Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Rückblick und Analyse von Bedrohungen im Juli 2017

Als PDF-Datei herunterladen

July 31, 2017

Zusammenfassung

Der Juli ist in der Regel kein Monat für aufsehenerregende Ereignisse. Im Juli haben aber die Sicherheitsspezialisten von Doctor Web in der App zum Dokumentenmanagement M.E.Doc eine Backdoor entdeckt. Später wurde auch eine Verbreitungsquelle von BackDoor.Dande aufgespürt. Ende Juli entdeckte man auf der Webseite für öffentliche Services gosuslugi.ru einen Schadcode. Im Juli wurden auch mehrere böswillige Apps für Android gefunden.

Hauptereignisse im Juli

  • Entdeckung einer Backdoor in M.E.Doc
  • Entdeckung der Verbreitungsquelle von Dande
  • Kompromittieren der Webseite für elektronische Services gosuslugi.ru

Bedrohung des Monats

Die beliebte App M.E.Doc zum Dokumentenmanagement wurde von Intellect Service entwickelt. In der Komponente der App, die ZvitPublishedObjects.Server.MeCom heißt, haben Virenanalysten von Doctor Web einen Eintrag entdeckt, der für den Schlüssel des Windows-Registry typisch ist: HKCU\SOFTWARE\WC.

#drweb

Dieser Schlüssel wurde von Trojan.Encoder.12703 verwendet. Die Analyse des Dr.Web Protokolls, das von einem Kundenrechner stammt, zeigte, dass Trojan.Encoder.12703 auf dem infizierten Rechner durch die ausführbare Datei ProgramData\Medoc\Medoc\ezvit.exe gestartet wurde. Diese ist eine Komponente von M.E.Doc:

#drweb

Die angeforderte Datei ZvitPublishedObjects.dll hatte den gleichen Hash wie das von Doctor Web analysierte Muster. So konnten Virenanalysten von Doctor Web zum Schluss kommen, dass das Update-Modul von M.E.Doc, das als dynamische Bibliothek ZvitPublishedObjects.dll realisiert ist, eine Backdoor enthält. Diese Backdoor ist in der Lage, im System folgende Funktionen zu übernehmen:

Interessant erscheint ein weiteres Fragment des Modulcodes von M.E.Doc. Mit Hilfe dieser Codezeilen und des Tools rundll32.exe mit Paramter #1 kann eine Nutzleistung generiert werden. Mehr dazu finden Sie hier.

Statistik

Dr.Web Antivirus

#drweb

Serverstatistik

#drweb

Malwarestatistik für E-Mail-Traffic

#drweb

Statistik von Dr.Web Bot für Telegram

#drweb

Encoder

#drweb

Support-Anfragen wegen Encoder im Juli:

Böswillige Webseiten

Im Juli 2017 wurden 327 295 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Juni 2017Juli 2017Wachstum
+ 229,381+ 327,295+ 42.6%

Mitte Juli wurde auf der russischen Webseite für elektronische Services gosuslugi.ru ein potenzieller Schadcode entdeckt. Dieser Code ließ den Browser jedes Benutzers mit einer von 15 Domainadressen, von denen 5 niederländischen Unternehmen gehören, verbinden. Bei der dynamischen Generierung von Webseiten wurde auch ein Container <iframe> eingefügt. Dadurch konnte man den Browsern beliebige Daten abfragen. Alle Sicherheitslücken der Webseite wurden von der Administration von gosuslugi.ru nach der Veröffentlichung der Meldung über den Vorfall geschlossen.

Andere Ereignisse

Im Jahre 2011 haben unsere Analysten den Trojaner BackDoor.Dande gemeldet, der Pharmaunternehmen und Apotheken ausspionierte. Nach der Analyse der Festplatte, die von einem geschädigten Nutzer zur Verfügung gestellt wurde, kam man zum Schluss, dass der Trojaner von einer ePrica-Komponente heruntergeladen und installiert wurde. Dieses Modul lud vom Server, der der Firma Spargo Technologii gehört, den Installationsassistenten von BackDoor.Dande herunter, der eine Backdoor auf den zu infizierenden PCs startete. Das fragwürdige Modul war mit der digitalen Signatur «Spargo» versehen.

Die von Doctor Web durchgeführte Analyse zeigte, dass BackDoor.Dande in eine frühere Version des Installationsassistenten von ePrica eingebettet wurde. Unter den Modulen des Trojaners sind ein Installationsassistent sowie Komponenten zur Sammlung von Einkaufsdaten zu Medikamenten zu finden. Da die Backdoor auch nach der Entfernung von ePrica im System weiterhin bestand, konnten Cyber-Kriminelle Nutzer laufend ausspionieren. Mehr zu Ermittlungen im Fall ePrica, die von Doctor Web durchgeführt wurden, finden Sie hier.

Böswillige und unerwünschte Apps für mobile Endgeräte

Anfang Juli haben die Sicherheitsspezialisten von Doctor Web im auf Google Play beliebten Spiel BlazBlue Android.DownLoader.558.origin entdeckt. Der Schädling konnte beliebige ungeprüfte App-Komponenten herunterladen und starten. Später wurde der Trojaner Android.BankBot.211.origin erforscht. Er konnte infizierte mobile Endgeräte verwalten und klaute vertrauliche Daten wie Logins und Passwörter. Ende Juli wurde der Trojaner Android.Triada.231 entdeckt, der von Cyber-Kriminellen in eine der Systembibliotheken von Android eingebettet wurde. Der Schädling wurde in Prozesse aller laufenden Apps integriert und startete einzelne Module des Trojaners.

Hauptereignisse im Juni 2017:

Mehr zur mobilen Sicherheitsszene finden Sie hier.

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt