Rückblick und Analyse der Bedrohungen für Mai 2013
Hanau, 3. Juni 2013
Allgemeine Sicherheitslage
Den Statistiken von Dr.Web CureIt! zufolge führt Trojan.Hosts.6815 (2,53% von der Gesamtzahl infizierter PCs) das Malware-Ranking dieses Monats an. Ihm folgt Trojan.Mods.1, der Web-Inhalte unterschiebt. Im Laufe des Monats wurden durch Dr.Web CureIt! 15 830 Exemplare dieses Trojaners entdeckt. Die Zahl von Infizierungsfälle durch Trojan.Mayachok bleibt weiter hoch. BackDoor.IRC.NgrBot.42 sowie weitere Varianten von Trojan.Redirect sind ziemlich oft anzutreffen. Nachfolgend finden Sie die Top 20 Malware für den Monat Mai.
| Name | % |
|---|---|
| Trojan.Hosts.6815 | 2.55 |
| Trojan.Mods.1 | 2.01 |
| Trojan.MayachokMEM.7 | 1.50 |
| BackDoor.IRC.NgrBot.42 | 1.41 |
| Trojan.Redirect.147 | 1.36 |
| Trojan.Redirect.140 | 1.35 |
| Trojan.Hosts.6838 | 1.22 |
| Trojan.Mods.2 | 1.01 |
| Trojan.Packed.24079 | 0.97 |
| Trojan.DownLoader8.48947 | 0.85 |
| Trojan.Zekos | 0.85 |
| Trojan.PWS.Stealer.1932 | 0.74 |
| Win32.HLLP.Neshta | 0.71 |
| BackDoor.Gurl.2 | 0.69 |
| Trojan.Hosts.6708 | 0.59 |
| Trojan.SMSSend.2363 | 0.51 |
| Trojan.Packed.142 | 0.49 |
| Trojan.Packed.142 | 0.44 |
| Trojan.Packed.142 | 0.42 |
| Trojan.DownLoader9.19157 | 0.41 |
Botnets
Die Sicherheitsspezialisten von Doctor Web haben vor kurzem zwei Subnets des Rment-Botnets, das auf Win32.Rmnet.12 basiert, unter Kontrolle gebracht. Im Mai 2013 lag die Zahl aktiver Bots im ersten Subnet bei 619 346, im zweiten – bei 459 524. In den letzten Tagen sind weitere 116 617 infizierte PCs dazugekommen, im zweiten Subnet — 143 554. Nachfolgend können Sie die Wachstumsdynamik des Botnets vom 19. bis zum 29. Mai verfolgen:
Anfang April wurde von unseren Sicherheitsexperten ein Verwaltungsserver von BackDoor.Bulknet.739 entdeckt. Dieser Trojaner ist für den Massenversand von Spam-Mails konzipiert und ist in Italien, Frankreich, der Türkei, den USA, Mexiko und Thailand am meisten verbreitet. Die Wachstumsdynamik des Bots können Sie der Graphik unten entnehmen.
Ende Mai wurde ein weiterer Verwaltungsserver des Botnets Rmnet entdeckt. In diesem Subnet wurden böswillige Programmmodule verbreitet, die später in die Virendatenbank von Doctor Web als Komponenten von Trojan.Rmnet.19 eingetragen wurde. Eine von ihnen soll nach virtuellen Betriebssystemen suchen. Und die andere soll Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender und AVG deaktivieren. Dafür emuliert das Modul Aktionen eines Benutzers. Die Wachstumsdynamik dieses Botnets können Sie nachfolgend beobachten.
Detaillierte Informationen zu dieser böswilligen Software finden Sie hier.
Das Botnet BackDoor.Dande bleibt weiter am Leben und infiziert PCs von Apotheken und Pharmaunternehmen, wo Software für die Bestellung von Pharmaprodukten installiert ist. Der Trojaner soll vor allem Daten aus diesen Anwendungen entwenden. Es gibt zur Zeit 331 im ersten Subnet und 1291 im zweiten Subnet durch BackDoor.Dande infizierte PCs.
Das Botnet BackDoor.Flashback.39 , das Apple-kompatible PCs eingebunden hat, existiert bis heute noch und besteht zur Zeit aus 65 987 infizierte Macs.
Die Sicherheitsexperten von Doctor Web konnten vor kurzem durch die sinkhole-Methode einen weiteren Verwaltungsserver von Linux.Sshdkit entdecken. Der Trojaner lädt die von angegriffenen Servern gestohlenen Benutzerdaten herunter und leitet diese weiter. Im Mai 2013 hat der Trojaner Benutzerdaten für 562 infizierte Linux-Server entwendet. Darunter sind auch Server großer Hostinganbieter.
Trojaner des Monats: Trojan.Facebook.311
Die Benutzer von sozialen Netzwerken gehören zu einer der beliebtesten Zielgruppen von Cyber-Kriminellen. Mitte Mai wurde die massive Verbreitung von Trojan.Facebook.311, der sich als Einstellungs-Plug-ins für Google Chrome und Mozilla Firefox maskiert, entdeckt. Diese Plug-ins wurden über eine spezielle Webseite verbreitet, über die alle Benutzer aufgefordert wurden, ein Sicherheits-Update herunterzuladen und zu installieren.
Nachdem der Trojaner Trojan.Facebook.311 installiert und gestartet wurde, versucht er, eine Konfigurationsdatei mit notwendigen Befehlen herunterzuladen. Nachdem sich das Opfer angemeldet hat, führt der Trojaner im Namen des Benutzers verschiedene Aktionen durch. Der Schädling bringt alle Funktionen mit, um nicht nur bei Facebook, sondern auch bei Twitter und Google Plus eingesetzt zu werden.
Angriffe gegen Skype-Benutzer
Am 23. Mai ging eine Spam-Well über Skype-Benutzer. Die Übeltäter verbreiteten Malware über den Skype-Chat. Die Meldungen mit einem böswilligen Link waren oft von Benutzern aus der Kontaktliste des Opfers. Nachdem man auf den vorgeschobenen Link geklickt hat, wurde man auf 4shared.com oder dropbox.com mit Trojan.Gapz.17 weitergeleitet. Anschließend sollte auf den infizierten PC Trojan.SkypeSpam.11 heruntergeladen werden. Dieser Trojaner verschickt Meldungen an Kontakte aus der Kontaktliste von Skype, Windows Messenger, QIP, Google Talk und Digsby.
Die Signatur für Trojan.SkypeSpam.11 wurde in die Dr.Web Virendatenbank am 22. Mai eingetragen.
Sicherheitsbedrohungen für Android
Im Monat Mai sind mehrere Exemplare von Spyware für Android aufgetaucht.
So ist z.B. Android.Pincer.2.origin, der Mitte Mai entdeckt wurde, ein gefährlicher Trojaner, der SMS-Nachrichten abfangen und Remote-Server weiterleiten soll. Der Autor von Android.Pincer.2.origin hat die Malware mit Funktionen ausgerüstet, die das Verfolgen von SMS von bestimmten Telefonnummern ermöglichen. Der durch das Sicherheitszertifikat verbreitete Schädling ist gefährlich, vor allem wenn es um das Online-Banking geht. Weitere Informationen zu diesem böswilligen Programm finden Sie hier.
Malware im E-Mail-Traffic
| 01.05.2013 00:00 - 30.05.2013 18:00 | ||
| 1 | Trojan.PWS.Panda.3734 | 1.49% |
| 2 | Trojan.PWS.Panda.4379 | 1.20% |
| 3 | Trojan.Oficla.zip | 0.90% |
| 4 | Trojan.Packed.196 | 0.80% |
| 5 | Trojan.Inject2.23 | 0.75% |
| 6 | Win32.HLLM.MyDoom.54464 | 0.63% |
| 7 | Trojan.DownLoader9.17531 | 0.58% |
| 8 | Trojan.PWS.Stealer.2877 | 0.54% |
| 9 | Trojan.PWS.Panda.655 | 0.54% |
| 10 | Trojan.PWS.Stealer.946 | 0.53% |
| 11 | Trojan.Packed.666 | 0.53% |
| 12 | Exploit.CVE2012-0158.28 | 0.49% |
| 13 | Trojan.PWS.Stealer.2833 | 0.46% |
| 14 | Win32.HLLM.MyDoom.33808 | 0.44% |
| 15 | Trojan.PWS.Stealer.2824 | 0.39% |
| 16 | Trojan.PWS.Stealer.2861 | 0.39% |
| 17 | Trojan.PWS.Stealer.2864 | 0.37% |
| 18 | Exploit.CVE2012-0158.27 | 0.34% |
| 19 | BackDoor.IRC.NgrBot.42 | 0.34% |
| 20 | VBS.Rmnet.2 | 0.32% |
Malware auf PCs der Anwender
| 01.05.2013 00:00 - 30.05.2013 18:00 | ||
| 1 | SCRIPT.Virus | 0.71% |
| 2 | Adware.Downware.915 | 0.71% |
| 3 | Tool.Unwanted.JS.SMSFraud.26 | 0.50% |
| 4 | Win32.HLLW.MyBot | 0.48% |
| 5 | Adware.InstallCore.115 | 0.47% |
| 6 | Adware.Downware.179 | 0.45% |
| 7 | Adware.InstallCore.114 | 0.45% |
| 8 | Adware.Downware.1157 | 0.44% |
| 9 | Adware.InstallCore.101 | 0.36% |
| 10 | Tool.Unwanted.JS.SMSFraud.29 | 0.33% |
| 11 | Adware.Webalta.11 | 0.33% |
| 12 | Adware.Downware.1132 | 0.32% |
| 13 | Tool.Unwanted.JS.SMSFraud.10 | 0.31% |
| 14 | Trojan.Hosts.6708 | 0.30% |
| 15 | BackDoor.IRC.NgrBot.42 | 0.28% |
| 16 | Trojan.DownLoader9.19157 | 0.28% |
| 17 | Tool.Skymonk.11 | 0.28% |
| 18 | Trojan.Hosts.6838 | 0.28% |
| 19 | Win32.HLLW.Shadow | 0.27% |
| 20 | Win32.HLLW.Autoruner.59834 | 0.26% |
Bewerten
Teilen/Liken
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare