Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Rückblick und Analyse der Bedrohungen im Monat September

5. Oktober 2009

Der Sicherheitsspezilist Doctor Web präsentiert den Sicherheitsreport für den September 2009. Der vergangene Monat war durch die hohe Aktivität von Trojan.Encoder, neue falsche Antiviren-Software und ausgeklügelte Hack-Methoden gekennzeichnet.

Korrektor startete eine neue Welle von Trojan.Encoder

Am 28. September 2009 teilte Doctor Web über die stark gestiegene Anzahl von Trojan.Encoder Opfern mit. Der Trojaner verschlüsselt Daten auf PCs der Anwender und fordert für den Entschlüsselungscode Lösegeld. Dutzende von Anwendern gingen in die Falle und forderten deswegen Hilfestellung der Doctor Web Spezialisten an, um ihr System wiederherzustellen.

Nach der Veröffentlichung dieser Nachricht sind drei neue Varianten von Trojan.Encoder (43, 44 und 45) aufgetaucht. Sie unterscheiden sich voneinander durch einen neuen Verschlüsselungscode und neue Kontaktdaten des Übeltäters. Die Sicherheitsexperten von Doctor Web haben auf diese Bedrohung schnell reagiert und ein Tool für die Entschlüsselung der infizierten Dateien entwickelt. Das Interesse erweckt dabei eine frische Variante von Trojan.Encoder, die die Erweiterung .DrWeb zu verschlüsselten Dateien hinzufügt. Der Autor von Trojan.Encoder will nun den Anwendern mit unserer Handelsmarke schaden.

Die Spezialisten von Doctor Web verfügen über die Internetadresse des Übeltäters, der sich mit Doctor Web assoziiert. Doctor Web hat zur Website des Übeltäters und seinen Aktivitäten kein Verhältnis. Auf solche Weise versucht der Cyber-Erpresser das IT-Security-Unternehmen zu kompromittieren.

Der Cyber-Kriminelle stellt sich positiv dar, indem er den zu Schaden gekommenen Anwendern Hilfe bietet. Auf seiner Website wird ein Videospot gezeigt, wie das Entschlüsselungstool funktioniert.

Nach unseren Angaben hat der Bösewicht keine Komplizen und agiert allein.

Nicht jedes Antivirenprogramm ist nützlich

Falsche Antiviren-Software behelligt Anwender auf der ganzen Welt. Um den Anwender solche Malware herunterladen zu lassen, werden verschiedene ausgeklügelte Tricks von speziellen Internet-Inhalten bis hin zu Spam-Mails verwendet.

Ende September verbreitete sich Trojan.Fakealert.5115. Am 27. September erreichte die Epidemie ihren Höhepunkt. Auf den Servern von Doctor Web wurden über 800 000 Exemplare detektiert.

Nach dem Starten von Trojan.Fakealert.5115 erscheint im Windows-Taskbereich die Meldung, dass das System infiziert ist. Anschließend empfiehlt es sich, entsprechende Software zu benutzen, um den Datenverlust zu vermeiden. Windows lädt diese Software automatisch. Dafür soll man zuerst auf diese Meldung klicken.

Danach werden weitere Komponenten von Trojan.Fakealert.5115 geladen. Diese werden von Dr.Web als Trojan.Fakealert.4709 und Trojan.Fakealert.5112 detektiert. Trojan.Fakealert.5115 nennt sich Antivirus Pro 2010.

Es sind auch weitere Varianten des Schädlings aufgetaucht und zwar Trojan.Fakealert.5229 und Trojan.Fakealert.5238. Das Betriebssystem wird bei Trojan.Fakealert.5229 neu gestartet.

Trojan.Fakealert.5238 verfügt über das gefälschte Fenster des Windows Security Centers. In diesem Fenster wird auch angegeben, dass Ihr PC mit Antivirus Pro 2010 geschützt ist. Man muss aber eine Lizenz kaufen.

Beim Anklicken des Buttons wird man zur Website weitergeleitet, wo die Attrappe erworben werden kann. Und diese ist alles andere als billig.

Mit falscher Antiviren-Software verdienen die Übeltäter schon mehrere Jahre gutes Geld. Die Verbreitung von Malware hat aber im letzten Monat zugenommen.

Wer will das soziale Netzwerk hacken?

Ein Virenschreiber veröffentlichte vermeintliche Hack-Methoden für Benutzerkonten des russischen sozialen Netzwerks Vkontakte.ru und kontaktierte potenzielle Opfer, die in die Falle gehen sollten. Der Übeltäter erhielt die Möglichkeit, persönliche Daten der Benutzer zu editieren und dabei ihr eigenes Profil zu schützen.

Dafür empfiehlt er den Benutzern, die Hosts-Datei selbst zu modifizieren.

Im Endeffekt geht der Benutzer leer aus. Dem Opfer wird auch suggeriert, dass mit einem Programmdownload alle nötigen Einstellungen automatisch vorgenommen werden. Dieses Programm wird von Dr.Web als Trojan.DownLoad.47503 detektiert.

Hunderte von Anwendern wollten die Rolle eines Hackers spielen. Die Malware hat sich deshalb schnell verbreitet. Ihren Höhepunkt erreichte die Epidemie am 28. September.

Trojan.Winlock kommt wieder. Nun über ICQ und mit Pinch

Die letzte Woche des Septembers war durch den massiven Versand von Trojan.Winlock - 252 und Trojan.PWS.LDPinch.1941 – via ICQ gekennzeichnet.

Der Anwender erhielt die Nachricht, wo er sich unter einem Link das Foto seines Freundes ansehen konnte.

Beim Laden der Webseite wird die Datei lock.ex heruntergeladen. Diese Datei ist mit Virenpackern gepackt. Im Endeffekt speichert der Schädling auf dem PC des Anwenders vier Dateien: explorerr.ex, svcoost.ex, 43.jpg und 154.bat.

Explorerr.ex wird von Dr.Web als Trojan.PWS.LDPinch.4308 detektiert. Die Malware ist mit + FSG gepackt. Das entpackte Objekt wird als Trojan.PWS.LDPinch.1941 detektiert. Und Svcoost.ex erweist sich als Trojan.Winlock.252.

Dass sich Trojan.Winlock nun mit Pinch verbreitet, vergrößert die Gefahr. Wegen dieses Schädlings wird das System blockiert. Darüber hinaus werden alle auf dem PC gefundenen Passwörter geklaut.

E-Mail-Viren geben nicht auf

Trojan.DownLoad.47256 ist zur Zeit ein Tabellenführer im E-Mail-Verkehr. Von diesem Schädling haben wir am 22. September berichtet. Der Höhepunkt der Epidemie ist jetzt vorbei. Der Statistikserver detektiert aber alle 24 Stunden weitere Hunderttausende Exemplare von Trojan.DownLoad.47256.

Trojan.Packed.2915 will auch nicht nachgeben. Dieser Bösewicht wechselte Trojan.Botnetlog.11 aus (Informationen zu diesem Schädling finden Sie im August-Review von Doctor Web). Trojan.Packed.2915 verbreitet sich per E-Mails, die laut seinen Angaben DHL gehören sollen.

Wie zuvor verwendeten die Cyber-Kriminellen bei jedem neuen Versand eine weitere Variante des Trojaners. Die Antiviren-Spezialisten haben eine Signatur für Trojan.Packed.2915 erstellt, mit der alle, auch zukünftige Varianten des Schädlings detektiert werden können.

Der Höhepunkt der Trojan.Packed.2915 Epidemie war am 25.September. Zur Zeit nähert sich die Epidemie ihrem Ende entgegen. Es werden aber Zehntausende von Exemplaren noch detektiert.

Wegen massiver Verbreitung von Malware, die auf das Geld der Anwender abgesehen hat, empfiehlt es sich, den Kontakt zu Cyber-Erpressern zu unterbinden und keine SMS-Nachrichten zu versenden. Die Spezialisten von Doctor Web bieten umfassende Hilfestellung, wenn Anwender Ihre Daten wegen dieses Trojaners verloren haben und das System wiederherstellen möchten. Da Viren per E-Mail aktiv verbreitet werden, empfiehlt es sich, Anhänge von unbekannten Absendern nicht zu öffnen. Die Verwendung von oben beschriebenen Hackertricks kann dem System einen ernsthaften Schaden zufügen und wird strafrechtlich verfolgt.

Malware im E-Mail-Verkehr

 01.09.2009 00:00 - 01.10.2009 00:00  
1 Trojan.DownLoad.47256 4208589 (61.34%)
2 Trojan.Fakealert.5115 927637 (13.52%)
3 Trojan.Packed.2915 514717 (7.50%)
4 Trojan.DownLoad.5637 181751 (2.65%)
5 Win32.HLLM.MyDoom.33808 170029 (2.48%)
6 Win32.HLLM.Beagle 146890 (2.14%)
7 Trojan.Packed.2788 113316 (1.65%)
8 Win32.HLLM.Netsky.35328 84013 (1.22%)
9 Win32.HLLM.Netsky.based 70553 (1.03%)
10 Trojan.Botnetlog.11 67909 (0.99%)
11 W97M.Godzilla 61111 (0.89%)
12 Win32.HLLM.MyDoom.54464 50964 (0.74%)
13 Trojan.MulDrop.19648 36837 (0.54%)
14 Win32.HLLM.Perf 32354 (0.47%)
15 Win32.Sector.28480 30066 (0.44%)
16 Win32.HLLM.MyDoom.based 24638 (0.36%)
17 Trojan.Fakealert.5229 15730 (0.23%)
18 Win32.HLLM.Netsky 12506 (0.18%)
19 BackDoor.Gladrac 10804 (0.16%)
20 Trojan.DownLoad.16849 9195 (0.13%)
Insgesamt geprüft:12,475,886,574
Infiziert:6,861,469 (0.05%)

Malware auf PCs der Anwender

 01.09.2009 00:00 - 01.10.2009 00:00  
1 Trojan.DownLoad.47256 7851901 (36.17%)
2 Trojan.Fakealert.5115 1709557 (7.87%)
3 Win32.HLLW.Gavir.ini 1091500 (5.03%)
4 Win32.HLLW.Shadow.based 552387 (2.54%)
5 Win32.Alman.1 453996 (2.09%)
6 Win32.HLLM.Beagle 399883 (1.84%)
7 JS.Nimda 381940 (1.76%)
8 Trojan.DownLoad.5637 366191 (1.69%)
9 DDoS.Kardraw 338885 (1.56%)
10 Trojan.Recycle 332882 (1.53%)
11 Win32.HLLM.Netsky.35328 306700 (1.41%)
12 VBS.Sifil 296165 (1.36%)
13 Win32.Sector.17 275083 (1.27%)
14 Win32.HLLW.Autoruner.5555 273128 (1.26%)
15 Trojan.AuxSpy.4 234102 (1.08%)
16 Trojan.MulDrop.16727 212213 (0.98%)
17 Win32.HLLW.Texmer.43 207238 (0.95%)
18 Trojan.Packed.2788 194328 (0.90%)
19 Win32.Virut.14 193677 (0.89%)
20 Win32.HLLM.Netsky.based 179267 (0.83%)
Insgesamt geprüft:845,578,747,316
Infiziert:21,708,714 (0.00%)

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden