Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen im November 2017

Frankfurt, 30. November 2017

Im November haben die Malwareanalysten von Doctor Web einen neuen Banking-Trojaner unter die Lupe genommen. Der Schädling heißt Trojan.Gozi und ist im Unterschied zu seinen Vorgängern modular aufgebaut. Er kann nun keine Namen von Verwaltungsservern generieren. Diese sind stattdessen in seiner Konfigurationsdatei implementiert.

Im November haben die Malwareanalysten auch einen Trojaner für Linux und mehrere Webseiten entdeckt, mit denen Übeltäter gutgläubige Nutzer betrogen haben.

Hauptereignisse

  • Entdeckung eines neuen Banking-Trojaners
  • Verbreitung der Backdoor für Linux
  • Neue Betrugsmethode im Internet

Bedrohung des Monats

Die Trojaner-Familie Gozi ist unseren Malwareanalysten gut bekannt. Die Vertreter dieser Familie konnten zum Beispiel Adressen von Verwaltungsservern aus einer Textdatei, die man von der NASA-Webseite herunterladen kann. generieren. Die neuen Version des Trojaners, der nun Trojan.Gozi.64 heißt, kann 32- und 64-Bit-Versionen von Microsoft Windows 7 und höher infizieren. Unter älteren Versionen des Betriebssystems kann der Schädling nicht gestartet werden.

Ziel von Trojan.Gozi.64 ist es, Web-Injects durchzuführen. In anderen Worten kann er in Webseiten, die ein Nutzer aufruft, fremde Inhalte einbetten und so Daten aus gefälschten Formularen für Online-Banking-Seiten herausfischen.

screenshot Gozi64 #drweb

Da die Modifikation von Webseiten auf dem infizierten PC erfolgt, bleibt die URL einer solchen Webseite immer noch korrekt und kann somit die Aufmerksamkeit und Vorsicht des Nutzers beeinträchtigen. Die vom Nutzer eingegebenen Daten werden aber an Cyber-Kriminelle übertragen. Auf diese Weise kann das Benutzerkonto kompromittiert werden.

Mehr zur Funktionsweise und zu Möglichkeiten von Trojan.Gozi.64 können Sie in diesem Artikel erfahren.

Dr.Web Antivirus Statistik

Dr.Web Antivirus Statistik

Trojan.DownLoader
Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
Trojan.Starter.7394
Trojaner, dessen Hauptfunktion das Starten einer ausführbaren Datei mit böswilligen Funktionen ist.
Trojan.Encoder.11432
Wurm, der unter dem Namen WannaCry bekannt ist, kann PCs unter Microsoft Windows ohne Beteiligung der Nutzer infizieren. Der Schädling verschlüsselt Dateien auf dem PC und verlangt ein Lösegeld. Die Entschlüsselung von Dateien erfolgt unter Verwendung von verschiedenen Schlüsseln, deshalb gibt es keine Garantie, dass auch nach der Entschlüsselung die Dateien wiederhergestellt werden können.
Trojan.Zadved
Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

Serverstatistik

Trojan.DownLoader25.54584, Trojan.DownLoad3.46852
Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
JS.Inject
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.Inject
Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.
PowerShell.DownLoader
Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Malware im E-Mail-Traffic

Trojan.DownLoader
Trojaner, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
PowerShell.DownLoader
Trojaner auf PowerShell, die andere Malware herunterladen, diese installieren und PCs der Nutzer angreifen.
JS.Inject
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.Inject
Familie von Malware, die einen Schadcode in Prozesse anderer Apps einbettet.

Dr.Web Bot für Telegram

Dr.Web Bot für Telegram

Android.HiddenAds.200.origin
Trojaner, der aufdringliche Werbung anzeigt und als angeblich beliebte App durch andere Schädlinge verbreitet und installiert werden.
Android.Locker
Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
Android.Spy.337.origin
Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.
Joke.Locker.1.origin
Riskware für Android, die den Bildschirm des mobilen Endgeräts sperren und BSOD, Blue Screen of Death, anzeigt.

Encoder

Encoder

Support-Anfragen wegen Encoder im November:

Böswillige Webseiten

Im November 2017 wurden 331 895 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Oktober 2017November 2017Wachstum
+256 429+331 895+29.4%

Im November wurde auch eine weitere betrügerische Methode entdeckt, mit der Cyber-Kriminelle das Geld der Nutzer stehlen wollten. Nutzer im russischsprachigen Internet wurden dazu aufgerufen, auf die Webseite eines vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds zu gehen, ihre ID-Nummer einzugeben und das Geld, worauf sie angeblich Anspruch hätten, aus der Pensionskasse auf ihr Konto überweisen zu lassen. Zunächst musste man aber selbst einen finanziellen Beitrag leisten.

screenhot

Auf Servern, wo auch die Webseite des vermeintlichen Interregionalen Gesellschaftsentwicklungsfonds gehostet wird, haben unsere Analysten mehrere betrügerische Projekte entdeckt. Mehr dazu finden Sie in diesem Artikel.

Malware für Linux

Ende November haben die Malwareanalysten von Doctor Web eine neue Backdoor für Linux analysiert. Der Schädling heisst Linux.BackDoor.Hook.1 und ist in der Lage, auf Befehl von Cyber-Kriminellen Apps zu starten, Dateien herunterzuladen oder eine Verbindung zum Remote-Server aufzubauen. Über weitere Eigenschaften des Schädlings Linux.BackDoor.Hook.1 wurde hier berichtet.

Malware für mobile Endgeräte

Im November haben unsere Malwareanalysten auf Google Play den Trojaner Android.RemoteCode.106.origin entdeckt, der weitere böswillige Module herunterlädt. Sie luden Webseiten und klickten auf Werbe-Links und Banner. Außerdem wurden im Katalog Google Play Trojaner der Familie Android.SmsSend ausfindig gemacht, die kostenpflichtige Kurznachrichten versendeten. Im November verbreitete sich auf Google Play der Schädling Android.CoinMine.3, der infizierte Smartphones und Tablets zum Schürfen von Monero ausnutzte. Darüber hinaus wurden auf Google Play mehrere Android.Banker gefunden, die vertrauliche Daten und das Geld von Konten der Android-Nutzer entwendeten.

Hauptereignisse in der mobilen Sicherheitsszene:

Mehr zur Lage in der Sicherheitsszene finden Sie hier.

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt