Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Analyse und Rückblick von Bedrohungen im Oktober 2017

Frankfurt, 29. Oktober 2017

Im Oktober sorgte der neue Encoder Trojan.BadRabbit für Schlagzeilen. Dieser Trojaner begann sich am 24. Oktober zu verbreiten. Angegriffen wurden Nutzer in Russland und in der Ukraine.

Im Oktober analysierten die Virenanalysten von Doctor Web eine neue Backdoor, die auf Python geschrieben ist. Dieser Schädling kann Daten aus Browsern klauen, Tastaturdrucke abfangen, Dateien herunterladen, auf dem infizierten PC speichern usw.

Außerdem haben unsere Virenanalysten einen Linux-Trojaner analysiert, der smart Geräte infizieren kann.

Hauptereignisse

  • Verbreitung des neuen Verschlüsselungstrojaners BadRabbit
  • Neue Backdoor auf Python
  • Neuer Linux-Trojaner für IoT

Bedrohung des Monats

Wie seine Vorgänger stellt Trojan.BadRabbit einen Wurm dar, der sich selbständig verbreiten kann. Der Schädling besteht aus mehreren Komponenten: einem Dropper, einer Verschlüsselungskomponente, die auch für die Entschlüsselung sorgt, und dem Wurm selbst. Ein Teil des Codes wurde dem Trojan.Encoder.12544 entnommen, der auch unter dem Namen NotPetya bekannt ist. Beim Starten prüft der Schädling, ob die Datei C:\Windows\cscc.dat vorhanden ist, und dann ggf. seine Arbeit abbricht. Deshalb kann die Erstellung der Datei cscc.dat im Verzeichnis C:\Windows schädliche Folgen beim Starten des Trojaners abwenden.

Nach Ansicht einiger Forscher sind einige kompromittierte Webseiten mit einem böswilligen JavaScript-Szenario eine Hauptquelle für die Verbreitung von Trojan.BadRabbit. Der Encoder verschlüsselt Dateien mit Erweiterungen wie .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Anschließend verlangt der Schädling ein Lösegeld in Bitcoins, das innerhalb von 48 Stunden gezahlt werden soll, sonst wird es erhöht.

screenshot Trojan.BadRabbit #drweb

Die Analyse von Trojan.BadRabbit läuft noch, aber Dr.Web kann den Schädling erfolgreich erkennen und löschen. Die vorläufige Analyse zeigte, dass der Trojaner das Betriebssystem auf die Präsenz von Dr.Web und McAfee prüft. Wenn Trojan.BadRabbit Dr.Web auf dem PC entdeckt, überspringt er die Verschlüsselung im Benutzermodus, versucht aber die Verschlüsselung nach dem Neustart des Betriebssystems zu erzwingen. Diese Funktion des Schädlings wird von Dr.Web blockiert, deshalb sind Nutzer von Dr.Web 9.1 und höher sowie Dr.Web KATANA geschützt. Die Voraussetzung ist aber, dass man den Präventivschutz nicht angepasst oder nicht ausgeschaltet hat.

Dr.Web Antivirus Statistik

Dr.Web Antivirus Statistik  #drweb

Trojan.Exploit
Malware, die einen Schadcode in laufende Prozesse einfügt.
Trojan.Inject
Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Serverstatistik

Serverstatistik  #drweb

JS.Inject.3
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.Starter.7394
Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
JS.BtcMine.1
Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.
W97M.DownLoader
Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
BackDoor.Bebloh.184
Banking-Trojaner, die vertrauliche Daten von Bankkunden durch das Abfangen von Tastaturdrucken und online übermittelten Daten klauen.

Malware im E-Mail-Traffic

Malware im E-Mail-Traffic #drweb

JS.Inject.3
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
VBS.DownLoader
Trojaner auf VBScript, die andere Malware herunterladen und installieren.
W97M.DownLoader
Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Dr.Web Bot für Telegram

Dr.Web Bot für Telegram  #drweb

Android.Locker
Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
Android.Spy.337.origin
Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
Android.Hidden
Android-Trojaner, die sich im System verstecken können.
Program.TrackerFree.2.origin
Spyware Mobile Tracker Free, die Kinder ausspioniert.

Encoder

Encoder #drweb

Support-Anfragen wegen Encoder im Oktober:

Böswillige Webseiten

Im Oktober 2017 wurden 256 429 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

September 2017Oktober 2017Wachstum
+ 298 324+ 256 429-14,0%

Malware für Linux

Im Oktober haben die Virenanalysten einen Trojaner entdeckt, der smarte Geräte unter Linux infizieren kann. Der Schädling heißt Linux.IotReapper und stellt eine bekannte Version von Linux.Mirai dar. Linux.IotReapper startet Exploits und prüft, wie erfolgreich sie ausgeführt wurden. Nachher wartet der Trojaner auf Befehle von Cyber-Kriminellen. Er kann unter anderem auf dem infizierten Gerät Malware herunterladen und starten. Der Trojaner wird von Dr. Web Antivirus für Linux als Linux.IotReapper erfolgreich erkannt und neutralisiert.

Andere Ereignisse

Mitte Oktober wurde die Python.BackDoor.33 in Dr.Web eingetragen. Dieser Schädling verbreitet sich von selbst: nach der Installation auf dem infizierten Gerät und dem Neustart versucht Python.BackDoor.33, alle angeschlossenen Datenträger mit Namen von C bis Z zu infizieren. Anschließend bestimmt der Trojaner eine IP-Adresse sowie einen verfügbaren Port des Verwaltungsservers, indem er Anfragen an Server wie pastebin.com, docs.google.com und notes.io versendet. Dieser Wert ist wie folgt:

screenshot Python.BackDoor.33 #drweb

Python.BackDoor.33 lädt vom Verwaltungsserver ein Python-Szenario und startet es. So kann er Passwörter klauen, Tastaturdrucke abfangen und Befehle im Hintergrund ausführen. Mit diesem Szenario kann der Schädling folgende Aktionen vornehmen:

Mehr zu Python.BackDoor.33 finden Sie in diesem Artikel.

Malware für mobile Endgeräte

Im Oktober sorgte ein Erpressungs-Trojaner für Schlagzeilen. Dr.Web erkennt den Schädling als Android.Banker.184.origin. Dieser ist unseren Malwareanalysten seit August 2017 bekannt. Der Schädling ändert den PIN-Code zur Entsperrung des Android-Endgeräts, verschlüsselt Daten und verlangt ein Lösegeld für die Wiederherstellung der Funktionsweise des Gerätes. Außerdem wurde auf Google Play im vorigen Monat ein Trojaner entdeckt, der von Dr.Web als Android.SockBot.5 eingestuft wurde. Dieser wandelt mobile Endgeräte in Proxy-Server um.

Hauptereignisse:

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie обзоре.

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt