Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zu News

Doctor Web: Neue Download-Trojaner laufen verdeckt

Frankfurt, 6. März 2018

Die Sicherheitsexperten von Doctor Web nehmen Trojaner Trojan.LoadMoney, die andere gefährliche Apps auf infizierte Rechner herunterladen, genau unter die Lupe.

Die Trojanerfamilie Trojan.LoadMoney ist schon seit 2013 bekannt. Neue Schädlinge aus diesem Stall erscheinen regelmäßig. Einer davon wurde vor kurzem als Trojan.LoadMoney.3209 getauft. Der Trojaner hat zwei Internetadressen, von denen er Apps herunterlädt und startet. Zum Zeitpunkt der Analyse konnte der Schädling eine identische Installationsdatei herunterladen und in einem temporären Verzeichnis speichern. Anschließend wurde die Datei eingelesen und gelöscht. Später wurde sie aber wieder in einem temporären Verzeichnis mit einem zufälligen Namen gespeichert. Schließlich wurde die ausführbare Datei durch den Hauptspeicher eingelesen und aus diesem gestartet. Die Ausgangsdatei wurde dabei gelöscht.

Eine der Dateien, die Trojan.LoadMoney.3209 herunterlädt, wurde als Trojan.LoadMoney.3558 getauft. Dieser Schädling ist sehr kompliziert. Trojan.LoadMoney.3558 infiziert das Betriebssystem und nutzt dabei das frei verfügbare Tool cURL. Mit Hilfe dieses Tools kann mit mehreren Servern und einer Vielzahl von Protokollen gleichzeitig gearbeitet werden. Der Trojaner entschlüsselt und speichert dies auf der Festplatte. Zum Herunterladen von Dateien mit Hilfe von cURL nutzt der Schädling Trojan.LoadMoney.3558 den Windows-Taskplaner. Der Bösewicht enthält vier verschlüsselte Internetadressen. Eine davon wird für die Arbeit mit cURL benutzt, von den drei anderen wird unsichtbar eine ausführbare Datei gestartet: Trojan.LoadMoney.3263. Nach dem Starten wird die Installationsdatei von Trojan.LoadMoney.3263 gelöscht.

Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.

Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.

Dr.Web Malwareschutzprodukte schützen zuverlässig gegen Trojan.LoadMoney. Sie stellen daher für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare