Doctor Web: Rückblick und Analyse von Bedrohungen im November 2016

Monatsberichte | Hot news | Alle News | Viren-News
[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Hauptereignisse " }, { box => "Bedrohung des Monats " }, { box => "Statistik " }, { box => "Verschlüsselungstrojaner " }, { box => "Böswillige Webseiten " }, { box => "Für Linux " }, { box => "Andere Ereignisse " }, { box => "Für mobile Endgeräte" } ] %] [% BLOCK global.tpl_blueprint.content %]

Frankfurt, 30. November 2016

Der Monat November 2016 war reich an sicherheitsrelevanten Ereignissen. Die Virenanalysten von Doctor Web entdeckten u.a. ein Botnet, das russische Banken angriff, registrierten einen gezielten Angriff gegen Hersteller von Baukränen und informierten über die Verbreitung des Android-Trojaners, der von über 1 Mio. Nutzern auf Google Play heruntergeladen wurde.

Hauptereignisse

  • Neues Botnet, das russische Banken attackiert
  • Gezielter Angriff gegen Hersteller von Baukränen
  • Verbreitung des Android-Trojaners auf Google Play

Bedrohung des Monats

Ein gezielter Angriff gegen Personen oder Unternehmen ist schwer zu entdecken. 2011 wurde von der Verbreitung von BackDoor.Dande berichtet, welcher sensible Daten von Apotheken und Pharmaunternehmen klaute. 4 Jahre später wurde ein neuer Trojaner namens BackDoor.Hser.1 entdeckt, der Rüstungsunternehmen angriff. Im November 2016 haben die Analysten nun einen neuen Schädling BackDoor.Crane.1 registriert, der Daten von Rechnern der Mitarbeitern eines Kranherstellers stahl. Die Backdoor machte außerdem Bildschirmaufnahmen von infizierten PCs und sendete diese an den Verwaltungsserver.

Die Virenanalysten von Doctor Web nehmen an, dass die Autoren von BackDoor.Crane.1 den Code aus mehreren Quellen zusammengebastelt haben, u.a. von der Webseite rsdn.org. Davon spricht die Einstellung User-Agent, die der Schädling nutzt.

screen BackDoor.Crane.1 #drweb

BackDoor.Crane.1 verfügt über mehrere Module. Jedes Modul übernimmt eine der folgenden Aufgaben:

  • Via cmd übermittelte Befehle ausführen;
  • Datei per Link herunterladen und diese in einem vorgegebenen Verzeichnis abspeichern;
  • Inhalte aus einem Verzeichnis gruppieren und an einen Server weiterleiten;
  • Bildschirmaufnahmen machen und an einen Server weiterleiten;
  • Datei via FTP auf den vorgegeben Server hochladen;
  • Datei via HTTP auf den vorgegebenen Server hochladen.

Außerdem kann die Backdoor nach Befehl von Cyber-Kriminellen Python-Schädlinge wie Python.BackDoor.Crane.1 und Python.BackDoor.Crane.2 herunterladen und starten. Mehr dazu finden Sie hier.

Statistik von Dr.Web CureIt!

Statistik von Dr.Web CureIt! #drweb

  • Trojan.BtcMine.793
    Trojaner, der versteckte CPU-Ressourcen zum Mining von Kryptowährung ausnutzt.
  • Trojan.LoadMoney
    Downloader, die im Rahmen des Partnerprogramms LoadMoney generiert werden. Diese Schädlinge laden böswillige Anwendungen herunter und installieren diese auf dem Rechner des Opfers.
  • Trojan.BPlug
    Plug-ins für beliebte Browser, die Werbung anzeigen.
  • Trojan.Triosir.687
    Trojaner, der als Plug-in realisiert ist und aufdringliche Werbung anzeigt.
  • Trojan.MulDrop6.12114
    Trojaner, der Malware auf den PC herunterlädt und installiert.

Server-Statistik von Doctor Web

Server-Statistik von Doctor Web  #drweb

  • JS.Redirector
    Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und auf dem Rechner des Opfers installieren.
  • Trojan.Zadved
    Schadcode, der Suchtreffer auf Google und Werbe-Meldungen auf anderen Webseiten verfälscht.
  • JS.DownLoader
    Böswillige Szenarien, die Sicherheitslücken ausnutzen, Malware herunterladen und auf dem Rechner des Opfers installieren.
  • Trojan.NtRootKit.6725
    Rootkit-Trojaner, der sich im System versteckt und seinen Code in gestartete Prozesse integriert.

Malware-Statistik im E-Mail-Traffic

Malware-Statistik im E-Mail-Traffic #drweb

  • JS.DownLoader
    Böswillige Szenarien, die Sicherheitslücken ausnutzen, Malware herunterladen und auf dem Rechner des Opfers installieren.
  • JS.Redirector
    Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und auf dem Rechner des Opfers installieren.

Statistik von Dr.Web für Telegram

Statistik von Dr.Web für Telegram #drweb

  • Android.Locker.139.origin
    Android-Trojaner, der ein mobiles Endgerät sperren und für die Entsperrung Geld verlangen kann.
  • Joke.Locker.1.origin
    Android-Trojaner, der aufdringliche Werbung und BSOD anzeigen kann.
  • BackDoor.Bifrost.29284
    Trojaner, der Befehle von Cyber-Kriminellen erhält und diese ausführt.
  • Trojan.PWS.Spy.11887
    Trojaner für Windows, der sensible Daten klauen kann.
  • Android.Spy
    Familie von Trojanern, die mobile Endgeräte unter Android infizieren, Kontakte ablesen, Kurznachrichten erhalten und versenden, den Standort per GPS, IMEI und die Telefonnummer bestimmen können.

Verschlüsselungstrojaner

Verschlüsselungstrojaner  #drweb

Anfragestatistik vom technischen Support von Doctor Web:

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Funktion ist in Dr.Web Antivirus für Windows nicht verfügbar

Schutz vor Datenverlust
Schutz vor Datenverlust Schutz vor Datenverlust

Mehr

Gefährliche Webseiten

Im November 2016 wurden 254.736 Internetadressen in die Datenbank von nicht empfohlenen Webseiten eingetragen.

Oktober 2016November 2016Wachstum
+ 338.670+ 254.736-24,78%

Im Internet trifft man oft auf Webseiten, die nicht unbedingt betrügerisch wirken, aber Auftritte von anderen Unternehmen oder Behörden kopieren. Diese Webseiten täuschen Nutzer mit Phishing-Methoden. Besitzer solcher Webseiten sind Firmen, die ihr Geld aus zweifelhafter Werbung erwirtschaften. Mehr Infos zum Unterschied zwischen Werbung und kriminellen Techniken und warum Doctor Web solche Web-Inhalte in die Datenbank von nicht empfohlenen Webseiten aufnimmt, finden Sie hier.

Nicht empfohlene Webseiten

Böswillige Webseiten für Linux

Seit Anfang November haben die Virenanalysten 389.285 Angriffe auf Linux-Endgeräte registriert, darunter 79.447 via SSH und 309.838 via Telnet. Die Malware-Anteile entnehmen Sie bitte dem nachfolgenden Diagramm:

Böswillige Webseiten für Linux #drweb

  • Linux.Hajime
    Familie von Linux-Würmern, die sich via Telnet verbreiten.
  • Linux.DownLoader
    Trojaner und Skripts für Linux, die auf Rechner hochgeladen und installiert werden.
  • Linux.PNScan.2
    Linux-Wurm, der Geräte infiziert, Ports 9000 und 1337 eröffnet, Anfragen bedient und eine Verbindung herstellt.
  • Linux.BackDoor.Remaiten
    Linux-Malware für DDoS-Angriffe. Der Trojaner ist in der Lage, ein Endgerät via Telnet zu hacken und bei Erfolg einen Downloader herunterzuladen, der Malware auf den infizierten Rechner herunterlädt.
  • Linux.BackDoor.Gates
    Linux-Trojaner mit Funktionen einer Backdoor und eines DDoS-Bots. Trojaner sind in der Lage, Befehle auszuführen und DDoS-Angriffe durchzuführen.

Andere Ereignisse

Die Virenanalysten von Doctor Web haben auch ein Botnet entdeckt, welches in der Lage war, DDoS-Angriffe durchzuführen. Zu diesem Zweck haben Cyber-Kriminelle BackDoor.IRC.Medusa.1 verwendet. Der Schädling gehört zur Klasse der IRC-Bots. Der Trojaner erhält Befehle via IRC (Internet Relay Chat), indem er sich via Chat-Kanal anschließt.

screen BackDoor.IRC.Medusa.1 #drweb

BackDoor.IRC.Medusa.1 ist in der Lage, mehrere DDoS-Angriffe durchzuführen, z.B. Dateien auf den infizierten PC hochladen und starten. Die Virenanalysten von Doctor Web vermuten, dass dieser Trojaner zum Angriff gegen Sberbank verwendet wurde. Mehr Infos zum Trojaner finden Sie hier.

Viren & Co. für mobile Endgeräte

Die Virenanalysten von Doctor haben Android.MulDrop.924 entdeckt, der sich als harmlose Software verbreitet, Malware herunterlädt und Werbung anzeigt. Insgesamt wurde der Trojaner von über 1 Mio. Nutzern heruntergeladen. Darüber hinaus wurde der Trojaner Android.Spy.332.origin entdeckt, der auf einigen Android-Endgräten vorinstalliert war. Er konnte Apps unsichtbar herunterladen, installieren, löschen und Daten an Dritte übergeben.

Wichtige sicherheitsrelevante Ereignisse für Android:

  • Entdeckung von Android.MulDrop.924, der Apps herunterlädt, Installationen anbietet und Werbung anzeigt;
  • Entdeckung von Android.Spy.332.origin, der auf einigen mobilen Endgeräten vorinstalliert war und Software unsichtbar installieren und entfernen kann.

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

[% END %]
Aktuelle News Alle News