse herunter. Dieses wiederum kann auf der Webseite beliebige Aktionen vornehmen, u.a. Klicks auf vorgegebene Elemente simulieren. Wenn der Trojaner auf Links, Banner oder Anzeigen geklickt hat, schreiben die Kriminellen schwarze Zahlen. Die Funktionalität von Android.RemoteCode.127.origin geht aber darüber hinaus – die Kriminellen können beliebige Trojaner-Module entwickeln, die weitere böswillige Aktionen vornehmen. So können sie Phishing-Fenster zum Klauen von Login-Daten oder Werbung anzeigen sowie weitere böswillige Apps heimlich herunterladen und installieren.

Die Virenanalysten von Doctor Web haben auf Google Play 27 Spiele entdeckt, in denen das schadhafte SDK verwendet wurde. Insgesamt haben 4.500.000 Anwender diese böswilligen Spiele heruntergeladen. Eine Liste von Apps mit dem eingebetteten Android.RemoteCode.127.origin sieht wie folgt aus:

Die Virenanalysten von Doctor Web haben Google über die trojanische Komponente in den oben erwähnten Apps informiert. Zum Zeitpunkt der Veröffentlichung dieser Meldung standen sie aber immer noch zum Herunterladen bereit. Inhaber von Android-Smartphones und -Tablets, die Spiele mit dem Trojaner Android.RemoteCode.127.origin installiert haben, sollten diese so schnell wie möglich löschen. Dr.Web Produkte für Android erkennen Apps, die Android.RemoteCode.127.origin enthalten. Für Dr.Web Anwender stellt der Trojaner daher keine Bedrohung dar.

Mehr zum Trojaner

Frankfurt, 29. Dezember 2017

Der letzte Jahresmonat bleibt aufgrund einer gefährlichen Backdoor, die eine 64-Bit-Version von Microsoft Windows infizieren kann, in Erinnerung. Die Virenanalysten von Doctor Web haben auch festgestellt, dass Cyber-Kriminelle Webseiten mit Hilfe des Linux-Trojaners Linux.ProxyM angegriffen haben. In die Virendefinitionsdatei von Dr.Web wurden außerdem Kennungen von Malware aufgenommen, die Android-Nutzer angreift.

Bedrohung des Monats

Im Dezember 2017 haben die Virenanalysten die Trojaner-Familie Anunak unter die Lupe genommen, welche auf dem infizierten Gerät Befehle von Cyber-Kriminellen ausführen konnte. Die neue Backdoor ist für eine 64-Bit-Version von Microsoft Windows gedacht und wurde als BackDoor.Anunak.142 getauft. Der Trojaner kann auf dem infizierten Gerät folgende Aktionen durchführen:

• Dateien von einem vorgegebenen Remote-Server herunterladen;
• Dateien auf einen Remote-Server hochladen;
• Dateien auf dem infizierten Gerät starten;
• Befehle in der Konsole cmd.exe ausführen;
• Traffic zwischen Ports weiterleiten;
• Eigene Module herunterladen und installieren.

Mehr dazu finden Sie hier.

Dr.Web Antivirus Statistik

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.Encoder.11432

Encoder, der auch unter dem Namen WannaCry bekannt ist.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

Trojan.BPlug

Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.

Serverstatistik

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.DownLoader

Trojaner auf JavaScript, die andere Malware herunterladen und installieren.

VBS.DownLoader

VBScript-Trojaner auf JavaScript, die andere Malware herunterladen und installieren.

JS.BtcMine.2

Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.

Encoder

Support-Anfragen aufgrund von Encodern im Dezember 2017:

• Trojan.Encoder.858 — 27.29% Anfragen;
• Trojan.Encoder.11539 — 12.55% Anfragen;
• Trojan.Encoder.3953 — 4.09% Anfragen;
• Trojan.Encoder.11464 — 3.41% Anfragen;
• Trojan.Encoder.2667 — 2.59% Anfragen;
• Trojan.Encoder.567 — 2.05% Anfragen.

Gefährliche Webseiten

Im Dezember 2017 wurden 241.274 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für Linux

Der Trojaner Linux.ProxyM ist denVirenanalysten seit Mai 2017 bekannt. Es geht um einen simplen Schädling, der auf dem infizierten Gerät einen SOCKS-Proxy-Server starten kann. Übeltäter haben via Linux.ProxyM über 400 Spam-Mails pro Tag von jedem infizierten Gerät versendet. Bald darauf fingen die Übeltäter an, das IoT zum Versenden von Phishing-Mails zu verwenden. Phishing-Mails kamen angeblich von DocuSign — dem Service, mit dessen Hilfe man ein Dokument hochladen, unterzeichnen und verfolgen kann. So haben Cyber-Kriminelle persönliche Daten der Nutzer gesammelt.

Im Dezember 2017 haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Mehr dazu wurde in folgender Meldung berichtet.

Malware für mobile Endgeräte

Im Dezember 2017 wurden auf Google Play Banking-Trojaner wie Android.BankBot.243.origin und Android.BankBot.255.origin entdeckt. Diese klauten Logins und Passwörter für Online-Banking-Konten. Ein ähnlicher Trojaner verbreitete sich auch außerhalb von Google Play. Er wurde als Android.Packed.15893 getauft. Außerdem wurde ein weiterer Schädling namens Android.Spy.410.origin in die Dr.Web Virendatenbank eingetragen. Dieser spionierte italienische Nutzer aus.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung von neuen Banking-Trojanern;
• Entdeckung von Spyware, die vertrauliche Daten klaut.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 7. Dezember 2017

Der IT-Sicherheitsspezialist Doctor Web berichtete bereits über den Trojaner Linux.ProxyM, der smarte Geräte unter Linux infizieren kann. Im September haben Cyber-Kriminelle mit dessen Hilfe Spam versendet. In letzter Zeit verwenden sie diesen zum Hacken von Webseiten.

Linux.ProxyM ist ein Schädling für Linux, der auf dem infizierten Gerät einen SOCKS-Proxy-Server startet. Mit dessen Hilfe können Cyber-Kriminelle destruktive Aktionen vornehmen. Bekannt sind Varianten des Trojaners mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC. Dies bedeutet, dass Linux.ProxyM nahezu beliebige Geräte unter Linux infizieren kann, u.a. Router, TV-Konsolen sowie andere ähnliche Geräte.

Im September wurde den Analysten von Doctor Web bekannt, dass Übeltäter via Linux.ProxyM über 400 Spam-Mails pro Tag von jedem infizierten Gerät versendet haben. In E-Mails wurden Services „für Erwachsene“ und zweifelhafte finanzielle Dienstleistungen beworben. Bald darauf begannen die Übeltäter, das IoT zum Versenden von Phishing-Mails zu verwenden. Solche Mails kamen vermeintlich von DocuSign — dem Service, mit dessen Hilfe man ein Dokument hochladen, ansehen, unterzeichnen und verfolgen kann.

Wenn der Nutzer dem Link in der E-Mail folgte, gelangte er auf eine fingierte Webseite von DocuSign mit einem Anmeldungsformular. Nachdem man seine Daten inkl. Passwort eingegeben hat, wurde dieses an Cyber-Kriminelle versendet. Der Nutzer gelangte anschließend auf die Webseite von DocuSign.

Im Dezember haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Die letzte Methode ermöglicht es Cyber-Kriminellen, Dateien auf dem anzugreifenden Server über spezielle Befehle zu lesen. Angegriffen wurden Spielserver, Foren und andere Webseiten.

Die Malwareanalysten von Doctor Web verfolgen weiter die Aktivitäten des Linux.ProxyM-Botnets. Die Statistik zu registrierten Angriffen finden Sie nachfolgend:

Obwohl es in Linux.ProxyM nur eine Funktion (Proxy-Server) gibt, finden Cyber-Kriminelle immer neue Möglichkeiten für dessen Verwendung und zeigen häufiger Interesse am Internet der Dinge.

Mehr zum Trojaner

Frankfurt, 30. November 2017

Im November haben die Malwareanalysten von Doctor Web einen neuen Banking-Trojaner unter die Lupe genommen. Der Schädling heißt Trojan.Gozi und ist im Unterschied zu seinen Vorgängern modular aufgebaut. Er kann nun keine Namen von Verwaltungsservern generieren. Diese sind stattdessen in seiner Konfigurationsdatei implementiert.

Im November haben die Malwareanalysten auch einen Trojaner für Linux und mehrere Webseiten entdeckt, mit denen Übeltäter gutgläubige Nutzer betrogen haben.

Bedrohung des Monats

Die Trojaner-Familie Gozi ist unseren Malwareanalysten gut bekannt. Die Vertreter dieser Familie konnten zum Beispiel Adressen von Verwaltungsservern aus einer Textdatei, die man von der NASA-Webseite herunterladen kann. generieren. Die neuen Version des Trojaners, der nun Trojan.Gozi.64 heißt, kann 32- und 64-Bit-Versionen von Microsoft Windows 7 und höher infizieren. Unter älteren Versionen des Betriebssystems kann der Schädling nicht gestartet werden.

Ziel von Trojan.Gozi.64 ist es, Web-Injects durchzuführen. In anderen Worten kann er in Webseiten, die ein Nutzer aufruft, fremde Inhalte einbetten und so Daten aus gefälschten Formularen für Online-Banking-Seiten herausfischen.

Da die Modifikation von Webseiten auf dem infizierten PC erfolgt, bleibt die URL einer solchen Webseite immer noch korrekt und kann somit die Aufmerksamkeit und Vorsicht des Nutzers beeinträchtigen. Die vom Nutzer eingegebenen Daten werden aber an Cyber-Kriminelle übertragen. Auf diese Weise kann das Benutzerkonto kompromittiert werden.

Mehr zur Funktionsweise und zu Möglichkeiten von Trojan.Gozi.64 können Sie in diesem Artikel erfahren.

Dr.Web Antivirus Statistik

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

Trojan.Encoder.11432

Wurm, der unter dem Namen WannaCry bekannt ist, kann PCs unter Microsoft Windows ohne Beteiligung der Nutzer infizieren. Der Schädling verschlüsselt Dateien auf dem PC und verlangt ein Lösegeld. Die Entschlüsselung von Dateien erfolgt unter Verwendung von verschiedenen Schlüsseln, deshalb gibt es keine Garantie, dass auch nach der Entschlüsselung die Dateien wiederhergestellt werden können.

Trojan.Zadved

Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

Trojan.DownLoader25.54584, Trojan.DownLoad3.46852

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

PowerShell.DownLoader

Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Trojan.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

PowerShell.DownLoader

Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Dr.Web Bot für Telegram

Android.HiddenAds.200.origin

Trojaner, der aufdringliche Werbung anzeigt und als angeblich beliebte App durch andere Schädlinge verbreitet und installiert werden.

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Joke.Locker.1.origin

Riskware für Android, die den Bildschirm des mobilen Endgeräts sperren und BSOD, Blue Screen of Death, anzeigt.

Encoder

Support-Anfragen wegen Encoder im November:

• Trojan.Encoder.3953 — 17,88% Anfragen;
• Trojan.Encoder.858 — 8,39% Anfragen;
• Trojan.Encoder.11539 — 6,39% Anfragen;
• Trojan.Encoder.567 — 5,66% Anfragen;
• Trojan.Encoder.3976 — 2,37% Anfragen;
• Trojan.Encoder.761 — 2,37% Anfragen.

Böswillige Webseiten

Im November 2017 wurden 331 895 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Im November wurde auch eine weitere betrügerische Methode entdeckt, mit der Cyber-Kriminelle das Geld der Nutzer stehlen wollten. Nutzer im russischsprachigen Internet wurden dazu aufgerufen, auf die Webseite eines vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds zu gehen, ihre ID-Nummer einzugeben und das Geld, worauf sie angeblich Anspruch hätten, aus der Pensionskasse auf ihr Konto überweisen zu lassen. Zunächst musste man aber selbst einen finanziellen Beitrag leisten.

Auf Servern, wo auch die Webseite des vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds gehostet wird, haben unsere Analysten mehrere betrügerische Projekte entdeckt. Mehr dazu finden Sie in diesem Artikel.

Malware für Linux

Ende November haben die Malwareanalysten von Doctor Web eine neue Backdoor für Linux analysiert. Der Schädling heisst Linux.BackDoor.Hook.1 und ist in der Lage, auf Befehl von Cyber-Kriminellen Apps zu starten, Dateien herunterzuladen oder eine Verbindung zum Remote-Server aufzubauen. Über weitere Eigenschaften des Schädlings Linux.BackDoor.Hook.1 wurde hier berichtet.

Malware für mobile Endgeräte

Im November haben unsere Malwareanalysten auf Google Play den Trojaner Android.RemoteCode.106.origin entdeckt, der weitere böswillige Module herunterlädt. Sie luden Webseiten und klickten auf Werbe-Links und Banner. Außerdem wurden im Katalog Google Play Trojaner der Familie Android.SmsSend ausfindig gemacht, die kostenpflichtige Kurznachrichten versendeten. Im November verbreitete sich auf Google Play der Schädling Android.CoinMine.3, der infizierte Smartphones und Tablets zum Schürfen von Monero ausnutzte. Darüber hinaus wurden auf Google Play mehrere Android.Banker gefunden, die vertrauliche Daten und das Geld von Konten der Android-Nutzer entwendeten.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung mehrerer Trojaner auf Google Play.

Mehr zur Lage in der Sicherheitsszene finden Sie hier.

Frankfurt, 24. November 2017

Trojaner, die das Geld von Bankkonten stehlen, sind gefährlich. In der Regel handelt es sich bei diesen Trojanern um komplexe Apps mit mehreren Komponenten. Deshalb tauchen Banking-Trojaner nicht so oft auf. Die Virenanalysten von Doctor Web haben eine neue Version des Banking-Trojaners, der zur Familie Trojan.Gozi gehört, unter die Lupe genommen und berichten, wie er funktioniert und wie man sich gegen ihn schützen kann.

Der neue Banking-Trojaner wurde als Trojan.Gozi.64 getauft und basiert auf dem Quellcode der Vorgänger-Version von Trojan.Gozi, der schon längere Zeit frei verfügbar ist. Wie andere Vertreter der Familie kann Trojan.Gozi.64 PCs mit 32- und 64-Bit-Versionen von Windows infizieren. Der Trojaner verfügt über eine modulare Architektur, besteht aber ausschließlich aus herunterladbaren Plug-ins. Trojan.Gozi.64 hat keine Algorithmen zum Generieren von Namen von Verwaltungsservern. Die letzten sind in seiner Konfiguration bereits vorhanden. Einer der Vorgänger des Trojaners verwendete zum Beispiel eine Text-Datei, die er vom NASA-Server herunterlud.

Die Entwickler des Schädlings haben dafür gesorgt, dass er nur unter Microsoft Windows 7 und höher funktioniert. Zusätzliche Module werden durch einen Loader heruntergeladen. Das Datenaustauschprotokoll verwendet die Datenverschlüsselung. Der Loader von Trojan.Gozi.64 ist in der Lage auf dem infizierten PC folgende Funktionen zu übernehmen:

• Prüfung auf neue Updates des Trojaners;
• Herunterladen von Plug-ins für den Browser, über die Web-Injects erfolgen;
• Herunterladen der Konfiguration von Web-Injects;
• Erhalten von persönlichen Aufgaben, u.a. zum Herunterladen von weiteren Plug-ins;
• Steuerung des PCs per Fernzugriff.

Um ein Web-Inject durchzuführen, verwendet Trojan.Gozi.64 das eigene einstellbare Plug-in. Den Virenanalysten von Doctor Web sind zurzeit Plug-ins von Microsoft Internet Explorer, Microsoft Edge, Google Chrome und Mozilla Firefox bekannt. Nachdem der Trojaner ein entsprechendes Modul installiert hat, erhält er von einem Remote-Server ein ZIP-Archiv mit der Konfiguration des Web-Injects. Im Endeffekt kann Trojan.Gozi.64 auf Bank-Webseiten gefälschte Web-Formulare einfügen. Dabei wird eine Webseite unmittelbar auf dem infizierten PC modifiziert. Die URL einer solchen Webseite bleibt immer noch korrekt, was die Wachsamkeit des Anwenders einschränken kann. Daten, die man in das Web-Formular eingibt, werden auf diese Weise gestohlen.

Auf den infizierten PC können auch weitere böswillige Module heruntergeladen und installiert werden. Darunter finden sich ein Keylogger, ein VNC-Modul für den Remote-Zugriff auf den infizierten PC, eine SOCKS-Proxy-Server-Komponente, ein Plug-in für den Datendiebstahl aus E-Mail-Clients usw.

Da Signaturen für Trojan.Gozi.64 und seine böswilligen Module in die Dr.Web Virendefinitionsdatei eingetragen wurden, stellt der Schädling für Dr.Web Nutzer keine Bedrohung dar.

Frankfurt, 20. November 2017

Die Sicherheitsanalysten von Doctor Web haben eine Linux-Backdoor entdeckt. Dies zeugt unter anderem von hohem Interesse der Cyber-Kriminellen am Betriebssystem Linux.

Den Trojaner, der unter dem Namen Linux.BackDoor.Hook.1 geführt wird, wurde von unseren Malwareanalysten in der Bibliothek libz entdeckt, die einige Apps zur Komprimierung und Entpackung nutzen. Der Schädling arbeitet nur mit binären Dateien, die den Datenaustausch per SSH sicherstellen. Die Übeltäter verwenden eine besondere Methode beim Aufbau der Verbindung zur Backdoor: Im Unterschied zu vergleichbaren böswilligen Apps nutzt Linux.BackDoor.Hook.1 das erste Socket von 1024 und die restlichen 1023 schließt sie.

Linux.BackDoor.Hook.1 kann auf Befehl von Cyber-Kriminellen Dateien herunterladen, Apps starten oder eine Verbindung zum Remote-Server herstellen. Der Trojaner stellt für Dr.Web Nutzer keine Gefahr dar. Die entsprechende Signatur wurde in die Virendefinitionsdatei von Dr.Web Antivirus für Linux bereits eingetragen.

Mehr zum Trojaner

Frankfurt, 27. Oktober 2017

Im Oktober wurde auf Google Play ein Android-Trojaner entdeckt, der in harmlose Apps eingebettet war. Mit diesem Trojaner konnten Cyber-Kriminelle mobile Endgeräte der Nutzer in Proxy-Server umwandeln. Außerdem tauchte ein Erpressungstrojaner auf, der auf Android-Smartphones und -Tablets ein Passwort zur Entsperrung des Bildschirms änderte, Daten verschlüsselte und ein Lösegeld für die Entschlüsselung verlangte.

Mobile Bedrohung des Monats

Im Oktober wurde auf Google Play der Trojaner Android.SockBot.5 entdeckt, der in der Dr.Web Virendefinitionsdatei seit Juni 2017 eintragen war. Cyber-Kriminelle haben ihn in folgende Apps eingebettet:

• PvP skins for Minecraft
• Game Skins for Minecraft
• Military Skins for Minecraft
• Cartoon skins for Minecraft
• Hot Skins for Minecraft PE
• Skins Herobrine for Minecraft
• Skins FNAF for Minecraft
• Assassins skins for Minecraft

Mit diesen Apps konnte man das Äußere von Charakteren im mobilen Spiel Minecraft anpassen.

Nach dem Starten konnte der Trojaner eine Verbindung zur Verwaltungszentrale herstellen und sich über das SOCKS-Protokoll mit der vordefinierten Adresse im Netz verbinden. Im Endergebnis konnten Cyber-Kriminelle Smartphones und Tablets der Nutzer in Proxy-Server umwandeln und über diese den Netzwerk-Traffic leiten.

Dr.Web Produkte für Android

Android.Click.171.origin

Android.Click.173.origin

Trojaner, die in einem bestimmten Zeittakt auf definierte Webseiten zugreifen und für eine vermeintliche Steigerung deren Beliebtheit sorgen.

Android.HiddenAds.68.origin

Trojaner, der unerwünschte Werbung anzeigt.

Android.CallPay.1.origin

Schädling, der Android-Geräten einen Zugang zu erotischen Inhalten bietet und unsichtbar für den Benutzer Anrufe an Premium-Nummern tätigt.

Android.Sprovider.10

Trojaner, der auf Android-Geräte Apps herunterlädt und installiert. Außerdem kann er Werbung anzeigen.

Adware.Jiubang.2

Adware.Fly2tech.2

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Fly2tech.4

Unerwünschte Module, die in Android-Apps eingebettet werden und unerwünschte Werbung auf mobilen Endgeräten anzeigen.

Erpressungstrojaner

Im Oktober berichteten einige Medien von einem Android-Trojaner, der den PIN-Code zur Entsperrung des Bildschirms eines Smartphones oder Tablets änderte, Daten verschlüsselte und ein Lösegeld für die Wiederherstellung von Daten forderte. Der Schädling wurde in die Dr.Web Virendefinitionsdatei als Android.Banker.184.origin noch im August 2017 aufgenommen. Deshalb stellt sie für Dr.Web Nutzer keine Bedrohung dar. .

Nach dem Starten versucht der Trojaner, mittels Accessibility Service den Zugriff auf eine Liste von Gerätadministratoren zu erhalten und fügt sich selber in diese ein. Anschließend ändert er den PIN-Code zur Entsperrung des Gerätes, verschlüsselt Daten der Nutzer und verlangt ein Lösegeld für die Entsperrung. Es gibt Versionen des Schädlings, die größere Dateien von ab 10 MB nicht verschlüsseln können.

Obwohl man in einigen Medien von einer neuen Funktionalität von Android.Banker.184.origin redet, wiesen andere Trojaner vergleichbare Möglichkeiten bereits früher auf. Bereits 2014 konnten die Malwareanalysten von Doctor Web den Android-Trojaner Android.Locker.38.origin finden, der seinen eigenen Code zur Entsperrung des Bildschirms setzte. In diesem Jahr ist auch der erste Encoder für Android aufgetaucht, der als Android.Locker.2.origin benannt wurde. Böswillige Aktionen wurden auch mittels Accessibility Service in Android-Trojanern bereits verwendet. Ein Beispiel dafür ist Android.BankBot.211.origin.

Übeltäter versuchen immer noch, Google Play als Kanal für die Verbreitung von Android-Apps zu nutzen und feilen weiter an ihrer Malware. Um ein Android-Gerät gegen Malware zu schützen, müssen die Nutzer Dr.Web Virenschutzprodukte für Android verwenden.

Frankfurt, 29. Oktober 2017

Im Oktober sorgte der neue Encoder Trojan.BadRabbit für Schlagzeilen. Dieser Trojaner begann sich am 24. Oktober zu verbreiten. Angegriffen wurden Nutzer in Russland und in der Ukraine.

Im Oktober analysierten die Virenanalysten von Doctor Web eine neue Backdoor, die auf Python geschrieben ist. Dieser Schädling kann Daten aus Browsern klauen, Tastaturdrucke abfangen, Dateien herunterladen, auf dem infizierten PC speichern usw.

Außerdem haben unsere Virenanalysten einen Linux-Trojaner analysiert, der smart Geräte infizieren kann.

Bedrohung des Monats

Wie seine Vorgänger stellt Trojan.BadRabbit einen Wurm dar, der sich selbständig verbreiten kann. Der Schädling besteht aus mehreren Komponenten: einem Dropper, einer Verschlüsselungskomponente, die auch für die Entschlüsselung sorgt, und dem Wurm selbst. Ein Teil des Codes wurde dem Trojan.Encoder.12544 entnommen, der auch unter dem Namen NotPetya bekannt ist. Beim Starten prüft der Schädling, ob die Datei C:\Windows\cscc.dat vorhanden ist, und dann ggf. seine Arbeit abbricht. Deshalb kann die Erstellung der Datei cscc.dat im Verzeichnis C:\Windows schädliche Folgen beim Starten des Trojaners abwenden.

Nach Ansicht einiger Forscher sind einige kompromittierte Webseiten mit einem böswilligen JavaScript-Szenario eine Hauptquelle für die Verbreitung von Trojan.BadRabbit. Der Encoder verschlüsselt Dateien mit Erweiterungen wie .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Anschließend verlangt der Schädling ein Lösegeld in Bitcoins, das innerhalb von 48 Stunden gezahlt werden soll, sonst wird es erhöht.

Die Analyse von Trojan.BadRabbit läuft noch, aber Dr.Web kann den Schädling erfolgreich erkennen und löschen. Die vorläufige Analyse zeigte, dass der Trojaner das Betriebssystem auf die Präsenz von Dr.Web und McAfee prüft. Wenn Trojan.BadRabbit Dr.Web auf dem PC entdeckt, überspringt er die Verschlüsselung im Benutzermodus, versucht aber die Verschlüsselung nach dem Neustart des Betriebssystems zu erzwingen. Diese Funktion des Schädlings wird von Dr.Web blockiert, deshalb sind Nutzer von Dr.Web 9.1 und höher sowie Dr.Web KATANA geschützt. Die Voraussetzung ist aber, dass man den Präventivschutz nicht angepasst oder nicht ausgeschaltet hat.

Dr.Web Antivirus Statistik

Trojan.Exploit

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.Inject

Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Serverstatistik

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.Starter.7394

Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.

JS.BtcMine.1

Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.

W97M.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

BackDoor.Bebloh.184

Banking-Trojaner, die vertrauliche Daten von Bankkunden durch das Abfangen von Tastaturdrucken und online übermittelten Daten klauen.

Malware im E-Mail-Traffic

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

VBS.DownLoader

Trojaner auf VBScript, die andere Malware herunterladen und installieren.

W97M.DownLoader

Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Dr.Web Bot für Telegram

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Android.Hidden

Android-Trojaner, die sich im System verstecken können.

Program.TrackerFree.2.origin

Spyware Mobile Tracker Free, die Kinder ausspioniert.

Encoder

Support-Anfragen wegen Encoder im Oktober:

• Trojan.Encoder.3953 — 17,26% Anfragen;
• Trojan.Encoder.858 — 16,67% Anfragen;
• Trojan.Encoder.13671 — 5,51% Anfragen;
• Trojan.Encoder.2667 — 4,02% Anfragen;
• Trojan.Encoder.567 — 2,38% Anfragen;
• Trojan.Encoder.3976 — 2,23% Anfragen.

Böswillige Webseiten

Im Oktober 2017 wurden 256 429 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für Linux

Im Oktober haben die Virenanalysten einen Trojaner entdeckt, der smarte Geräte unter Linux infizieren kann. Der Schädling heißt Linux.IotReapper und stellt eine bekannte Version von Linux.Mirai dar. Linux.IotReapper startet Exploits und prüft, wie erfolgreich sie ausgeführt wurden. Nachher wartet der Trojaner auf Befehle von Cyber-Kriminellen. Er kann unter anderem auf dem infizierten Gerät Malware herunterladen und starten. Der Trojaner wird von Dr. Web Antivirus für Linux als Linux.IotReapper erfolgreich erkannt und neutralisiert.

Andere Ereignisse

Mitte Oktober wurde die Python.BackDoor.33 in Dr.Web eingetragen. Dieser Schädling verbreitet sich von selbst: nach der Installation auf dem infizierten Gerät und dem Neustart versucht Python.BackDoor.33, alle angeschlossenen Datenträger mit Namen von C bis Z zu infizieren. Anschließend bestimmt der Trojaner eine IP-Adresse sowie einen verfügbaren Port des Verwaltungsservers, indem er Anfragen an Server wie pastebin.com, docs.google.com und notes.io versendet. Dieser Wert ist wie folgt:

Python.BackDoor.33 lädt vom Verwaltungsserver ein Python-Szenario und startet es. So kann er Passwörter klauen, Tastaturdrucke abfangen und Befehle im Hintergrund ausführen. Mit diesem Szenario kann der Schädling folgende Aktionen vornehmen:

• Daten aus Browsern wie Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
• Tastaturdrucke abfangen und Bildschirmaufnahmen machen;
• Zusätzliche Module auf Python herunterladen und diese ausführen;
• Dateien herunterladen und diese auf Datenträgern der infizierten Geräte abspeichern;
• Inhalte aus dem Zielverzeichnis ziehen;
• Durch Verzeichnisse laufen;
• Systemdaten abfragen.

Mehr zu Python.BackDoor.33 finden Sie in diesem Artikel.

Malware für mobile Endgeräte

Im Oktober sorgte ein Erpressungs-Trojaner für Schlagzeilen. Dr.Web erkennt den Schädling als Android.Banker.184.origin. Dieser ist unseren Malwareanalysten seit August 2017 bekannt. Der Schädling ändert den PIN-Code zur Entsperrung des Android-Endgeräts, verschlüsselt Daten und verlangt ein Lösegeld für die Wiederherstellung der Funktionsweise des Gerätes. Außerdem wurde auf Google Play im vorigen Monat ein Trojaner entdeckt, der von Dr.Web als Android.SockBot.5 eingestuft wurde. Dieser wandelt mobile Endgeräte in Proxy-Server um.

Hauptereignisse:

• Erpressungs-Trojnaer, der einen PIN-Code zur Entsperrung des Bildschirms auf Android-Geräten ändert und Dateien verschlüsselt;
• Trojaner auf Google Play, der infizierte Android-Geräte in Proxy-Server umwandelt.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie обзоре.

Frankfurt, 25. Oktober 2017

Trojan.BadRabbit, auch als BadRabbit bekannt, stellt keine Bedrohung für Nutzer von aktuellen Dr.Web Versionen mit einem aktivierten Präventivschutz dar. Der Schädling wird als DPH: Trojan.Encoder.32 erkannt und neutralisiert. Präventiv wird auch sein Eintrag im MBR (Master Boot Record) gesperrt. Nach dem Funktionsumfang ist der Schädling dem Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya.A, ExPetya und WannaCry-2 bekannt ist, ähnlich.

Im Netz gibt es bereits Empfehlungen, wie man sich gegen die Bedrohung schützen sollte:

• Datei C:\Windows\infpub.dat mit Attribut ReadOnly erstellen;
• Datei C:\Windows\cscc.dat mit Attribut ReadOnly erstellen;
• Das Ausführen von infpub.dat und install_flash_player.exe in Group Policies sperren.

Einige dieser Maßnahmen können nur einen kurzfristigen Effekt haben. Unser Team von Doctor Web kann aber solche temporären Maßnahmen nicht als Allheilmittel empfehlen, weil nur eine kleine Änderung im Schädling alle Maßnahmen nutzlos macht. Deshalb ist eine zuverlässige Virenschutz-App das beste Mittel. Eine aktuelle Version von Dr.Web schützt Sie gegen BadRabbit.

Sobald das Team des Virenlabors von Doctor Web seine Forschungsarbeiten abgeschlossen hat, wird eine detaillierte Beschreibung des Schädlings veröffentlicht.

Frankfurt, 16. Oktober 2017

Als Backdoor bezeichnet man einen Schädling, der Befehle von Cyber-Kriminellen erhält und diesen einen unerlaubten Zugang zum infizierten Gerät bietet. Die Analysten von Doctor Web haben eine neue Backdoor erforscht, die auf Python geschrieben ist.

Der Schädling wurde in die Dr.Web Virendefinitionsdatei unter dem Namen Python.BackDoor.33 aufgenommen. Die Datei enthält das gezippte Tool py2exe, das die auf Python geschriebenen Szenarien unter Windows ausführt. Die Hauptfunktionen von Malware sind in der Datei mscore.pyc realisiert.

Python.BackDoor.33 speichert seine Kopie auf der Festplatte, passt das Registry von Windows an und schließt das Szenario ab. So werden böswillige Funktionen meistens nach dem Neustart des Rechners ausgeführt.

Nach dem Neustart versucht der Trojaner, alle verfügbaren Geräte mit dem Namen von C bis Z zu infizieren. Dafür erstellt er ein verdecktes Verzeichnis, speichert dort eine Kopie seiner ausführbaren Datei ab und erstellt einen Link <volume name>.lnk, der zu einer böswilligen Datei weiterleitet. Alle Dateien, die anders als .lnk, VolumeInformation.exe und .vbs heißen, werden in das früher erstellte Verzeichnis verschoben.

Danach versucht der Trojaner eine IP-Adresse sowie einen Port des Verwaltungsservers zu identifizieren, indem er Anfragen an Services wie pastebin.com, docs.google.com und notes.io versendet. Dies sieht wie folgt aus:

Wenn die Backdoor an die IP-Adresse und das Port gelangt, versendet er an einen Verwaltungsserver eine spezielle Anfrage. Wenn die Anfrage beantwortet wird, lädt er vom Verwaltungsserver das auf Python geschriebene Szenario, das in der Dr.Web Virendefinitionsdatei als Python.BackDoor.35 eingetragen wurde. Mit dem Szenario lassen sich Passwörter, eingegebene Daten klauen und Befehle per Fernzugriff ausführen. Der Trojaner kann außerdem verbundene Datenträger prüfen und diese infizieren. Python.BackDoor.35 ermöglicht somit Folgendes:

• Daten aus Browsern Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
• Tastatureingaben und Bildschirmaufnahmen ablesen;
• Zusätzliche Module auf Python herunterladen und ausführen;
• Dateien herunterladen und diese auf dem infizierten Gerät abspeichern;
• Inhalte aus einem Verzeichnis abrufen;
• Sich über verschiedene Verzeichnisse verbreiten;
• Informationen zum System anfordern.

Außerdem verfügt Python.BackDoor.35 über eine Selbstaktualisierungsfunktion. Zurzeit ist sie aber nicht verfügbar. Signaturen für alle erwähnten böswilligen Programme wurden in die Dr.Web Virendefinitionsdatei eingetragen. Die entdeckte Malware stellt für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Frankfurt, 29. September 2017

Im September haben mehrere Medien mitgeteilt, dass Cyber-Kriminelle Web-Browser von Anwendern als Tool zum unerlaubten Mining von Kryptowährungen ausgenutzt haben. Dabei erfreut sich die Kryptowährung Monero (XMR) größter Beliebtheit.

Der Mining-Schädling, der von unseren Spezialisten als Tool.BtcMine.1046 in die Virendefinitionsdatei aufgenommen wurde, ist auf JavaScript geschrieben. Beim Aufrufen einiger Webseiten begann der Bösewicht mittels eines JavaScript-Szenarios Kryptowährung zu scheffeln. Nach Angaben von Anwendern konnte die CPU-Auslastung bei 100% liegen und ging auf Standardwerte zurück, sobald der Browser geschlossen wurde. Es ist schwierig abzuschätzen, auf was dies genau zurückzuführen ist – auf eine freiwillige Einbettung des Codes oder Webseiten-Hacks. Aktuell warnt Dr.Web Antivirus vor potenziell gefährlichen Inhalten, sobald ähnliche Webseiten aufgerufen werden.

Kurz danach wurde ein zweites böswilliges Tool unter dem Namen Tool.BtcMine.1048 in die Virendefinitionsdatei eingeführt. Dieser Miner ist auf JavaScript geschrieben und wurde ohne Zustimmung der Webseiten-Besucher eingesetzt. Eine solche Technologie kann sowohl legal als auch illegal eingesetzt werden. Ähnliche Szenarien können in den Webseiten-Code nicht nur von Inhabern, sondern auch von Werbetreibenden durch Hacks eingebettet werden. Außerdem kann die Mining-Funktion auch in Plug-ins realisiert werden, die Anwender in Browsern installieren.

Die Sicherheitsspezialisten von Doctor Web haben im September Schwachstellen im Bluetooth-Protokoll entdeckt und herausgefunden, dass Cyber-Kriminelle IoT zum Versenden von Spam-Mails verwenden.

Bedrohung des Monats

Doctor Web teilte hier Informationen über Linux.ProxyM bereits mit. Der Schädling startete auf einem infizierten Gerät einem SOCKS-Proxy-Server. Es gibt bereits Konfigurationen des Trojaners für Geräte mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. er kann auf smarten Geräten wie Router, TV-Konsolen usw. funktionieren. Die Virenanalysten haben festgestellt, dass Cyber-Kriminelle mittels dieser infizierten Geräte Spam-Mails, wo Webseiten für Erwachsene beworben werden, versenden. Täglich versendet jedes infizierte Gerät etwa 400 Mails. Die Aktivitäten des Botnets sind nachfolgend abgebildet:

Die meisten durch Linux.ProxyM infizierten Geräte, von denen Angriffe durchgeführt werden, befinden sich in Brasilien. Weiter folgen die USA und Russland.

Mehr zu Linux.ProxyM finden Sie hier

Dr.Web Antivirus Statistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Trojan.BitCoinMiner.4

Schädling, der zum versteckten Mining von BitCoin geeignet ist.

Win32.Virut.5

Polymorpher Virus, der ausführbare Daten infiziert und infizierte Geräte mittels eines IRC-Kanals verwaltet.

Trojan.BtcMine

Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.

Serverstatistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.CCleaner.2

Trojaner, der in CCleaner (Programm zum Optimieren von Microsoft Windows) gefunden wurde.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

Win32.HLLW.Shadow

Wurm, der zu seiner Verbreitung Wechseldatenträger und Logical Volumes verwendet. Außerdem kann er sich mittels SMB-Protokoll verbreiten und von einem Verwaltungsserver ausführbare Dateien herunterladen und starten.

Malware im E-Mail-Traffic

Trojan.Inject

Familie von Trojanern, die ihren Schadcode in andere Apps einbetten.

VBS.DownLoader

Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Dr.Web Bot für Telegram

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Joke.Locker.1.origin

Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.

Android.Hidden

Android-Trojaner, die sich im System verstecken können.

Encoder

Support-Anfragen wegen Encoder im September:

• Trojan.Encoder.858 — 23.49% Anfragen;
• Trojan.Encoder.13671 — 5.33% Anfragen;
• Trojan.Encoder.11464 — 3.89% Anfragen;
• Trojan.Encoder.761 — 2.74% Anfragen;
• Trojan.Encoder.5342 — 2.02% Anfragen;
• Trojan.Encoder.567 — 2.00% Anfragen.

Böswillige Webseiten

Im September 2017 wurden 298 324 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für mobile Endgeräte

Im September wurde die Sicherheitslücke „BlueBorne“ im Bluetooth-Protokoll entdeckt. Anfällig sind verschiedene Geräte, u.a. Android-Smartphones und Tablets. Diese Sicherheitslücken ermöglichen eine totale Kontrolle über infizierte Geräte, lassen einen beliebigen Code ausführen und vertrauliche Daten klauen. Darüber hinaus wurde auf Google Play im vorigen Monat Android.BankBot.234.origin entdeckt, der Bankkartendaten klaut.

Hauptereignisse:

• Neue Details zu entdeckten Schwachstellen im Bluetooth-Protokoll;
• Neuer Banking-Trojaner auf Google Play entdeckt.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Frankfurt, 12. September 2017

Die Anzahl von böswilligen Apps, die smarte Geräte unter Linux infizieren, wächst ununterbrochen. Ein wesentlicher Teil davon sind für DDoS-Angriffe und für die Gewährleistung der Anonymität im Netz gedacht. Wie die Analyse von Doctor Web zeigt, nutzen Cyber-Kriminelle Linux-Trojaner für einen massenhaften Versand von Spam-Mails.

Es handelt sich um den Schädling Linux.ProxyM, von dem wir im Juni berichtet haben. Dieser Trojaner startet auf einem infizierten Gerät einen SOCKS-Proxyserver und ist in der Lage, Honeypots zu entdecken, die von Sicherheitsspezialisten als Attrappe für Übeltäter dient. Nachdem der Schädling eine Bestätigung von seinem Verwaltungsserver erhalten hat, lädt er von diesem Server zwei Internetadressen, unter denen er eine Liste von Benutzernamen und Passwörtern findet und für seinen SOCKS-Proxyserver verwendet. Diesen Trojaner gibt es für Geräte mit x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. Linux.ProxyM kann praktisch auf allen Geräten unter Linux, u.a. Router, TV-Konsolen und andere Hardware laufen.

Die Virenanalysten von Doctor Web fanden heraus, dass Übeltäter mit Hilfe von Linux.ProxyM Spam-Mails versenden. Vom Verwaltungsserver kommt auf das infizierte Gerät ein Befehl, der die Adresse eines SMTP-Servers einen Benutzernamen und ein Passwort, eine Liste von E-Mail-Adressen und ein Muster der E-Mail enthält. In den E-Mails werden Webseiten für Erwachsene beworben. Eine typische Nachricht, die mittels der durch Linux.ProxyM infizierten Geräte versendet wird, sieht wie folgt aus:

Subject: Kendra asked if you like hipster girls
        
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

Laut der Statistik, die Doctor Web zur Verfügung steht, verschickt jedes infizierte Gerät etwa 400 Spam-Mails in 24 Stunden. Eine grafische Übersicht der durch Linux.ProxyM durchgeführten Angriffe ist wie folgt dargestellt:

Die Anzahl von einzelnen IP-Adressen der infizierten Endgeräte können Sie dem nachfolgenden Diagramm entnehmen. Das Diagramm zeigt nur Bots an, die von den Analysten von Doctor Web registriert wurden. Eine tatsächliche Zahl von infizierten Geräten kann höher sein.

Die geografische Verteilung von Angriffen durch Linux.ProxyM in den letzten 30 Tagen ist wie folgt:

Es lässt sich vermuten, dass der Funktionsumfang des Schädlings erweitert wird. Das IoT ist längst im Blick der Cyber-Kriminellen. Davon zeugt eine weite Verbreitung von Malware für Linux, die Geräte mit der unterschiedlichen Architekturen infizieren kann.