Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Rückblick und Analyse von Bedrohungen für Mai 2017

Frankfurt, 31.Mai 2017

Das Hauptereignis im Monat Mai war eine massenhafte Verbreitung des Schädlings WannaCry, der von Dr.Web als Trojan.Encoder.11432 erkannt wird. Der Wurm verbreitete sich selbständig und infizierte Netzwerk-Geräte über eine Lücke im SMB-Protokoll. Anschließend verschlüsselte er Dateien auf dem Rechner des Opfers und verlangte ein Lösegeld für die Entschlüsselung. Außerdem haben die Sicherheitsanalysten von Doctor Web den auf Lua geschriebenen Multikomponenten-Trojaner für Linux unter die Lupe genommen. MacOS blieb auch nicht im Hintergrund: Unsere Sicherheitsanalysten haben eine neue Backdoor aufgespürt.

Hauptereignisse im Mai

  • Verbreitung des gefährlichen Encoders WannaCry
  • Entdeckung einer Backdoor für macOS
  • Neuer Multikomponenten-Trojaner für Linux

Bedrohung des Monats

Von WannaCry haben bereits viele Medien berichtet. Der Verschlüsselungstrojaner wird von Dr.Web Antivirus als Trojan.Encoder.11432 klassifiziert und ist ein Netzwerkwurm, der Rechner unter Microsoft Windows ohne Benutzerteilnahme infiziert. Die Verbreitung des Wurmes begann am 12. Mai um 10:00 Uhr.

wannacry #drweb

Er attackiert alle Workstations im lokalen Netzwerk sowie Rechner mit zufälligen IP-Adressen und versucht, eine Verbindung zum Port 445 herzustellen. Nachdem sich der Schädling auf dem infizierten PC eingenistet hat, versucht er, andere Rechner zu infizieren. Daraus erklärt sich der massenhafte Charakter der Infektion. Der Schädling selbst besteht aus mehreren Komponenten. Der Encoder ist nur eine davon. Nach seinem Start registriert sich der Trojaner als Systemservice mssecsvc2.0. Wenn ein Fehler entsteht, versucht er den automatischen Neustart des Services einzustellen. 24 Stunden nach dem Start schließt er seine Arbeit ab. Mehr zum Schädling finden Sie hier. Eine technische Beschreibung des Trojaners gibt es hier.

Statistik von Dr.Web Antivirus

Statistik von Dr.Web Antivirus #drweb

Serverstatistik von Doctor Web

Serverstatistik von Doctor Web #drweb

Malwarestatistik im E-Mail-Traffic

Malwarestatistik im E-Mail-Traffic #drweb

Statistik von Dr.Web Bot für Telegram

Statistik von Dr.Web Bot für Telegram #drweb

 #drweb

Backdoor-Trojaner, die Befehle von Cyber-Kriminellen erhalten und diese ausführen Verteilung von Support-Anfragen wegen Encoder im Mai:

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern

Diese Option ist in der Lizenz für Dr.Web Antivirus für Windows nicht verfügbar.

Schutz vor Datenverlust
Preventive ProtectionData Loss Prevention

Mehr

Im Mai 2017 wurden 1 129 277 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

April 2017Mai 2017Wachstum
+ 568 903+ 1 129 277+ 98.5%

Nicht empfohlene Webseiten

Weitere Ereignisse aus der IT-Sicherheitsszene

Anfang Mai wurde ein Trojaner entdeckt, der sich über Links in Kommentaren verbreitete. Übeltäter platzierten diese Links in der offiziellen VK-Gruppe von Doctor Web. Anschließend wurden Nutzer dazu aufgefordert, kostenlose Schlüssel für Dr.Web Antivirus herunterzuladen. Bei der angebotenen App ging es aber um den Trojaner Trojan.MulDrop7.26387.

 #drweb

Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, z.B. das Hintergrundbild von Windows zu ändern, das DVD-Laufwerk zu öffnen und zu schließen, Funktionen von Maustasten zu ändern, einen Satz mit Hilfe einer Sprach-App aussprechen zu lassen und sogar ein schreckliches Video auf dem Bildschirm eines Rechner anzuzeigen. Mehr zum Schädling finden Sie hier.

Malware für Linux

Die Virenanalysten von Doctor Web haben den Schädling, der Geräte unter Linux mit unterschiedlicher Architektur infizieren kann, unter die Lupe genommen. Die ersten Angriffe durch Linux.LuaBot wurden von Virenanalysten von Doctor Web noch im Dezember 2016 registriert. Alle Versionen dieser Trojaner-Familie sind auf Lua geschrieben und werden seit November 2016 regelmäßig aktualisiert. Der Schädling besteht aus 31 Lua-Szenarien und zwei zusätzlichen Modulen. Jedes Modul übernimmt seine eigene Funktion. Der Trojaner ist in der Lage, Geräte mit CPU-Architekturen wie Intel x86 (und Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k zu infizieren – also nicht nur PCs, sondern auch Router, Konsolen, IP-Kameras und andere smarte Geräte.

Linux.LuaBot ist für Besitzer von Linux-Geräten dadurch gefährlich, dass er als Backdoor eingehende Befehle ausführen kann. Frühere Versionen dieses Schädlings konnten außerdem einen Proxyserver starten, den Cyber-Kriminelle zur Anonymisierung ihrer Aktionen im Internet verwendet haben. Die Virenanalysten haben IP-Adressen von Computern erfasst, die mit Linux.LuaBot infiziert sind. Die geografische Verteilung dieser Adressen ist wie folgt abgebildet:

 #drweb

Mehr Informationen zum Trojaner finden Sie hier. Die technische Beschreibung des Schädlings befindet sich hier.

Malware für macOS

Der letzte Frühlingsmonat von 2017 war durch die Verbreitung der Backdoor für macOS gekennzeichnet. Der Trojaner wurde in die Dr.Web Virendatenbank als Mac.BackDoor.Systemd.1 eingetragen. Die Backdoor ist in der Lage, folgende Befehle auszuführen:

Mehr Informationen zur Backdoor finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten. Darüber hinaus haben wir auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus klaut der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter. Außerdem haben Cyber-Kriminelle im Mai den Trojaner Android.BankBot.186.origin verbreitet, der als MMS getarnt war.

Hauptereignisse im Mai:

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Erfahren Sie mehr über Dr.Web

Virenstatistik Bibliothek Alle Sicherheitsreports

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden