Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen im August 2017

Frankfurt, 31.August 2017

Im August registrierte das Team von Doctor Web mehrere massenhafte Mail-Angriffe gegen Administratoren von Webseiten. Übeltäter forderten sie auf, eine spezielle PHP-Datei auf die Webseite hochzuladen, was eine Webseite kompromittieren könnte. Ein neuer Mining-Trojaner, dessen Downloader einen Link zur Webseite von Brian Krebs enthält, wurde entdeckt. Und in die Dr.Web Virendefinitionsdatei haben unsere Sicherheitsspezialisten Downloader des Linux-Trojaners Linux- Hajime für Geräte mit der MIPS- und MIPSEL-Architektur aufgenommen.

Hauptereignisse

  • Anzahl von Angriffen mittels E-Mail wächst
  • Neuer Mining-Trojaner
  • Downloader Linux.Hajime für MIPS und MIPSEL tauchen auf

Bedrohung des Monats

Netzwürmer unter dem Namen Linux.Hajime sind bereits seit 2016 bekannt. Zu deren Verbreitung verwenden Cyber-Kriminelle ein Telnet-Protokoll. Nach der Ermittlung eines Passwortes und Autorisierung auf einem Zielgerät speichert dort das infizierende Plug-in einen Downloader. Vom PC, von dem ein Angriff durchgeführt wird, lädt er ein Hauptmodul des Trojaners herunter und bringt das infizierte Gerät in ein dezentrales Botnet ein. Virenschutz-Apps konnten Linux.Hajime nur für Geräte mit der ARM-Architektur erkennen. Die Virenanalysten von Doctor Web trugen funktionsähnliche böswillige Apps für MIPS- und MIPSEL-Geräte ein.

#drweb

Der Löwenanteil von Infizierungen durch Linux.Hajime entfällt auf Mexico. Weiter folgen die Türkei und Brasilien. Mehr Informationen zu Hajime-Downloadern, die in die Dr.Web Virendefinitionsdatei als Linux.DownLoader.506 und Linux.DownLoader.356 eingetragen wurden, finden Sie hier.

Dr.Web Statistik

According to Dr.Web Anti-virus statistics  #drweb

Trojan.Inject
Malware, die einen Schadcode in laufende Prozesse einfügt.
Trojan.DownLoader
Trojaner, die andere Malware herunterladen und installieren.
Trojan.InstallCore
Trojaner, die andere Malware installieren.

Serverstatistik

According to Doctor Web statistics servers #drweb

Trojan.DownLoader
Trojaner, die andere Malware herunterladen und installieren.
JS.Inject.3
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.InstallCore
Trojaner, die andere Malware installieren.
Trojan.PWS.Stealer
Trojaner, die vertrauliche Benutzerdaten auf dem PC klauen.

Malware im E-Mail-Traffic

Statistics on malicious programs discovered in email traffic #drweb

JS.DownLoader
Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
VBS.DownLoader
Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.
Trojan.Encoder.13570
Erpresser, der für die Entschlüsselung von Daten Geld verlangt.

Encoder

Encryption ransomware #drweb

Support-Anfragen wegen Encoder im August:

Böswillige Webseiten

Im August 2017 wurden 275 399 Internetadressen in die Datenbank von nicht empfohlenen

July 2017August 2017Wachstum
+ 327,295+ 275,399-15.8%

Auf die Liste von nicht empfohlenen Webseiten kommen nicht selten bereits attackierte Homepages. Auf diesen sind unter anderem Szenarien anzutreffen, die Besucherzahlen künstlich steigern und sogar Malware verbreiten. Bei Angriffen auf Webseiten sammeln Übeltäter Daten zu angegriffenen Webseiten, u.a. Code, CMS, Subdomains, Browser und Version des Web-Servers usw. Wenn DNS-Server, die eine Webseite bedienen, richtig konfiguriert sind, können Cyber-Kriminelle keine Daten zur Domainzone erhalten. Bei falsch eingestellten DNS-Servern kann aber ein Übeltäter mittels einer AXFR-Anfrage an alle Informationen zu registrierten Subdomains gelangen. Eine falsche Einstellung von DNS-Servern öffnet zwar keine Sicherheitslücken, kann aber dazu führen, dass eine Webseite kompromittiert wird. Mehr dazu finden Sie hier.

Andere Ereignisse

Im August haben die Virenanalysten von Doctor Web einen neuen Schädling für Linux in die Dr.Web Virendefinitionsdatei aufgenommen - Linux.BtcMine.26. Der Trojaner ist zum Mining von Kryptowährung von Monero (XMR) gedacht und verbreitet sich wie Linux.Mirai: Cyber-Kriminelle stellen eine Verbindung zum Zielgerät via Telnet her, indem sie einen Benutzernamen und ein Passwort ermitteln und auf dem Gerät einen Downloader speichern. Anschließend starten sie die böswillige App durch einen Befehl und diese lädt einen weiteren Trojaner nach.

Linux.BtcMine.26 #drweb

Linux.BtcMine.26 zeichnet sich durch eine Besonderheit aus: der Code enthält einen Link zur Webseite krebsonsecurity.com, die einem bekannten Sicherheitsspezialisten Brian Krebs gehört. Mehr dazu lesen Sie in unseren News.

Böswillige und unerwünschte Apps für mobile Endgeräte

Im August wurden auf Google Play mehrere böswillige Android-Apps entdeckt. Trojaner, die als Android.Click.268 und Android.Click.274 klassifiziert wurden, verübten DDoS-Attacken auf Netzwerke. Und Android.Click.269 rief vorgegebene Webseiten auf, klickte auf Banner und besorgte somit Cyber-Kriminellen etwas Geld. Ein weiterer Schädling, der Android.BankBot.225.origin heißt, verfälschte Eingabefelder für Banking-Apps und klaute sensible Daten. Außerdem wurde auf Google Play Android.MulDrop.1067 entdeckt, der weitere Trojaner installieren soll.

Hauptereignisse im August 2017:

Mehr zur mobilen Sicherheitsszene lesen Sie hier.

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt