Hanau, 2. Juli 2013

Der Monat Juni verzeichnete keinen Rückgang bei Malware. Die Virenanalysten von Doctor Web haben einen neuen gefährlichen Trojaner entdeckt, der Server unter Linux bedrohte. Mitte Juni entstand eine weitere Welle von Trojan.Encoder. Darüber hinaus wurden mehrere Schädlinge für mobile Endgeräte ausfindig gemacht.

Allgemeine Sicherheitslage

Statistiken, die im Juni 2013 durch Dr.Web CureIt! gesammelt wurden, belegen, dass Trojan.Mods.2 einer der meist verbreiteten Trojaner ist. 3,97% aller infizierten Rechner entfallen auf Trojan.Mods.2. Dieser Trojaner leitet den Benutzer auf böswillige Webseiten um, wo er aufgefordert wird, seine Telefonnummer einzugeben und einen Bestätigungscode abzuschicken. So soll regelmäßig vom Konto des Benutzers ein bestimmter Betrag abgebucht werden.

Dem Trojan.Mods.2 folgt Trojan.Mods.1 mit 1,45%, Trojan.Hosts.6815 (2,94%) und Trojan.DownLoader9.19157 (1,92%). Nachfolgend finden Sie die meist verbreiteten Bedrohungen für den Monat Juni:

Botnets

Im diesem Monat ist auch eine neue Version des Botnets Linux.Sshdkit aufgetaucht. Nach Informationen vom 27. Juni sind im Botnet nur 42 Bots aktiv. Im Laufe der letzten 30 Tage wurden nur acht Infizierungsfälle bei Servern unter Linux gefunden.

Gleichzeitig wächst die Infizierungswelle durch Win32.Rmnet.12. In einem der Subnetzwerke von Win32.Rmnet.12 sind 459 192 Bots aktiv, im anderen — 613 135. Das Wachstum des Botnets ist wie folgt abgebildet:

Im Botnet Win32.Rmnet.16 sind derzeit 4 674 aktive Bots (im vergangenen Monat - 5 220) eingebunden. Im Laufe des letzten Monats sind 293 infizierte Rechner dazugekommen. Die Anzahl von Workstations, die durch Win32.Rmnet.19 infiziert wurden ist auch zurückgegangen. Ausführliche Statistiken sind wie folgt abgebildet:

Das Botnet von BackDoor.Bulknet.739 ist leicht geschrumpft. Die Sicherheitsanalysten von Doctor Web konnten einen Verwaltungsserver dieses Botnets abfangen. Im Juni waren es noch 16 024 aktive Bots im Botnet eingebunden. Die Wachstumsdynamik des Botnets finden Sie hier:

Das Botnet von BackDoor.Dande verfügt derzeit über 1 209 infizierte Rechner.

Das Botnet von BackDoor.Flashback.39 für Rechner unter Mac OS X verfügt zur Zeit über 62069 infizierte Macs.

Bedrohung des Monats

Im Juni ist eine neue Variante von Linux.Sshdkit aufgetaucht. Die aktualisierte Version der Bedrohung wird als Linux.Sshdkit.6 bezeichnet. In dieser Version von Linux.Sshdkit konnten die Übeltäter einige Neuheiten einführen, die die Übertragung von gestohlenen Daten sicherer machen sollen. Nachfolgend ist der Algorithmus für die Generierung von Serveradressen dargestellt.

Neue Encoder-Welle

Die Verschlüsselungstrojaner sorgten für mehr Kopfschmerzen. Rund 2 800 Anfragen sind beim technischen Support von Doctor Web eingegangen. Im Juni gab es etwa 700 Support-Anfragen wegen der Verschlüsselung durch Trojan.Encoder.94 und Trojan.Encoder.225. Meistens werden sie per E-Mail verbreitet. Trojan.Encoder.225 kann ins Betriebssystem durch eine E-Mail mit einem RTF-Anhang (oder .doc) eindringen, indem er die Sicherheitslücke von Microsoft Office ausnutzt. Trojan.Encoder.94 wird auf den PC des Opfers durch den BackDoor.Poison heruntergeladen.

Bedrohungen für mobile Endgeräte

Der Monat Juni zeigte, dass der Datendiebstahl, u.a. Diebstahl von Benutzerkonten, SMS-Nachrichten und Anrufprotokollen besonders aktuell ist. Dafür verwenden die Übeltäter spezielle Software und bieten sogar kostenpflichtige Anwendungen an.

Hohe Wellen schlug Android.Tempur.1.origin, das südkoreanische Benutzer von Android um ihre Bankdaten, SMS-Nachrichten und Anrufprotokolle bringen sollte. Dieser Trojaner wurde in das Programm integriert, das von Dr.Web als Android.MulDrop.8.origin bezeichnet wurde. Der Trojaner ist vor allem dadurch interessant, dass er bei der Installation Online-Banking-Anwendungen des Benutzers unterschob bzw. deren Benutzeroberfläche imitierte und an einen Fernserver Daten über SMS, Anrufe des Benutzers weiterleitete.

Weitere Informationen zu Android.Tempur.1.origin finden Sie hier.

Unter gefunden Spyware-Exemplaren sind vor allem folgende hervorzuheben: Android.MobileSpy und Android.SpyBubble, die neue Familie von Program.Highster, Program.Stealthgenie und Program.Ownspy, die für BlackBerry und iOS gedacht sind. Es sei erwähnt, das für die Funktion von Program.Ownspy und ähnliche Anwendungen das Aktivieren der Option jailbreak erforderlich ist. Die Anzahl der eingebrochenen Betriebssysteme iOS ist trotzdem ziemlich hoch.

Die Trojaner von Android.SmsSend, die SMS an Premium-Telefonnummern der Benutzer schicken, sorgen weiter für Beunruhigung. Im Laufe des Monats wurde die Virendatenbank von Dr.Web um weitere neue Exemplare erweitert, z.B. Android.SmsSend.465.origin der sich durch Werbe-Mails verbreitete.

Beim Aufrufen dieser Website unter Android wurde ein Banner geladen, der den Benutzer aufforderte, ein beliebtes Spiel zu installieren. Weitere Informationen zu diesem Schädling finden Sie hier.

Malware im E-Mail-Traffic

Malware auf PCs der Benutzer