Viren-News
16.04 Der von Doctor Web entdeckte Encoder kann Dateien nicht entschlüsseln
Frankfurt, 16. April 2018
Der neue Trojaner wurde als
Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.
Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen jedoch nicht möglich.
Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer gut.
Damit der Trojaner Ihre Dateien nicht vernichten kann, aktivieren Sie die Option Schutz vor Datenverlust
Ready to combat encryption ransomware! | Produktpräsentationen | Kostenlose Entschlüsselung |
23.03 Doctor Web: Neuer Trojaner verbreitet sich auf YouTube
Frankfurt, 23. März 2018
Der als
Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:
- Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
- Gespeicherte Logins/Passwörter aus den genannten Browsern;
- Bildschirmaufnahmen.
Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Alle übermittelten Daten speichert
Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als
Mehr zum Trojaner.
13.03 Doctor Web: Cyber-Kriminelle verfälschen bekannte Android-Apps und können diese für Phishing-Angriffe nutzen
Frankfurt, 13. März 2018
Die entdeckten Apps tragen Namen von bekannten Apps und besitzen ähnliche Benutzeroberflächen. Die Malware-Analysten von Doctor Web haben gefälschte QIWI-App-Software (russischer Zahlungsdienstleister), Sberbank Online, Odnoklassniki und VK (beliebte soziale Netzwerke) und NTV (russischer Fernsehsender) gefunden.
Im Folgenden wird gezeigt, wie Cyber-Kriminelle potenzielle Opfer austricksen. In der linken Abbildung sehen Sie die gefälschte App, die Sie bei Google Play finden, in der rechten Abbildung sehen Sie die echte App.
Jedes Mal, wenn die gefälschten Apps gestartet werden, stellen sie eine Verbindung mit dem Verwaltungsserver her. Der Server antwortet mit dem Parameter "none" oder sendet den von Cyber-Kriminellen angegebenen Weblink. Wenn der Parameter empfangen wird, extrahieren die Schadprogramme mehrere Bilder aus ihren Ressourcen und zeigen sie den Benutzern an. Wenn die Schadprogramme den Weblink vom Server erhalten, laden sie die Webseite und zeigen sie an. Die Seite wird dann über WebView direkt in den Anwendungen geöffnet. Die Benutzer sehen den Link zur Ziel-Internetadresse jedoch nicht. Die Inhalte der gezeigten Webseiten können variieren. Zum Beispiel können Smartphone-Nutzer gefälschte Anmeldeformulare von Online-Banking-Systemen oder sozialen Netzwerken sehen. So laufen die Nutzer Gefahr, Opfer von Phishing-Angriffen zu werden. Da diese Funktionalität eine Bedrohung darstellt, wurde die App als
Neben den beschriebenen Trojanern wurden über 70 vergleichbare Apps entdeckt, die bereits von über 270.000 Nutzern heruntergeladen wurden. Unter den Apps finden sich gefälschte Spiele, Rezeptbücher, Strickanleitungen usw. Einige von ihnen führen die genannten Funktionen wirklich aus. Diese können Links zu beliebigen Webseiten vom Verwaltungsserver erhalten, Apps herunterladen und diese anzeigen. Das gilt auch für
Die Trojaner wurden von mindestens vier Entwicklern verbreitet: Tezov apps, Aydarapps, Chmstudio und SVNGames. Das Team von Doctor Web benachrichtigte Google über alle böswilligen Apps. Zum Zeitpunkt der Veröffentlichung dieser Meldung waren sie jedoch immer noch verfügbar.
Das Team von Doctor Web warnt alle Nutzer, auch bei der Installation von Apps aus zuverlässigen Quellen wie Google Play auf den Namen eines Entwicklers zu achten. Cyber-Kriminelle können die Oberflächen von Apps kopieren, um Nutzer dazu zu bewegen, diese zu installieren. Dr.Web für Android entdeckt und löscht alle bekannten Varianten von
- Mehr zum Trojaner Android.Click.415 Trojan
- Mehr zum Trojaner Android.Click.416 Trojan
- Mehr zum Trojaner Android.Click.417 Trojan
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
06.03 Doctor Web: Neue Download-Trojaner laufen verdeckt
Frankfurt, 6. März 2018
Die Trojanerfamilie
Eine der Dateien, die
Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.
Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.
Dr.Web Malwareschutzprodukte schützen zuverlässig gegen
01.03 Doctor Web: Über 40 Modelle von Android-Smartphones sind infiziert
Frankfurt, 1. März 2018
Nachdem
Die Analyse der App für Leagoo M9 zeigte, dass sie mit dem gleichen Zertifikat wie bei dem Trojaner
Zum jetzigen Zeitpunkt konnten die Malwareanalysten von Doctor Web den Schädling
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ-5510 Strike Power Max 4G (Russia)
Diese Liste ist nicht vollständig und kann durchaus noch länger sein.
Eine weite Verbreitung von
Dr.Web Produkte für Android erkennen alle bekannten Versionen von
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
28.02 Doctor Web: Rückblick und Analyse von mobilen Bedrohungen im Februar 2018
Frankfurt, 28. Februar 2018
Im Februar 2018 wurde ein Mining-Trojaner entdeckt, der verschiedene Android-Geräte per Fernzugriff infizieren konnte. Darüber hinaus wurden Anwender vom Trojaner
Hauptereignisse
- Verbreitung eines Mining-Trojaners, der Android-Geräte selbständig infizieren kann
- Verbreitung eines Banking-Trojaners
Mobile Bedrohung des Monats
Im Februar 2018 wurde der Trojaner
Dr.Web Produkte für Android
Android.RemoteCode .121.originAndroid.RemoteCode .117.origin- Trojaner, die u.a. böswillige Module herunterladen und starten.
Android.HiddenAds .253Android.HiddenAds .222.origin- Trojaner, die aufdringliche Werbung anzeigen und sich unter dem Deckmantel beliebter Apps durch andere böswillige Software verbreiten.
Android.Mobifun .4- Trojaner, der andere böswillige Apps herunterlädt.
- Adware.Adpush.601
- Adware.Jiubang.2
- Adware.Jiubang.1
Adware.Leadbolt .12.origin- Unerwünschte App-Module, die in Android-Apps eingebettet werden und aufdringliche Werbung anzeigen.
Tool.SilentInstaller .1.origin- Potenziell gefährlicher Schädling, der Apps unsichtbar für Anwender startet.
Banking-Trojaner
Im vergangenen Monat wurde auf Google Play
Die Virenschreiber feilen weiterhin an Apps für Android und verbreiten diese sowohl nach alten als auch nach neuen Methoden. Es gibt immer noch Trojaner auf Google Play. Um sich gegen diese Art von Bedrohungen zu schützen, sollten Anwender Dr.Web Produkte für Android installieren.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
05.02 Doctor Web warnt vor neuem Verschlüsselungstrojaner
Frankfurt, 5. Februar 2018
Der Trojaner, den seine Entwickler als «GandCrab!» tauften, wurde in die Dr.Web Virendefinitionsdatei als
Nachdem
Der Trojaner verschlüsselt Inhalte von internen und externen Datenträgern sowie Network Values außer Verzeichnissen, in denen es Dienst- und Systemordner gibt. Jeder einzelne Datenträger wird in einem separaten Strom verschlüsselt. Nachdem die Verschlüsselung durchgeführt wurde, sendet der Schädling Informationen zur Anzahl von verschlüsselten Dateien sowie zur Zeit, die dafür verwendet wurde.
Der Trojaner verwendet einen Verwaltungsserver. Um dessen Namen herauszufinden, führt der Schädling den Befehl nslookup aus und sucht nach nötigen Informationen in den Suchtreffern.
Zurzeit ist die Dekodierung von Dateien, die durch
Damit der Trojaner Ihre Dateien nicht vernichten kann, aktivieren Sie die Option Schutz vor Datenverlust
Mehr zu Verschlüsselungs-Trojanern | Produktpräsentationen | Kostenlose Entschlüsselung | Rubrique " Tout chiffrer " |
31.01 Doctor Web: Rückblick und Analyse von Bedrohungen im Januar 2018
Frankfurt, 31. Januar 2018
Der Jahresbeginn 2018 wurde durch mehrere auf Google Play entdeckte Spiele, die mit einem Trojaner ausgerüstet waren, gekennzeichnet. Der Schädling konnte auf infizierten Geräten böswillige Module herunterladen und diese ausführen. Die Schadcode-Analysten von Doctor Web haben auch mehrere Mining-Trojaner erforscht, die Server unter Windows infizierten. Alle erwähnten Schädlinge nutzten die Sicherheitslücke in Cleverence Mobile SMARTS Server aus.
Hauptereignisse
- Neuer gefährlicher Android-Trojaner auf Google Play.
- Verbreitung neuer Versionen von Mining-Trojanern, die Server unter Windows infizieren.
Bedrohung des Monats
Die Anwendungen Cleverence Mobile SMARTS Server wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Im Juli 2017 haben die Sicherheitsanalysten von Doctor Web bereits eine Zero-Day-Sicherheitslücke in dieser Software entdeckt und deren Entwickler benachrichtigt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der die Schwachstelle beseitigen sollte. Dies gelang aber nicht für alle Server, weil einige Administratoren den veröffentlichten Sicherheits-Patch nicht installiert haben. So konnten Kriminelle weiterhin Kryptowährung schürfen. Die Einschleusung sah so aus: An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, sendete man den Befehl, einen neuen Benutzer mit Administratorrechten anzulegen, und erhielt einen unerlaubten Zugang zum Server via RDP. In einigen Fällen konnten Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem man den Zugang zum System erhalten hatte, installierte man darauf einen Mining-Trojaner.
Der von Kriminellen entwickelte Mining-Trojaner wird laufend verbessert. Zunächst wurden mehrere Versionen des Trojaners installiert. Diese sind bspw. unter den Namen
Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Virenschutzsoftware zu entfernen. Dir Kriminellen verwenden
Dr.Web Antivirus Statistik
- Trojan.Moneyinst.520
- Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.
- Trojan.Starter.7394
- Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.
Trojan.BPlug - Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.
- Trojan.DownLoad
- Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Trojan.Zadved - Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
Serverstatistik
- JS.BtcMine.7, JS.BtcMine.2
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
JS.DownLoader - Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Trojan.PWS.Stealer - Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Malware im E-Mail-Traffic
- JS.BtcMine.7
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- JS.Inject
- Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
- Trojan.Encoder.24348
- Ein Vertreter der Erpressungs-Trojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.
Trojan.PWS.Stealer - Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Encoder
Support-Anfragen aufgrund von Encodern im Januar 2018:
Trojan.Encoder.858 — 22.12% AnfragenTrojan.Encoder.567 — 7.83% AnfragenTrojan.Encoder.11539 — 6.45% Anfragen- Trojan.Encoder.2267 — 3.46% Anfragen
Trojan.Encoder.761 — 3.23% AnfragenTrojan.Encoder.3953 — 3.20% Anfragen
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Januar 2018 wurden 309.933 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
Dezember 2017 | Januar 2018 | Wachstum |
---|---|---|
+241.274 | + 309.933 | +28,4% |
Malware für mobile Endgeräte
Im Januar 2018 haben die Sicherheitsanalysten von Doctor Web
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung eines neuen Trojaners auf Google Play;
- Verbreitung eines neuen Mining-Schädlings, der infizierte mobile Geräte unter Android zum Schürfen von Kryptowährung ausnutzte;
- Entdeckung neuer Spyware.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
24.01 Sicherheitslücke in Cleverence Mobile SMARTS Server wird zum Schürfen von Kryptowährung ausgenutzt
Frankfurt, 24. Januar 2018
Die Cleverence Mobile SMARTS Server-Anwendungen wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Diese Anwendungen laufen unter Microsoft Windows. Ende Juli 2017 haben die Sicherheitsanalysten von Doctor Web eine Schwachstelle in einer der Komponenten von Cleverence Mobile SMARTS Server entdeckt, über die Cyber-Kriminelle unerlaubt auf Server zugreifen können und Trojaner aus der Familie Trojan.BtcMine - die zum Schürfen von Kryptowährung eingesetzt werden - installieren. Die Entwickler von Cleverence Mobile SMARTS Server wurden bereits über die Sicherheitslücke benachrichtigt.
Am Anfang haben Übeltäter mehrere Versionen des Mining-Trojaners eingesetzt. Diese wurden von Dr.Web als
Der Trojaner stellt eine dynamische Bibliothek dar, die Cyber-Kriminelle in einem temporären Verzeichnis speichern und anschließend starten. Der Schädling ersetzt einen regulären Windows-Dienst, indem die Datei des regulären Dienstes gelöscht wird. Der böswillige Dienst sichert sich anschließend ein paar Systemprivilegien und markiert sich als kritisch. Danach speichert der Trojaner alle für seine Arbeit wichtigen Dateien auf der Festplatte und beginnt, Kryptowährung zu schürfen. Dabei nutzt er Ressourcen des infizierten Servers aus.
Obwohl die Entwickler von Cleverence Mobile SMARTS Server den Sicherheits-Patch bereits veröffentlicht haben, installieren einige Administratoren keine Updates. Währenddessen installieren Cyber-Kriminelle ihre Mining-Trojaner auf infizierten Servern und passen deren Versionen laufend an. Seit November 2017 setzen sie einen neuen Trojaner ein, an dem man immer noch feilt. Der Schädling heißt
Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem
Nachdem
Der Mining-Trojaner verfügt über eine Liste von IP-Adressen von Verwaltungsservern. Er prüft, ob ein Server aktiv ist und konfiguriert Proxy-Server auf dem infizierten Rechner, um Kryptowährung zu schürfen. Auf Befehl von Cyber-Kriminellen startet er auch die PowerShell. Danach leitet er deren Ein- und Ausgabe an den infizierten Rechner des Nutzers weiter. So können Cyber-Kriminelle auf dem infizierten Rechner verschiedene Befehle per Fernzugriff ausführen.
Nach all diesen Aktionen bettet der Trojaner ein Modul zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon in alle gestarteten Prozesse ein.
Obwohl
Mehr zum Trojaner |
16.01 Doctor Web entdeckt auf Google Play infizierte Spiele, die 4.500.000 Mal heruntergeladen wurden
Frankfurt, 16. Januar 2018
Beim Starten von Apps, in denen dieses SDK eingebettet ist, sendet
Diese Grafik ist aber mit einem weiteren Trojaner-Modul ausgerüstet, der eine neue Version von
Nach der Entschlüsselung startet der neue Schädling seine Aktivitäten zusammen mit der älteren Version, die von Dr.Web als
Ihre Hauptaufgabe ist es, Webseiten heimlich aufzurufen und auf Links und Banner zu klicken. Dafür lädt
Die Virenanalysten von Doctor Web haben auf Google Play 27 Spiele entdeckt, in denen das schadhafte SDK verwendet wurde. Insgesamt haben 4.500.000 Anwender diese böswilligen Spiele heruntergeladen. Eine Liste von Apps mit dem eingebetteten
App | App-Paket | Version |
---|---|---|
Hero Mission | com.dodjoy.yxsm.global | 1.8 |
Era of Arcania | com.games37.eoa | 2.2.5 |
Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
Love Dance | com.fitfun.cubizone.love | 1.1.2 |
Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
Sword and Magic | com.linecorp.LGSAMTH | Зависит от модели устройства |
Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
Soul Awakening | com.sa.xueqing.en | 1.1.0 |
Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
Dance Together | music.party.together | 1.1.0 |
頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
Star Legends | com.dr.xjlh1 | 1.0.6 |
Die Virenanalysten von Doctor Web haben Google über die trojanische Komponente in den oben erwähnten Apps informiert. Zum Zeitpunkt der Veröffentlichung dieser Meldung standen sie aber immer noch zum Herunterladen bereit. Inhaber von Android-Smartphones und -Tablets, die Spiele mit dem Trojaner
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
2017
29.12 Rückblick und Analyse von Bedrohungen im Dezember 2017
Frankfurt, 29. Dezember 2017
Der letzte Jahresmonat bleibt aufgrund einer gefährlichen Backdoor, die eine 64-Bit-Version von Microsoft Windows infizieren kann, in Erinnerung. Die Virenanalysten von Doctor Web haben auch festgestellt, dass Cyber-Kriminelle Webseiten mit Hilfe des Linux-Trojaners
Hauptereignisse
- Neue Backdoor für Linux
- Webseiten mittels eines Linux-Trojaners gehackt
- Verbreitung von Malware für Android
Bedrohung des Monats
Im Dezember 2017 haben die Virenanalysten die Trojaner-Familie Anunak unter die Lupe genommen, welche auf dem infizierten Gerät Befehle von Cyber-Kriminellen ausführen konnte. Die neue Backdoor ist für eine 64-Bit-Version von Microsoft Windows gedacht und wurde als
- Dateien von einem vorgegebenen Remote-Server herunterladen;
- Dateien auf einen Remote-Server hochladen;
- Dateien auf dem infizierten Gerät starten;
- Befehle in der Konsole cmd.exe ausführen;
- Traffic zwischen Ports weiterleiten;
- Eigene Module herunterladen und installieren.
Mehr dazu finden Sie hier.
Dr.Web Antivirus Statistik
- Trojan.Starter.7394
- Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
- Trojan.Encoder.11432
- Encoder, der auch unter dem Namen WannaCry bekannt ist.
- Trojan.Zadved
- Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- JS.BtcMine.2
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- Trojan.BPlug
- Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.
Serverstatistik
- JS.BtcMine.2
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- Trojan.Inject
- Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
- Trojan.Starter.7394
- Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
- Trojan.PWS.Stealer
- Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
- Trojan.DownLoader
- Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Malware im E-Mail-Traffic
- Trojan.DownLoader
- Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- JS.DownLoader
- Trojaner auf JavaScript, die andere Malware herunterladen und installieren.
- VBS.DownLoader
- VBScript-Trojaner auf JavaScript, die andere Malware herunterladen und installieren.
- JS.BtcMine.2
- Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
Encoder
Support-Anfragen aufgrund von Encodern im Dezember 2017:
Trojan.Encoder.858 — 27.29% Anfragen;Trojan.Encoder.11539 — 12.55% Anfragen;Trojan.Encoder.3953 — 4.09% Anfragen;Trojan.Encoder.11464 — 3.41% Anfragen;Trojan.Encoder.2667 — 2.59% Anfragen;Trojan.Encoder.567 — 2.05% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Dezember 2017 wurden 241.274 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
November 2017 | Dezember 2017 | Wachstum |
---|---|---|
+331,895 | +241,274 | -27.3% |
Malware für Linux
Der Trojaner
Im Dezember 2017 haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit Linux.ProxyM infiziert sind. Über einen Proxy-Server, der ihnen die Anonymität ermöglicht, begannen sie über diese infizierten Geräte Webseiten zu hacken. Cyber-Kriminelle nutzten mehrere Hackmethoden: SQL-Einschleusungen (Einbettung von SQL-Schadcode in die Datenbank einer Webseite), XSS (Cross-Site Scripting – Hackmethode, die die Einbettung eines böswilligen Szenarios beim Aufrufen einer Webseite vorsieht) und Local File Inclusion (LFI). Mehr dazu wurde in folgender Meldung berichtet.
Malware für mobile Endgeräte
Im Dezember 2017 wurden auf Google Play Banking-Trojaner wie
Hauptereignisse in der mobilen Sicherheitsszene:
- Verbreitung von neuen Banking-Trojanern;
- Entdeckung von Spyware, die vertrauliche Daten klaut.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
07.12 Doctor Web warnt: Cyber-Kriminelle hacken Webseiten mit Hilfe von IoT
Frankfurt, 7. Dezember 2017
Linux.ProxyM ist ein Schädling für Linux, der auf dem infizierten Gerät einen SOCKS-Proxy-Server startet. Mit dessen Hilfe können Cyber-Kriminelle destruktive Aktionen vornehmen. Bekannt sind Varianten des Trojaners mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC. Dies bedeutet, dass
Im September wurde den Analysten von Doctor Web bekannt, dass Übeltäter via
Wenn der Nutzer dem Link in der E-Mail folgte, gelangte er auf eine fingierte Webseite von DocuSign mit einem Anmeldungsformular. Nachdem man seine Daten inkl. Passwort eingegeben hat, wurde dieses an Cyber-Kriminelle versendet. Der Nutzer gelangte anschließend auf die Webseite von DocuSign.
Im Dezember haben die Betrüger einen neuen Verwendungszweck für Geräte gefunden, die mit
Die Malwareanalysten von Doctor Web verfolgen weiter die Aktivitäten des
Obwohl es in
30.11 Doctor Web: Rückblick und Analyse von Bedrohungen im November 2017
Frankfurt, 30. November 2017
Im November haben die Malwareanalysten von Doctor Web einen neuen Banking-Trojaner unter die Lupe genommen. Der Schädling heißt
Im November haben die Malwareanalysten auch einen Trojaner für Linux und mehrere Webseiten entdeckt, mit denen Übeltäter gutgläubige Nutzer betrogen haben.
Hauptereignisse
- Entdeckung eines neuen Banking-Trojaners
- Verbreitung der Backdoor für Linux
- Neue Betrugsmethode im Internet
Bedrohung des Monats
Die Trojaner-Familie Gozi ist unseren Malwareanalysten gut bekannt. Die Vertreter dieser Familie konnten zum Beispiel Adressen von Verwaltungsservern aus einer Textdatei, die man von der NASA-Webseite herunterladen kann. generieren. Die neuen Version des Trojaners, der nun
Ziel von
Da die Modifikation von Webseiten auf dem infizierten PC erfolgt, bleibt die URL einer solchen Webseite immer noch korrekt und kann somit die Aufmerksamkeit und Vorsicht des Nutzers beeinträchtigen. Die vom Nutzer eingegebenen Daten werden aber an Cyber-Kriminelle übertragen. Auf diese Weise kann das Benutzerkonto kompromittiert werden.
Mehr zur Funktionsweise und zu Möglichkeiten von
Dr.Web Antivirus Statistik
Trojan.DownLoader - Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
- Trojan.Starter.7394
- Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
Trojan.Encoder.11432 - Wurm, der unter dem Namen WannaCry bekannt ist, kann PCs unter Microsoft Windows ohne Beteiligung der Nutzer infizieren. Der Schädling verschlüsselt Dateien auf dem PC und verlangt ein Lösegeld. Die Entschlüsselung von Dateien erfolgt unter Verwendung von verschiedenen Schlüsseln, deshalb gibt es keine Garantie, dass auch nach der Entschlüsselung die Dateien wiederhergestellt werden können.
Trojan.Zadved - Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
Serverstatistik
Trojan.DownLoader 25.54584, Trojan.DownLoad3.46852- Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
JS.Inject - Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.Inject - Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
- PowerShell.DownLoader
- Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
Malware im E-Mail-Traffic
Trojan.DownLoader - Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
- PowerShell.DownLoader
- Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
JS.Inject - Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.Inject - Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
Dr.Web Bot für Telegram
Android.HiddenAds .200.origin- Trojaner, der aufdringliche Werbung anzeigt und als angeblich beliebte App durch andere Schädlinge verbreitet und installiert werden.
Android.Locker - Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
Android.Spy .337.origin- Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
- Joke.Locker.1.origin
- Riskware für Android, die den Bildschirm des mobilen Endgeräts sperren und BSOD, Blue Screen of Death, anzeigt.
Encoder
Support-Anfragen wegen Encoder im November:
Trojan.Encoder.3953 — 17,88% Anfragen;Trojan.Encoder.858 — 8,39% Anfragen;Trojan.Encoder.11539 — 6,39% Anfragen;Trojan.Encoder.567 — 5,66% Anfragen;Trojan.Encoder.3976 — 2,37% Anfragen;Trojan.Encoder.761 — 2,37% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im November 2017 wurden 331 895 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
Oktober 2017 | November 2017 | Wachstum |
---|---|---|
+256 429 | +331 895 | +29.4% |
Im November wurde auch eine weitere betrügerische Methode entdeckt, mit der Cyber-Kriminelle das Geld der Nutzer stehlen wollten. Nutzer im russischsprachigen Internet wurden dazu aufgerufen, auf die Webseite eines vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds zu gehen, ihre ID-Nummer einzugeben und das Geld, worauf sie angeblich Anspruch hätten, aus der Pensionskasse auf ihr Konto überweisen zu lassen. Zunächst musste man aber selbst einen finanziellen Beitrag leisten.
Auf Servern, wo auch die Webseite des vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds gehostet wird, haben unsere Analysten mehrere betrügerische Projekte entdeckt. Mehr dazu finden Sie in diesem Artikel.
Malware für Linux
Ende November haben die Malwareanalysten von Doctor Web eine neue Backdoor für Linux analysiert. Der Schädling heisst
Malware für mobile Endgeräte
Im November haben unsere Malwareanalysten auf Google Play den Trojaner
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung mehrerer Trojaner auf Google Play.
Mehr zur Lage in der Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
24.11 Doctor Web analysiert neuen Banking-Trojaner
Frankfurt, 24. November 2017
Der neue Banking-Trojaner wurde als
Die Entwickler des Schädlings haben dafür gesorgt, dass er nur unter Microsoft Windows 7 und höher funktioniert. Zusätzliche Module werden durch einen Loader heruntergeladen. Das Datenaustauschprotokoll verwendet die Datenverschlüsselung. Der Loader von
- Prüfung auf neue Updates des Trojaners;
- Herunterladen von Plug-ins für den Browser, über die Web-Injects erfolgen;
- Herunterladen der Konfiguration von Web-Injects;
- Erhalten von persönlichen Aufgaben, u.a. zum Herunterladen von weiteren Plug-ins;
- Steuerung des PCs per Fernzugriff.
Um ein Web-Inject durchzuführen, verwendet

Auf den infizierten PC können auch weitere böswillige Module heruntergeladen und installiert werden. Darunter finden sich ein Keylogger, ein VNC-Modul für den Remote-Zugriff auf den infizierten PC, eine SOCKS-Proxy-Server-Komponente, ein Plug-in für den Datendiebstahl aus E-Mail-Clients usw.
Da Signaturen für
20.11 Doctor Web entdeckt neue Backdoor für Linux
Frankfurt, 20. November 2017
Den Trojaner, der unter dem Namen
27.10 Doctor Web: Rückblick und Analyse von Bedrohungen für mobile Geräte im Oktober 2017
Frankfurt, 27. Oktober 2017
Im Oktober wurde auf Google Play ein Android-Trojaner entdeckt, der in harmlose Apps eingebettet war. Mit diesem Trojaner konnten Cyber-Kriminelle mobile Endgeräte der Nutzer in Proxy-Server umwandeln. Außerdem tauchte ein Erpressungstrojaner auf, der auf Android-Smartphones und -Tablets ein Passwort zur Entsperrung des Bildschirms änderte, Daten verschlüsselte und ein Lösegeld für die Entschlüsselung verlangte.
Hauptereignisse
- Entdeckung eines Android-Trojaners, der den PIN-Code zur Entsperrung von mobilen Geräten ändert und Daten verschlüsselt.
- Entdeckung eines Schädlings auf Google Play, der Android-Geräte in Proxy-Server verwandelt.
Mobile Bedrohung des Monats
Im Oktober wurde auf Google Play der Trojaner
- PvP skins for Minecraft
- Game Skins for Minecraft
- Military Skins for Minecraft
- Cartoon skins for Minecraft
- Hot Skins for Minecraft PE
- Skins Herobrine for Minecraft
- Skins FNAF for Minecraft
- Assassins skins for Minecraft
Mit diesen Apps konnte man das Äußere von Charakteren im mobilen Spiel Minecraft anpassen.
Nach dem Starten konnte der Trojaner eine Verbindung zur Verwaltungszentrale herstellen und sich über das SOCKS-Protokoll mit der vordefinierten Adresse im Netz verbinden. Im Endergebnis konnten Cyber-Kriminelle Smartphones und Tablets der Nutzer in Proxy-Server umwandeln und über diese den Netzwerk-Traffic leiten.
Dr.Web Produkte für Android
Android.Click .171.originAndroid.Click .173.origin- Trojaner, die in einem bestimmten Zeittakt auf definierte Webseiten zugreifen und für eine vermeintliche Steigerung deren Beliebtheit sorgen.
Android.HiddenAds .68.origin- Trojaner, der unerwünschte Werbung anzeigt.
Android.CallPay.1.origin - Schädling, der Android-Geräten einen Zugang zu erotischen Inhalten bietet und unsichtbar für den Benutzer Anrufe an Premium-Nummern tätigt.
- Android.Sprovider.10
- Trojaner, der auf Android-Geräte Apps herunterlädt und installiert. Außerdem kann er Werbung anzeigen.
- Adware.Jiubang.2
- Adware.Fly2tech.2
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Fly2tech.4
- Unerwünschte Module, die in Android-Apps eingebettet werden und unerwünschte Werbung auf mobilen Endgeräten anzeigen.
Erpressungstrojaner
Im Oktober berichteten einige Medien von einem Android-Trojaner, der den PIN-Code zur Entsperrung des Bildschirms eines Smartphones oder Tablets änderte, Daten verschlüsselte und ein Lösegeld für die Wiederherstellung von Daten forderte. Der Schädling wurde in die Dr.Web Virendefinitionsdatei als
Nach dem Starten versucht der Trojaner, mittels Accessibility Service den Zugriff auf eine Liste von Gerätadministratoren zu erhalten und fügt sich selber in diese ein. Anschließend ändert er den PIN-Code zur Entsperrung des Gerätes, verschlüsselt Daten der Nutzer und verlangt ein Lösegeld für die Entsperrung. Es gibt Versionen des Schädlings, die größere Dateien von ab 10 MB nicht verschlüsseln können.
Obwohl man in einigen Medien von einer neuen Funktionalität von
Übeltäter versuchen immer noch, Google Play als Kanal für die Verbreitung von Android-Apps zu nutzen und feilen weiter an ihrer Malware. Um ein Android-Gerät gegen Malware zu schützen, müssen die Nutzer Dr.Web Virenschutzprodukte für Android verwenden.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 100 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
27.10 Doctor Web: Analyse und Rückblick von Bedrohungen im Oktober 2017
Frankfurt, 29. Oktober 2017
Im Oktober sorgte der neue Encoder
Im Oktober analysierten die Virenanalysten von Doctor Web eine neue Backdoor, die auf Python geschrieben ist. Dieser Schädling kann Daten aus Browsern klauen, Tastaturdrucke abfangen, Dateien herunterladen, auf dem infizierten PC speichern usw.
Außerdem haben unsere Virenanalysten einen Linux-Trojaner analysiert, der smart Geräte infizieren kann.
Hauptereignisse
- Verbreitung des neuen Verschlüsselungstrojaners BadRabbit
- Neue Backdoor auf Python
- Neuer Linux-Trojaner für IoT
Bedrohung des Monats
Wie seine Vorgänger stellt
Nach Ansicht einiger Forscher sind einige kompromittierte Webseiten mit einem böswilligen JavaScript-Szenario eine Hauptquelle für die Verbreitung von
Die Analyse von
Dr.Web Antivirus Statistik
- Trojan.Exploit
- Malware, die einen Schadcode in laufende Prozesse einfügt.
Trojan.Inject - Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
Serverstatistik
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- Trojan.Starter.7394
- Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
- JS.BtcMine.1
- Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.
W97M.DownLoader - Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
- BackDoor.Bebloh.184
- Banking-Trojaner, die vertrauliche Daten von Bankkunden durch das Abfangen von Tastaturdrucken und online übermittelten Daten klauen.
Malware im E-Mail-Traffic
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- VBS.DownLoader
- Trojaner auf VBScript, die andere Malware herunterladen und installieren.
W97M.DownLoader - Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
Dr.Web Bot für Telegram
Android.Locker - Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
- Android.Spy.337.origin
- Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
- Android.Hidden
- Android-Trojaner, die sich im System verstecken können.
- Program.TrackerFree.2.origin
- Spyware Mobile Tracker Free, die Kinder ausspioniert.
Encoder
Support-Anfragen wegen Encoder im Oktober:
Trojan.Encoder.3953 — 17,26% Anfragen;Trojan.Encoder.858 — 16,67% Anfragen;- Trojan.Encoder.13671 — 5,51% Anfragen;
Trojan.Encoder.2667 — 4,02% Anfragen;Trojan.Encoder.567 — 2,38% Anfragen;Trojan.Encoder.3976 — 2,23% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im Oktober 2017 wurden 256 429 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
September 2017 | Oktober 2017 | Wachstum |
---|---|---|
+ 298 324 | + 256 429 | -14,0% |
Malware für Linux
Im Oktober haben die Virenanalysten einen Trojaner entdeckt, der smarte Geräte unter Linux infizieren kann. Der Schädling heißt
Andere Ereignisse
Mitte Oktober wurde die
- Daten aus Browsern wie Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
- Tastaturdrucke abfangen und Bildschirmaufnahmen machen;
- Zusätzliche Module auf Python herunterladen und diese ausführen;
- Dateien herunterladen und diese auf Datenträgern der infizierten Geräte abspeichern;
- Inhalte aus dem Zielverzeichnis ziehen;
- Durch Verzeichnisse laufen;
- Systemdaten abfragen.
Mehr zu
Malware für mobile Endgeräte
Im Oktober sorgte ein Erpressungs-Trojaner für Schlagzeilen. Dr.Web erkennt den Schädling als
Hauptereignisse:
- Erpressungs-Trojnaer, der einen PIN-Code zur Entsperrung des Bildschirms auf Android-Geräten ändert und Dateien verschlüsselt;
- Trojaner auf Google Play, der infizierte Android-Geräte in Proxy-Server umwandelt.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie обзоре.
Erfahren Sie mehr mit Dr.Web
25.10 BadRabbit stellt für Dr.Web Nutzer keine Gefahr dar
Frankfurt, 25. Oktober 2017
Im Netz gibt es bereits Empfehlungen, wie man sich gegen die Bedrohung schützen sollte:
- Datei C:\Windows\infpub.dat mit Attribut ReadOnly erstellen;
- Datei C:\Windows\cscc.dat mit Attribut ReadOnly erstellen;
- Das Ausführen von infpub.dat und install_flash_player.exe in Group Policies sperren.
Einige dieser Maßnahmen können nur einen kurzfristigen Effekt haben. Unser Team von Doctor Web kann aber solche temporären Maßnahmen nicht als Allheilmittel empfehlen, weil nur eine kleine Änderung im Schädling alle Maßnahmen nutzlos macht. Deshalb ist eine zuverlässige Virenschutz-App das beste Mittel. Eine aktuelle Version von Dr.Web schützt Sie gegen BadRabbit.
Sobald das Team des Virenlabors von Doctor Web seine Forschungsarbeiten abgeschlossen hat, wird eine detaillierte Beschreibung des Schädlings veröffentlicht.
16.10 Doctor Web analysierte eine Backdoor, die auf Python geschrieben ist
Frankfurt, 16. Oktober 2017
Der Schädling wurde in die Dr.Web Virendefinitionsdatei unter dem Namen
Nach dem Neustart versucht der Trojaner, alle verfügbaren Geräte mit dem Namen von C bis Z zu infizieren. Dafür erstellt er ein verdecktes Verzeichnis, speichert dort eine Kopie seiner ausführbaren Datei ab und erstellt einen Link <volume name>.lnk, der zu einer böswilligen Datei weiterleitet. Alle Dateien, die anders als .lnk, VolumeInformation.exe und .vbs heißen, werden in das früher erstellte Verzeichnis verschoben.
Danach versucht der Trojaner eine IP-Adresse sowie einen Port des Verwaltungsservers zu identifizieren, indem er Anfragen an Services wie pastebin.com, docs.google.com und notes.io versendet. Dies sieht wie folgt aus:
Wenn die Backdoor an die IP-Adresse und das Port gelangt, versendet er an einen Verwaltungsserver eine spezielle Anfrage. Wenn die Anfrage beantwortet wird, lädt er vom Verwaltungsserver das auf Python geschriebene Szenario, das in der Dr.Web Virendefinitionsdatei als
- Daten aus Browsern Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
- Tastatureingaben und Bildschirmaufnahmen ablesen;
- Zusätzliche Module auf Python herunterladen und ausführen;
- Dateien herunterladen und diese auf dem infizierten Gerät abspeichern;
- Inhalte aus einem Verzeichnis abrufen;
- Sich über verschiedene Verzeichnisse verbreiten;
- Informationen zum System anfordern.
Außerdem verfügt
29.09 Doctor Web: Analyse und Rückblick von Bedrohungen im September 2017
Frankfurt, 29. September 2017
Im September haben mehrere Medien mitgeteilt, dass Cyber-Kriminelle Web-Browser von Anwendern als Tool zum unerlaubten Mining von Kryptowährungen ausgenutzt haben. Dabei erfreut sich die Kryptowährung Monero (XMR) größter Beliebtheit.
Der Mining-Schädling, der von unseren Spezialisten als Tool.BtcMine.1046 in die Virendefinitionsdatei aufgenommen wurde, ist auf JavaScript geschrieben. Beim Aufrufen einiger Webseiten begann der Bösewicht mittels eines JavaScript-Szenarios Kryptowährung zu scheffeln. Nach Angaben von Anwendern konnte die CPU-Auslastung bei 100% liegen und ging auf Standardwerte zurück, sobald der Browser geschlossen wurde. Es ist schwierig abzuschätzen, auf was dies genau zurückzuführen ist – auf eine freiwillige Einbettung des Codes oder Webseiten-Hacks. Aktuell warnt Dr.Web Antivirus vor potenziell gefährlichen Inhalten, sobald ähnliche Webseiten aufgerufen werden.
Kurz danach wurde ein zweites böswilliges Tool unter dem Namen Tool.BtcMine.1048 in die Virendefinitionsdatei eingeführt. Dieser Miner ist auf JavaScript geschrieben und wurde ohne Zustimmung der Webseiten-Besucher eingesetzt. Eine solche Technologie kann sowohl legal als auch illegal eingesetzt werden. Ähnliche Szenarien können in den Webseiten-Code nicht nur von Inhabern, sondern auch von Werbetreibenden durch Hacks eingebettet werden. Außerdem kann die Mining-Funktion auch in Plug-ins realisiert werden, die Anwender in Browsern installieren.
Die Sicherheitsspezialisten von Doctor Web haben im September Schwachstellen im Bluetooth-Protokoll entdeckt und herausgefunden, dass Cyber-Kriminelle IoT zum Versenden von Spam-Mails verwenden.
Hauptereignisse
- Neue Mining-Schädlinge, die auf JavaScript geschrieben sind
- Nutzung des IoT von Cyber-Kriminellen zum Versenden von Spam
- Sicherheitslücken im Bluetooth-Protokoll entdeckt
Bedrohung des Monats
Doctor Web teilte hier Informationen über
Die meisten durch
Mehr zu
Dr.Web Antivirus Statistik
Trojan.Inject - Malware, die einen Schadcode in laufende Prozesse einfügt.
Trojan.InstallCore - Trojaner, die andere Malware installieren.
- Trojan.BitCoinMiner.4
- Schädling, der zum versteckten Mining von BitCoin geeignet ist.
Win32.Virut.5 - Polymorpher Virus, der ausführbare Daten infiziert und infizierte Geräte mittels eines IRC-Kanals verwaltet.
Trojan.BtcMine - Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.
Serverstatistik
Trojan.Inject - Malware, die einen Schadcode in laufende Prozesse einfügt.
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- Trojan.CCleaner.2
- Trojaner, der in CCleaner (Programm zum Optimieren von Microsoft Windows) gefunden wurde.
Trojan.DownLoader - Trojaner, die andere Malware herunterladen und installieren.
- Win32.HLLW.Shadow
- Wurm, der zu seiner Verbreitung Wechseldatenträger und Logical Volumes verwendet. Außerdem kann er sich mittels SMB-Protokoll verbreiten und von einem Verwaltungsserver ausführbare Dateien herunterladen und starten.
Malware im E-Mail-Traffic
Trojan.Inject - Familie von Trojanern, die ihren Schadcode in andere Apps einbetten.
- VBS.DownLoader
- Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Dr.Web Bot für Telegram
Android.Locker - Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
Android.Spy.337.origin - Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
- Joke.Locker.1.origin
- Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.
Android.Hidden - Android-Trojaner, die sich im System verstecken können.
Encoder
Support-Anfragen wegen Encoder im September:
Trojan.Encoder.858 — 23.49% Anfragen;Trojan.Encoder.13671 — 5.33% Anfragen;Trojan.Encoder.11464 — 3.89% Anfragen;Trojan.Encoder.761 — 2.74% Anfragen;Trojan.Encoder.5342 — 2.02% Anfragen;Trojan.Encoder.567 — 2.00% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im September 2017 wurden 298 324 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
August 2017 | September 2017 | Wachstum |
---|---|---|
+ 275,399 | + 298,324 | +8.32% |
Malware für mobile Endgeräte
Im September wurde die Sicherheitslücke „BlueBorne“ im Bluetooth-Protokoll entdeckt. Anfällig sind verschiedene Geräte, u.a. Android-Smartphones und Tablets. Diese Sicherheitslücken ermöglichen eine totale Kontrolle über infizierte Geräte, lassen einen beliebigen Code ausführen und vertrauliche Daten klauen. Darüber hinaus wurde auf Google Play im vorigen Monat
Hauptereignisse:
- Neue Details zu entdeckten Schwachstellen im Bluetooth-Protokoll;
- Neuer Banking-Trojaner auf Google Play entdeckt.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
12.09 Cyber-Kriminelle nutzen IoT zum Spam-Versand
Frankfurt, 12. September 2017
Es handelt sich um den Schädling
Die Virenanalysten von Doctor Web fanden heraus, dass Übeltäter mit Hilfe von
Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!
Laut der Statistik, die Doctor Web zur Verfügung steht, verschickt jedes infizierte Gerät etwa 400 Spam-Mails in 24 Stunden. Eine grafische Übersicht der durch
Die Anzahl von einzelnen IP-Adressen der infizierten Endgeräte können Sie dem nachfolgenden Diagramm entnehmen. Das Diagramm zeigt nur Bots an, die von den Analysten von Doctor Web registriert wurden. Eine tatsächliche Zahl von infizierten Geräten kann höher sein.
Die geografische Verteilung von Angriffen durch
Es lässt sich vermuten, dass der Funktionsumfang des Schädlings erweitert wird. Das IoT ist längst im Blick der Cyber-Kriminellen. Davon zeugt eine weite Verbreitung von Malware für Linux, die Geräte mit der unterschiedlichen Architekturen infizieren kann.
31.08 Doctor Web: Rückblick und Analyse von Bedrohungen im August 2017
Frankfurt, 31.August 2017
Im August registrierte das Team von Doctor Web mehrere massenhafte Mail-Angriffe gegen Administratoren von Webseiten. Übeltäter forderten sie auf, eine spezielle PHP-Datei auf die Webseite hochzuladen, was eine Webseite kompromittieren könnte. Ein neuer Mining-Trojaner, dessen Downloader einen Link zur Webseite von Brian Krebs enthält, wurde entdeckt. Und in die Dr.Web Virendefinitionsdatei haben unsere Sicherheitsspezialisten Downloader des Linux-Trojaners Linux- Hajime für Geräte mit der MIPS- und MIPSEL-Architektur aufgenommen.
Hauptereignisse
- Anzahl von Angriffen mittels E-Mail wächst
- Neuer Mining-Trojaner
- Downloader Linux.Hajime für MIPS und MIPSEL tauchen auf
Bedrohung des Monats
Netzwürmer unter dem Namen
Der Löwenanteil von Infizierungen durch
Dr.Web Statistik
Trojan.Inject - Malware, die einen Schadcode in laufende Prozesse einfügt.
Trojan.DownLoader - Trojaner, die andere Malware herunterladen und installieren.
Trojan.InstallCore - Trojaner, die andere Malware installieren.
Serverstatistik
Trojan.DownLoader - Trojaner, die andere Malware herunterladen und installieren.
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.InstallCore - Trojaner, die andere Malware installieren.
Trojan.PWS.Stealer - Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
Malware im E-Mail-Traffic
JS.DownLoader - Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
- VBS.DownLoader
- Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.
Trojan.Encoder.13570 - Erpresser, der für die Entschlüsselung von Daten Geld verlangt.
Encoder
Support-Anfragen wegen Encoder im August:
Trojan.Encoder.858 — 29.21% Anfragen;Trojan.Encoder.567 — 4.02% Anfragen;Trojan.Encoder.761 — 1.85% Anfragen;Trojan.Encoder.11464 — 1.85% Anfragen;Trojan.Encoder.741 — 1.55% AnfragenTrojan.Encoder.3976 — 1.08% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im August 2017 wurden 275 399 Internetadressen in die Datenbank von nicht empfohlenen
July 2017 | August 2017 | Wachstum |
---|---|---|
+ 327,295 | + 275,399 | -15.8% |
Auf die Liste von nicht empfohlenen Webseiten kommen nicht selten bereits attackierte Homepages. Auf diesen sind unter anderem Szenarien anzutreffen, die Besucherzahlen künstlich steigern und sogar Malware verbreiten. Bei Angriffen auf Webseiten sammeln Übeltäter Daten zu angegriffenen Webseiten, u.a. Code, CMS, Subdomains, Browser und Version des Web-Servers usw. Wenn DNS-Server, die eine Webseite bedienen, richtig konfiguriert sind, können Cyber-Kriminelle keine Daten zur Domainzone erhalten. Bei falsch eingestellten DNS-Servern kann aber ein Übeltäter mittels einer AXFR-Anfrage an alle Informationen zu registrierten Subdomains gelangen. Eine falsche Einstellung von DNS-Servern öffnet zwar keine Sicherheitslücken, kann aber dazu führen, dass eine Webseite kompromittiert wird. Mehr dazu finden Sie hier.
Andere Ereignisse
Im August haben die Virenanalysten von Doctor Web einen neuen Schädling für Linux in die Dr.Web Virendefinitionsdatei aufgenommen -
Böswillige und unerwünschte Apps für mobile Endgeräte
Im August wurden auf Google Play mehrere böswillige Android-Apps entdeckt. Trojaner, die als
Hauptereignisse im August 2017:
- Neuer Android-Trojaner, der DDoS-Angriffe auf Webseiten durchführt;
- Banking-Trojaner auf Google Play entdeckt;
- Dropper, der andere Trojaner installieren soll, auf Google Play entdeckt.
Mehr zur mobilen Sicherheitsszene lesen Sie hier.
Erfahren Sie mehr mit Dr.Web
31.07 Rückblick und Analyse von Bedrohungen im Juli 2017
July 31, 2017
Zusammenfassung
Der Juli ist in der Regel kein Monat für aufsehenerregende Ereignisse. Im Juli haben aber die Sicherheitsspezialisten von Doctor Web in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt. Später wurde auch eine Verbreitungsquelle von
Hauptereignisse im Juli
- Entdeckung einer Backdoor in M.E.Doc
- Entdeckung der Verbreitungsquelle von Dande
- Kompromittieren der Webseite für elektronische Services gosuslugi.ru
Bedrohung des Monats
Die beliebte App M.E.Doc zum Dokumentenmanagement wurde von Intellect Service entwickelt. In der Komponente der App, die ZvitPublishedObjects.Server.MeCom heißt, haben Virenanalysten von Doctor Web einen Eintrag entdeckt, der für den Schlüssel des Windows-Registry typisch ist: HKCU\SOFTWARE\WC.
Dieser Schlüssel wurde von Trojan.Encoder.12703 verwendet. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:
Die angeforderte Datei ZvitPublishedObjects.dll hatte den gleichen Hash wie das von Doctor Web analysierte Muster. So konnten Virenanalysten von Doctor Web zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:
- Daten für den Zugang zu Mailservern sammeln;
- Befehle im infizierten System ausführen;
- Dateien ins infizierte System herunterladen;
- Herunterladen, Speichern und Starten von ausführbaren Dateien;
- Hochladen von Dateien auf einen Remote-Server.
Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden. Mehr dazu finden Sie hier.
Statistik
Dr.Web Antivirus
Trojan.DownLoader
Trojaner, die andere Malware herunterladen und installieren.Trojan.InstallCore
Trojaner, die andere Malware installieren.Trojan.BtcMine
Familie von Trojanern, die unerlaubt CPU-Ressourcen des PCs zum Mining von der Kryptowährung wie Bitcoin anzapfen.
Serverstatistik
JS.DownLoader
Böswillige Szenarien auf JavaScript, die auf den Rechner weitere böswillige Apps herunterladen und installieren.- JS.Inject.3
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren. Trojan.InstallCore
Familie von Installationsassistent für unerwünschte Apps.Trojan.DownLoader
Trojaner, die zum Herunterlanden von anderen Apps geeignet sind.Trojan.PWS.Stealer
Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.
Malwarestatistik für E-Mail-Traffic
JS.DownLoader
Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.- JS.Inject.3
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren. Trojan.PWS.Stealer
Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.Trojan.Encoder.6218
Erpresser, der für die Entschlüsselung von Daten Geld verlangt.Trojan.InstallCore
Installationsassistenten für böswillige und unerwünschte Apps.
Statistik von Dr.Web Bot für Telegram
Android.Locker.139.origin
Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.EICAR Test File
Testdatei, die zum Testen von Virenschutz-Apps verwendet wird. Alle Virenschutz-Apps sollten auf die Datei wie auf eine böswillige Datei reagieren.- Joke.Locker.1.origin
Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt. Android.SmsSend.20784
Böswillige Software, die Nutzern kostspielige Services unterschiebt.Trojan.PWS.Stealer
Trojaner, die vertrauliche Daten klauen sollen.
Encoder
Support-Anfragen wegen Encoder im Juli:
Trojan.Encoder.858 — 34.80% Anfragen;Trojan.Encoder.567 — 8.21% Anfragen;Trojan.Encoder.761 — 3.19% Anfragen;Trojan.Encoder.5342 — 3.04% Anfragen;- Trojan.Encoder.11423 — 2.13% Anfragen;
Trojan.Encoder.11432 — 1.98% Anfragen;
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im Juli 2017 wurden 327 295 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
Juni 2017 | Juli 2017 | Wachstum |
---|---|---|
+ 229,381 | + 327,295 | + 42.6% |
Mitte Juli wurde auf der russischen Webseite für elektronische Services gosuslugi.ru ein potenzieller Schadcode entdeckt. Dieser Code ließ den Browser jedes Benutzers mit einer von 15 Domainadressen, von denen 5 niederländischen Unternehmen gehören, verbinden. Bei der dynamischen Generierung von Webseiten wurde auch ein Container <iframe> eingefügt. Dadurch konnte man den Browsern beliebige Daten abfragen. Alle Sicherheitslücken der Webseite wurden von der Administration von gosuslugi.ru nach der Veröffentlichung der Meldung über den Vorfall geschlossen.
Andere Ereignisse
Im Jahre 2011 haben unsere Analysten den Trojaner
Die von Doctor Web durchgeführte Analyse zeigte, dass
Böswillige und unerwünschte Apps für mobile Endgeräte
Anfang Juli haben die Sicherheitsspezialisten von Doctor Web im auf Google Play beliebten Spiel BlazBlue
Hauptereignisse im Juni 2017:
- Entdeckung eines Android-Trojaners in Android-Firmware von einigen mobilen Geräten;
- Entdeckung eines Download-Trojaner auf Google Play;
- Entdeckung eines Banken-Trojaners, der infizierte Geräte steuern und vertrauliche Daten klauen kann.
Mehr zur mobilen Sicherheitsszene finden Sie hier.
Erfahren Sie mehr mit Dr.Web
31.07 Doctor Web: Rückblick und Analyse von Bedrohungen für mobile Geräte im Juli 2017
Frankfurt, 31. Juli 2017
Im Juli haben die Sicherheitsanalysten von Doctor Web auf einigen Smartphone-Modellen unter Android einen Trojaner aufgespürt, der in einer Systembibliothek von Android eingebettet war. Der Schädling konnte u.a. in laufende Prozesse eindringen und weitere böswillige Module starten. Darüber hinaus haben die Analysten von Doctor Web auf Google Play ein Spiel ausfindig gemacht, das mit einem Download-Trojaner ausgerüstet war. Darüber hinaus hat man noch einen neuen gefährlichen Trojaner analysiert, der sich die Kontrolle über infizierte Geräte und vertrauliche Daten von Nutzern sichert.
Hauptereignisse
- Entdeckung eines Trojaners in Android-Firmware
- Entdeckung eines Download-Trojaners auf Google Play
- Entdeckung eines neuen gefährlichen Bankentrojaners
Bedrohung des Monats
Besonderheiten von
- Die Einbettung in die Systembibliothek ist auf Ebene des Quellcodes realisiert;
- Der Schädling bettet sich in laufende Prozesse ein und integriert in diese böswillige Module;
- Um den Trojaner zu installieren, ist die Neuinstallation des Betriebssystems erforderlich.
Mehr zum Trojaner finden Sie in dieser Mitteilung.
Statistik von Dr.Web Produkten für Android
Android.DownLoader .337.originAndroid.DownLoader .526.origin- Trojaner, die zum Herunterladen anderer Apps gedacht sind.
Android.HiddenAds .85.originAndroid.HiddenAds .68.originAndroid.HiddenAds .83.origin- Trojaner, die zum Anzeigen anderer Apps gedacht sind, werden unter dem Deckmantel beliebter Apps verbreitet und im Systemverzeichnis unsichtbar installiert.
- Adware.Avazu.8.origin
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Batmobi.4
Adware.Cootek.1.origin - Unerwünschte App-Module, die in Android-Apps eingebettet werden und zum Anzeigen auf mobilen Geräten gedacht sind.
Trojaner auf Google Play
Im Juli haben Sicherheitsspezialisten von Doctor Web auf Google Play
Bankentrojaner
Im Monat Juli wurde der Trojaner
Virenschreiber greifen Android-Nutzer weiterhin an. Ständig erweitern sie die Funktionalität von Trojanern und versuchen, diese mit allen zugänglichen Methoden zu verbreiten. Für einen zuverlässigen Schutz gegen Malware empfehlen wir Dr.Web Produkte für Android zu installieren.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 100 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
27.07 Doctor Web: Ein vorinstallierter Android-Trojaner infiziert App-Prozesse und lädt böswillige Module herunter
Frankfurt, 27. Juli 2017
Trojaner der Familie
Im Unterschied zu anderen Vertretern dieser Familie, die sich root-Privilegien zu sichern versuchen, ist der von unseren Analysten entdeckte Trojaner
Nach der Initialisierung nimmt der Schädling Einstellungen vor, erstellt ein Verzeichnis und prüft, wo er läuft. Wenn der Trojaner unter Dalvik läuft, fängt er eine der Systemmethoden ab, kann alle Apps überwachen und böswillige Aktivitäten durchführen.
Die Hauptfunktion von
So kann sich
Außerdem kann
Da