5. Oktober 2009

Der Sicherheitsspezilist Doctor Web präsentiert den Sicherheitsreport für den September 2009. Der vergangene Monat war durch die hohe Aktivität von Trojan.Encoder, neue falsche Antiviren-Software und ausgeklügelte Hack-Methoden gekennzeichnet.

Korrektor startete eine neue Welle von Trojan.Encoder

Am 28. September 2009 teilte Doctor Web über die stark gestiegene Anzahl von Trojan.Encoder Opfern mit. Der Trojaner verschlüsselt Daten auf PCs der Anwender und fordert für den Entschlüsselungscode Lösegeld. Dutzende von Anwendern gingen in die Falle und forderten deswegen Hilfestellung der Doctor Web Spezialisten an, um ihr System wiederherzustellen.

Nach der Veröffentlichung dieser Nachricht sind drei neue Varianten von Trojan.Encoder (43, 44 und 45) aufgetaucht. Sie unterscheiden sich voneinander durch einen neuen Verschlüsselungscode und neue Kontaktdaten des Übeltäters. Die Sicherheitsexperten von Doctor Web haben auf diese Bedrohung schnell reagiert und ein Tool für die Entschlüsselung der infizierten Dateien entwickelt. Das Interesse erweckt dabei eine frische Variante von Trojan.Encoder, die die Erweiterung .DrWeb zu verschlüsselten Dateien hinzufügt. Der Autor von Trojan.Encoder will nun den Anwendern mit unserer Handelsmarke schaden.

Die Spezialisten von Doctor Web verfügen über die Internetadresse des Übeltäters, der sich mit Doctor Web assoziiert. Doctor Web hat zur Website des Übeltäters und seinen Aktivitäten kein Verhältnis. Auf solche Weise versucht der Cyber-Erpresser das IT-Security-Unternehmen zu kompromittieren.

Der Cyber-Kriminelle stellt sich positiv dar, indem er den zu Schaden gekommenen Anwendern Hilfe bietet. Auf seiner Website wird ein Videospot gezeigt, wie das Entschlüsselungstool funktioniert.

Nach unseren Angaben hat der Bösewicht keine Komplizen und agiert allein.

Nicht jedes Antivirenprogramm ist nützlich

Falsche Antiviren-Software behelligt Anwender auf der ganzen Welt. Um den Anwender solche Malware herunterladen zu lassen, werden verschiedene ausgeklügelte Tricks von speziellen Internet-Inhalten bis hin zu Spam-Mails verwendet.

Ende September verbreitete sich Trojan.Fakealert.5115. Am 27. September erreichte die Epidemie ihren Höhepunkt. Auf den Servern von Doctor Web wurden über 800 000 Exemplare detektiert.

Nach dem Starten von Trojan.Fakealert.5115 erscheint im Windows-Taskbereich die Meldung, dass das System infiziert ist. Anschließend empfiehlt es sich, entsprechende Software zu benutzen, um den Datenverlust zu vermeiden. Windows lädt diese Software automatisch. Dafür soll man zuerst auf diese Meldung klicken.

Danach werden weitere Komponenten von Trojan.Fakealert.5115 geladen. Diese werden von Dr.Web als Trojan.Fakealert.4709 und Trojan.Fakealert.5112 detektiert. Trojan.Fakealert.5115 nennt sich Antivirus Pro 2010.

Es sind auch weitere Varianten des Schädlings aufgetaucht und zwar Trojan.Fakealert.5229 und Trojan.Fakealert.5238. Das Betriebssystem wird bei Trojan.Fakealert.5229 neu gestartet.

Trojan.Fakealert.5238 verfügt über das gefälschte Fenster des Windows Security Centers. In diesem Fenster wird auch angegeben, dass Ihr PC mit Antivirus Pro 2010 geschützt ist. Man muss aber eine Lizenz kaufen.

Beim Anklicken des Buttons wird man zur Website weitergeleitet, wo die Attrappe erworben werden kann. Und diese ist alles andere als billig.

Mit falscher Antiviren-Software verdienen die Übeltäter schon mehrere Jahre gutes Geld. Die Verbreitung von Malware hat aber im letzten Monat zugenommen.

Wer will das soziale Netzwerk hacken?

Ein Virenschreiber veröffentlichte vermeintliche Hack-Methoden für Benutzerkonten des russischen sozialen Netzwerks Vkontakte.ru und kontaktierte potenzielle Opfer, die in die Falle gehen sollten. Der Übeltäter erhielt die Möglichkeit, persönliche Daten der Benutzer zu editieren und dabei ihr eigenes Profil zu schützen.

Dafür empfiehlt er den Benutzern, die Hosts-Datei selbst zu modifizieren.

Im Endeffekt geht der Benutzer leer aus. Dem Opfer wird auch suggeriert, dass mit einem Programmdownload alle nötigen Einstellungen automatisch vorgenommen werden. Dieses Programm wird von Dr.Web als Trojan.DownLoad.47503 detektiert.

Hunderte von Anwendern wollten die Rolle eines Hackers spielen. Die Malware hat sich deshalb schnell verbreitet. Ihren Höhepunkt erreichte die Epidemie am 28. September.

Trojan.Winlock kommt wieder. Nun über ICQ und mit Pinch

Die letzte Woche des Septembers war durch den massiven Versand von Trojan.Winlock - 252 und Trojan.PWS.LDPinch.1941 – via ICQ gekennzeichnet.

Der Anwender erhielt die Nachricht, wo er sich unter einem Link das Foto seines Freundes ansehen konnte.

Beim Laden der Webseite wird die Datei lock.ex heruntergeladen. Diese Datei ist mit Virenpackern gepackt. Im Endeffekt speichert der Schädling auf dem PC des Anwenders vier Dateien: explorerr.ex, svcoost.ex, 43.jpg und 154.bat.

Explorerr.ex wird von Dr.Web als Trojan.PWS.LDPinch.4308 detektiert. Die Malware ist mit + FSG gepackt. Das entpackte Objekt wird als Trojan.PWS.LDPinch.1941 detektiert. Und Svcoost.ex erweist sich als Trojan.Winlock.252.

Dass sich Trojan.Winlock nun mit Pinch verbreitet, vergrößert die Gefahr. Wegen dieses Schädlings wird das System blockiert. Darüber hinaus werden alle auf dem PC gefundenen Passwörter geklaut.

E-Mail-Viren geben nicht auf

Trojan.DownLoad.47256 ist zur Zeit ein Tabellenführer im E-Mail-Verkehr. Von diesem Schädling haben wir am 22. September berichtet. Der Höhepunkt der Epidemie ist jetzt vorbei. Der Statistikserver detektiert aber alle 24 Stunden weitere Hunderttausende Exemplare von Trojan.DownLoad.47256.

Trojan.Packed.2915 will auch nicht nachgeben. Dieser Bösewicht wechselte Trojan.Botnetlog.11 aus (Informationen zu diesem Schädling finden Sie im August-Review von Doctor Web). Trojan.Packed.2915 verbreitet sich per E-Mails, die laut seinen Angaben DHL gehören sollen.

Wie zuvor verwendeten die Cyber-Kriminellen bei jedem neuen Versand eine weitere Variante des Trojaners. Die Antiviren-Spezialisten haben eine Signatur für Trojan.Packed.2915 erstellt, mit der alle, auch zukünftige Varianten des Schädlings detektiert werden können.

Der Höhepunkt der Trojan.Packed.2915 Epidemie war am 25.September. Zur Zeit nähert sich die Epidemie ihrem Ende entgegen. Es werden aber Zehntausende von Exemplaren noch detektiert.

Wegen massiver Verbreitung von Malware, die auf das Geld der Anwender abgesehen hat, empfiehlt es sich, den Kontakt zu Cyber-Erpressern zu unterbinden und keine SMS-Nachrichten zu versenden. Die Spezialisten von Doctor Web bieten umfassende Hilfestellung, wenn Anwender Ihre Daten wegen dieses Trojaners verloren haben und das System wiederherstellen möchten. Da Viren per E-Mail aktiv verbreitet werden, empfiehlt es sich, Anhänge von unbekannten Absendern nicht zu öffnen. Die Verwendung von oben beschriebenen Hackertricks kann dem System einen ernsthaften Schaden zufügen und wird strafrechtlich verfolgt.

Malware im E-Mail-Verkehr

Malware auf PCs der Anwender