Frankfurt, 29. Oktober 2017
Im Oktober sorgte der neue Encoder Trojan.BadRabbit für Schlagzeilen. Dieser Trojaner begann sich am 24. Oktober zu verbreiten. Angegriffen wurden Nutzer in Russland und in der Ukraine.
Im Oktober analysierten die Virenanalysten von Doctor Web eine neue Backdoor, die auf Python geschrieben ist. Dieser Schädling kann Daten aus Browsern klauen, Tastaturdrucke abfangen, Dateien herunterladen, auf dem infizierten PC speichern usw.
Außerdem haben unsere Virenanalysten einen Linux-Trojaner analysiert, der smart Geräte infizieren kann.
Hauptereignisse
- Verbreitung des neuen Verschlüsselungstrojaners BadRabbit
- Neue Backdoor auf Python
- Neuer Linux-Trojaner für IoT
Bedrohung des Monats
Wie seine Vorgänger stellt Trojan.BadRabbit einen Wurm dar, der sich selbständig verbreiten kann. Der Schädling besteht aus mehreren Komponenten: einem Dropper, einer Verschlüsselungskomponente, die auch für die Entschlüsselung sorgt, und dem Wurm selbst. Ein Teil des Codes wurde dem Trojan.Encoder.12544 entnommen, der auch unter dem Namen NotPetya bekannt ist. Beim Starten prüft der Schädling, ob die Datei C:\Windows\cscc.dat vorhanden ist, und dann ggf. seine Arbeit abbricht. Deshalb kann die Erstellung der Datei cscc.dat im Verzeichnis C:\Windows schädliche Folgen beim Starten des Trojaners abwenden.
Nach Ansicht einiger Forscher sind einige kompromittierte Webseiten mit einem böswilligen JavaScript-Szenario eine Hauptquelle für die Verbreitung von Trojan.BadRabbit. Der Encoder verschlüsselt Dateien mit Erweiterungen wie .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Anschließend verlangt der Schädling ein Lösegeld in Bitcoins, das innerhalb von 48 Stunden gezahlt werden soll, sonst wird es erhöht.
Die Analyse von Trojan.BadRabbit läuft noch, aber Dr.Web kann den Schädling erfolgreich erkennen und löschen. Die vorläufige Analyse zeigte, dass der Trojaner das Betriebssystem auf die Präsenz von Dr.Web und McAfee prüft. Wenn Trojan.BadRabbit Dr.Web auf dem PC entdeckt, überspringt er die Verschlüsselung im Benutzermodus, versucht aber die Verschlüsselung nach dem Neustart des Betriebssystems zu erzwingen. Diese Funktion des Schädlings wird von Dr.Web blockiert, deshalb sind Nutzer von Dr.Web 9.1 und höher sowie Dr.Web KATANA geschützt. Die Voraussetzung ist aber, dass man den Präventivschutz nicht angepasst oder nicht ausgeschaltet hat.
Dr.Web Antivirus Statistik
- Trojan.Exploit
- Malware, die einen Schadcode in laufende Prozesse einfügt.
- Trojan.Inject
- Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
Serverstatistik
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- Trojan.Starter.7394
- Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
- JS.BtcMine.1
- Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.
- W97M.DownLoader
- Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
- BackDoor.Bebloh.184
- Banking-Trojaner, die vertrauliche Daten von Bankkunden durch das Abfangen von Tastaturdrucken und online übermittelten Daten klauen.
Malware im E-Mail-Traffic
- JS.Inject.3
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- VBS.DownLoader
- Trojaner auf VBScript, die andere Malware herunterladen und installieren.
- W97M.DownLoader
- Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
Dr.Web Bot für Telegram
- Android.Locker
- Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
- Android.Spy.337.origin
- Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
- Android.Hidden
- Android-Trojaner, die sich im System verstecken können.
- Program.TrackerFree.2.origin
- Spyware Mobile Tracker Free, die Kinder ausspioniert.
Encoder
Support-Anfragen wegen Encoder im Oktober:
- Trojan.Encoder.3953 — 17,26% Anfragen;
- Trojan.Encoder.858 — 16,67% Anfragen;
- Trojan.Encoder.13671 — 5,51% Anfragen;
- Trojan.Encoder.2667 — 4,02% Anfragen;
- Trojan.Encoder.567 — 2,38% Anfragen;
- Trojan.Encoder.3976 — 2,23% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Böswillige Webseiten
Im Oktober 2017 wurden 256 429 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
| September 2017 | Oktober 2017 | Wachstum |
|---|---|---|
| + 298 324 | + 256 429 | -14,0% |
Malware für Linux
Im Oktober haben die Virenanalysten einen Trojaner entdeckt, der smarte Geräte unter Linux infizieren kann. Der Schädling heißt Linux.IotReapper und stellt eine bekannte Version von Linux.Mirai dar. Linux.IotReapper startet Exploits und prüft, wie erfolgreich sie ausgeführt wurden. Nachher wartet der Trojaner auf Befehle von Cyber-Kriminellen. Er kann unter anderem auf dem infizierten Gerät Malware herunterladen und starten. Der Trojaner wird von Dr. Web Antivirus für Linux als Linux.IotReapper erfolgreich erkannt und neutralisiert.
Andere Ereignisse
Mitte Oktober wurde die Python.BackDoor.33 in Dr.Web eingetragen. Dieser Schädling verbreitet sich von selbst: nach der Installation auf dem infizierten Gerät und dem Neustart versucht Python.BackDoor.33, alle angeschlossenen Datenträger mit Namen von C bis Z zu infizieren. Anschließend bestimmt der Trojaner eine IP-Adresse sowie einen verfügbaren Port des Verwaltungsservers, indem er Anfragen an Server wie pastebin.com, docs.google.com und notes.io versendet. Dieser Wert ist wie folgt:
Python.BackDoor.33 lädt vom Verwaltungsserver ein Python-Szenario und startet es. So kann er Passwörter klauen, Tastaturdrucke abfangen und Befehle im Hintergrund ausführen. Mit diesem Szenario kann der Schädling folgende Aktionen vornehmen:
- Daten aus Browsern wie Chrome, Opera, Yandex, Amigo, Torch, Spark klauen;
- Tastaturdrucke abfangen und Bildschirmaufnahmen machen;
- Zusätzliche Module auf Python herunterladen und diese ausführen;
- Dateien herunterladen und diese auf Datenträgern der infizierten Geräte abspeichern;
- Inhalte aus dem Zielverzeichnis ziehen;
- Durch Verzeichnisse laufen;
- Systemdaten abfragen.
Mehr zu Python.BackDoor.33 finden Sie in diesem Artikel.
Malware für mobile Endgeräte
Im Oktober sorgte ein Erpressungs-Trojaner für Schlagzeilen. Dr.Web erkennt den Schädling als Android.Banker.184.origin. Dieser ist unseren Malwareanalysten seit August 2017 bekannt. Der Schädling ändert den PIN-Code zur Entsperrung des Android-Endgeräts, verschlüsselt Daten und verlangt ein Lösegeld für die Wiederherstellung der Funktionsweise des Gerätes. Außerdem wurde auf Google Play im vorigen Monat ein Trojaner entdeckt, der von Dr.Web als Android.SockBot.5 eingestuft wurde. Dieser wandelt mobile Endgeräte in Proxy-Server um.
Hauptereignisse:
- Erpressungs-Trojnaer, der einen PIN-Code zur Entsperrung des Bildschirms auf Android-Geräten ändert und Dateien verschlüsselt;
- Trojaner auf Google Play, der infizierte Android-Geräte in Proxy-Server umwandelt.
Mehr zur Lage in der mobilen Sicherheitsszene finden Sie обзоре.
