Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Rückblick und Analyse der Bedrohungen im Mai 2014

Hanau, 5. Juni 2014

Die Sicherheitsanalysten von Doctor Web entdeckten im Mai eine rekordverdächtige Menge böswilliger Software, die das Betriebssystem Linux infiziert. Außerdem erzielten sie bei der Analyse des komplexen Datei-Virus Win32.Sector weitere Fortschritte. Schließlich wurden vielfältige Trojaner für Google Android entdeckt, u.a. der erste Encoder.

Sicherheitslage

Laut der Statistiken, die von Dr.Web CureIt! gesammelt wurden, trat Trojan.Packed.24524 im Mai am häufigsten unter den unerwünschten und verdächtigen Anwendungen auf. Ihm folgt Trojan.BPlug.48, der Werbung im Browser anzeigt. Platz 3 belegt der Werbe-Trojaner Trojan.InstallMonster.51. Die Top 20 der Schädlinge im Mai finden Sie in der nachfolgenden Tabelle:

NameAnzahl%
Trojan.Packed.24524798006.15
Trojan.BPlug.48402243.10
Trojan.InstallMonster.51369902.85
Trojan.BPlug.28345872.67
Trojan.BPlug.47293472.26
Trojan.Runner.27281042.17
Trojan.BPlug.35254941.97
Trojan.BPlug.17242561.87
Trojan.Popupads.15145961.13
Trojan.DownLoader11.3101139401.07
Trojan.Packed.25266123220.95
Trojan.LoadMoney.1118110.91
Trojan.MulDrop5.10078115610.89
Trojan.Ormes.2112800.87
Trojan.Triosir.1109800.85
Trojan.BPlug.46106710.82
Trojan.LoadMoney.262104120.80
Trojan.InstallMonster.61100260.77
Trojan.LoadMoney.1597200.75
BackDoor.Maxplus.2485020.66

Botnets

Das Botnet, welches vom Datei-Virus Win32.Rmnet.12 aufgebaut wurde, besteht immer noch. In einem seiner Unter-Botnets sind täglich ca. 165.000 infizierte Rechner aktiv. Dies entspricht den Statistiken des vorigen Monats:

Botnet Win32.Rmnet.12 im Mai 2014 (1.Sub-Botnet)

In einem weiteren Unter-Botnet, das von Win32.Rmnet.12 unterhalten wird, wurden durchschnittlich sogar 250.000 aktive infizierte Rechner beobachtet.Auch das vom böswilligen Modul Trojan.Rmnet.19 unterhaltene Botnet ist weiter aktiv.

Botnet Trojan.Rmnet.19

Die Anzahl von Rechnern unter Mac OS X, die von BackDoor.Flashback.39 infiziert wurden, verringert sich gegen Ende Mai um 2.682 auf 15.623 infizierter Macs:

Botnet BackDoor.Flashback.39 im Mai

Im Mai 2014 haben die Sicherheitsanalysten von Doctor Web den Datei-Virus Win32.Sector analysiert. Der seit 2008 bekannte Schädling lädt sich aus einem P2P-Netzwerk und führt auf infizierten Rechnern verschiedene ausführbare Dateien aus. Er kann sich auch in gestartete Prozesse einnisten, mehrere Programme abbrechen und Zugang zu Entwickler-Websites blockieren. Der Schädling kann Dateien auf lokalen Datenträgern, Wechseldatenträgern sowie anderen zugänglichen Ordnern infizieren. Es gibt mehrere Varianten von Win32.Sector, die sich in Protokollen und Struktur unterscheiden. Durchschnittlich sind täglich ca. 60.000 infizierte Workstations im Botnet aktiv:

Botnet Win32.Sector

Die meisten durch Win32.Sector infizierten Rechner befinden sich in Taiwan, Ägypten und Indien.

Zur Zeit werden über Win32.Sector mehrere böswillige Programme verbreitet:

Ende Mai wurde im Botnet Win32.Sector ein neues Modul entdeckt, das für die Suche nach RDP-Ports (3389) an vordefinierten IP-Adressen gedacht ist. Dieses Modul wird unter dem Namen Trojan.RDPCheck geführt.

Linux in Gefahr

Im Mai haben die Sicherheitsspezialisten von Doctor Web eine rekordverdächtige Menge von Schädlingen für Linux entdeckt, die zumeist für DDoS-Angriffe gedacht sind: Linux.DDoS.3 ermöglicht DDoS-Angriffe auf vorgegebene Server per TCP Flooding, UDP Flooding oder ständige DNS-Anfragen, die möglichst große Antworten erzielen (DNS Amplification).

Eine Variante dieses Schädlings namens Linux.DDoS.22 ist für Linux-Installationsdateien (ARM-Prozessoren) gedacht. Dagegen infiziert Linux.DDoS.24 Server und Workstations, auf denen 32 bit-Versionen von Ubuntu und CentOS verwendet werden. Er wird im System unter dem Namen pktmake installiert und registriert sich in den Autostart-Einstellungen des Betriebssystems. Nach dem Starten sammelt der Trojaner Systemdaten des infizierten Rechners, u.a. Prozessor- und Hauptspeicherdaten, und leitet diese an einen Befehls-Server der Cyber-Kriminellen weiter. Das Hauptziel dieses Trojaners besteht in der Ausführung von DDoS-Attacken auf Anforderung eines Befehls-Servers.

Eine weitere Gruppe von Bedrohungen für Linux besteht aus den Trojanern Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 und Linux.DnsAmp.5 der Familie Linux.DnsAmp. Sie verwenden gleichzeitig zwei Befehls-Server und sind in der Lage, sowohl 32 bit- (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5) als auch 64 bit-Betriebssysteme (Linux.DnsAmp.2, Linux.DnsAmp.4) zu infizieren. Wie auch andere DDoS-Trojaner registrieren sich diese im Autostart, sammeln Daten zur Konfiguration des infizierten Rechners, leiten diese an einen Befehls-Server weiter und wartet auf dessen weitere Befehle.

Zuletzt verdient Linux.Mrblack, ein Schädling für ARM-kompatible Linux-Distributionsdateien besondere Erwähnung: Dieser Trojaner ist ebenfalls für DDoS-Angriffe per TCP/IP und HTTP gedacht. Er besitzt eine primitive Architektur und führt Anweisungen des Befehls-Servers aus.

Nach der Veröffentlichung von Informationen über Linux-Trojaner wurde eine weitere Trojaner-Familie, und zwar Linux.BackDoor.Gates in die Dr.Web-Virendatenbank aufgenommen. Diese Trojaner vereinen Funktionen eines DDoS-Bots mit denen einer klassischen Backdoor.

Encoder ist wieder da

Im Laufe des Monats Mai wandten sich über 560 Benutzer, die wegen verschiedener Encoder zu Schaden kamen, an den technischen Support von Doctor Web. Die Endgeräte von etwa 100 Anwendern wurden von Trojan.Encoder.293 angegriffen. Dieser Delphi-Trojaner verschlüsselt Dateien in zwei Schritten: durch einen XOR-Algorithmus und eine RSA-Technologie. Zu den Namen verschlüsselter Dateien fügt er die Erweiterungen Support@casinomtgox.com, ONE@AUSI.COM, two@AUSI.COM und three@ausi.com.

Die Sicherheitsanalysten von Doctor Web haben es geschafft, die durch Trojan.Encoder.293 verschlüsselten Dateien mit ziemlicher Sicherheit zu entschlüsseln. Wenn das Verschlüsselungs-Modul vorhanden ist, können alle Dateien entschlüsselt werden.

Bedrohungen für Android

Mobile Bedrohungen haben sich im Mai ebenfalls vermehrt. Ein neuer Schädling, der unter nun dem Namen Android.Locker.1.origin geführt wird, blockiert mobile Endgeräte und fordert für deren Entsperrung Geld von den Anwendern. Obwohl Android.Locker.1.origin in den meisten Fällen nur einen weißen Bildschirm anzeigt, ist seine Sperre ziemlich effektiv.

Falls Ihr Endgerät durch Android.Locker.1.origin infiziert wurde, empfehlen wir Ihnen, den sicheren Modus zu aktivieren und den Trojaner zu entfernen.

Android.Locker.2.origin agiert aggressiver. Er sucht und verschlüsselt durch einen AES-Algorithmus Benutzerdateien wie Fotos, Videos usw. und fordert Geld von Anwendern. für deren Entschlüsselung. So können Dateien mit Erweiterungen wie .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp beschädigt werden. Der Schädling ist faktisch der erste Encoder-Trojaner für das Betriebssystem Android.

Der Trojaner kann eine Verbindung mit einem Befehlsserver aufbauen und an diesen verschiedene Daten, u.a. die IMEI des Endgeräts, weiterleiten.

Mitte Mai ist Android.MMarketPay, der digitale Inhalte aus elektronischen chinesischen Katalogen bezahlt, aufgetaucht.

Android.MMarketPay.8.origin ist für den Kauf von Spielkarten gedacht und kann die Sicherheitsmaßnahmen von Providern, wie CAPTCHA und SMS-Bestätigung umgehen.

Chinesische Benutzer wurden auch mit dem Oldbot konfrontiert. Dessen Modifikation Android.Oldboot.4.origin war bereits auf vielen chinesischen Endgeräten installiert und zum verdeckten Herunterladen und zur Installation von weiteren Anwendungen gedacht.

Im Google Play Store fand sich auch eine böswillige Anwendung. Diese kann Anwendungen verwalten (u.a. Installation und Datensicherung), den Hauptspeicher leeren, und die Datenübertragung überwachen. Außer den oben erwähnten Funktionen kann die Anwendung aber auch einige verdeckte Aktionen durchführen, z.B. andere Anwendungen herunterladen und Kurznachrichten an kostenpflichtige Telefonnummern verschicken. Der Schädling wird nun unter dem Namen Android.Backdoor.81.origin. geführt. Weitere Infos dazu finden Sie hier.

Im Mai ging der Spam-Versand zur Verbreitung von Android-Trojanern unter südkoreanischen Anwendern weiter. Im Laufe des Monates wurden über 180 ähnliche Spam-Versande registriert, die u.a. mit Android.SmsBot.75.origin (33,69%), Android.Spy.40.origin (16,58%), Android.MulDrop.18.origin (16,04%), Android.Spy.64.origin (7,49%), Android.SmsSpy.82.origin (5,88%) und Android.Spy.45.origin (4,28%) verbunden waren.

Böswillige Dateien im E-Mail-Verkehr

 01.05.2014 00:00 - 31.05.2014 23:00 
1Trojan.DownLoad3.327840.84%
2Trojan.Fraudster.7780.64%
3Trojan.PWS.Panda.56760.57%
4Exploit.PDF.80110.56%
5Trojan.PWS.Panda.72780.56%
6Win32.HLLM.MyDoom.544640.50%
7Trojan.DownLoader11.86760.47%
8PDF.FakeLink.10.45%
9Trojan.DownLoad3.332160.45%
10Trojan.DownLoad3.281610.45%
11Trojan.DownLoad3.333540.45%
12Trojan.SkypeSpam.110.44%
13Exploit.CVE-2010-0188.90.42%
14Trojan.PWS.Panda.47950.42%
15Trojan.DownLoad3.334980.40%
16Trojan.Packed.267750.39%
17Win32.HLLM.MyDoom.338080.36%
18Trojan.Fraudster.5170.36%
19Trojan.PWS.Panda.24010.34%
20BackDoor.Comet.8840.30%

Böswillige Dateien auf Rechnern der Benutzer

 01.05.2014 00:00 - 31.05.2014 23:00 
1SCRIPT.Virus1.29%
2Trojan.Packed.245240.59%
3JS.Redirector.2280.53%
4Trojan.LoadMoney.2620.46%
5Tool.Unwanted.JS.SMSFraud.260.44%
6Trojan.InstallMonster.510.43%
7Trojan.MulDrop5.100780.40%
8Adware.Downware.20950.37%
9Adware.OpenCandy.40.37%
10Adware.Downware.1790.36%
11JS.IFrame.5660.34%
12Adware.Toolbar.2400.34%
13Tool.Skymonk.140.33%
14BackDoor.IRC.NgrBot.420.33%
15Adware.OpenCandy.30.33%
16Adware.NextLive.20.32%
17Trojan.InstallMonster.2090.31%
18Adware.Conduit.330.30%
19Trojan.InstallMonster.1460.29%
20Adware.Bandoo.130.29%

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports Live-Labor

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt