Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen im Januar 2018

Frankfurt, 31. Januar 2018

Der Jahresbeginn 2018 wurde durch mehrere auf Google Play entdeckte Spiele, die mit einem Trojaner ausgerüstet waren, gekennzeichnet. Der Schädling konnte auf infizierten Geräten böswillige Module herunterladen und diese ausführen. Die Schadcode-Analysten von Doctor Web haben auch mehrere Mining-Trojaner erforscht, die Server unter Windows infizierten. Alle erwähnten Schädlinge nutzten die Sicherheitslücke in Cleverence Mobile SMARTS Server aus.

Hauptereignisse

  • Neuer gefährlicher Android-Trojaner auf Google Play.
  • Verbreitung neuer Versionen von Mining-Trojanern, die Server unter Windows infizieren.

Bedrohung des Monats

Die Anwendungen Cleverence Mobile SMARTS Server wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Im Juli 2017 haben die Sicherheitsanalysten von Doctor Web bereits eine Zero-Day-Sicherheitslücke in dieser Software entdeckt und deren Entwickler benachrichtigt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der die Schwachstelle beseitigen sollte. Dies gelang aber nicht für alle Server, weil einige Administratoren den veröffentlichten Sicherheits-Patch nicht installiert haben. So konnten Kriminelle weiterhin Kryptowährung schürfen. Die Einschleusung sah so aus: An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, sendete man den Befehl, einen neuen Benutzer mit Administratorrechten anzulegen, und erhielt einen unerlaubten Zugang zum Server via RDP. In einigen Fällen konnten Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem man den Zugang zum System erhalten hatte, installierte man darauf einen Mining-Trojaner.

Der von Kriminellen entwickelte Mining-Trojaner wird laufend verbessert. Zunächst wurden mehrere Versionen des Trojaners installiert. Diese sind bspw. unter den Namen Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 bekannt. Später wurde die Liste um Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033 erweitert. Die neueste Version des Schädlings ist Trojan.BtcMine.1978.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Virenschutzsoftware zu entfernen. Dir Kriminellen verwenden Trojan.BtcMine.1978 zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon. Das Team von Doctor Web empfiehlt, alle für Cleverence Mobile SMARTS Server veröffentlichten Sicherheits-Patches zu installieren. Mehr Informationen zum Vorfall finden Sie in diesem Artikel.

Dr.Web Antivirus Statistik

Dr.Web Antivirus Statistik

Trojan.Moneyinst.520
Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.
Trojan.Starter.7394
Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.
Trojan.BPlug
Plug-ins für beliebte Browser, die aufdringliche Werbung beim Surfen anzeigen.
Trojan.DownLoad
Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.
Trojan.Zadved
Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.

Serverstatistik

Serverstatistik

JS.BtcMine.7, JS.BtcMine.2
Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
JS.Inject
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
JS.DownLoader
Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Trojan.PWS.Stealer
Trojaner, die andere Malware herunterladen, diese installieren und die PCs der Nutzer angreifen.

Malware im E-Mail-Traffic

Malware im E-Mail-Traffic #drweb

JS.BtcMine.7
Szenario auf JavaScript, das zum verdeckten Mining von Kryptowährungen gedacht ist.
JS.Inject
Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.
Trojan.Encoder.24348
Ein Vertreter der Erpressungs-Trojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.
Trojan.PWS.Stealer
Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klauen.

Encoder

Encoder

Support-Anfragen aufgrund von Encodern im Januar 2018:

Gefährliche Webseiten

Im Januar 2018 wurden 309.933 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Dezember 2017Januar 2018Wachstum
+241.274+ 309.933+28,4%

Malware für mobile Endgeräte

Im Januar 2018 haben die Sicherheitsanalysten von Doctor Web Android.RemoteCode.127.origin entdeckt, der sich in mehrere Android-Spiele auf Google Play eingeschleust hat. Er konnte unsichtbar böswillige Module herunterladen und starten. Letztere waren in der Lage, vordefinierte Aktionen durchzuführen. Darüber hinaus wurden Anwender vom Banking-Trojaner Android.BankBot.250.origin bedroht, der Online-Banking-Zugangsdaten klaute. Man entdeckte auch Android.CoinMine.8, der Kapazitäten von Smartphones und Tablets zum Schürfen von Monero ausnutzt. Darüber hinaus konnte die Dr.Web Virendatenbank um mehrere Signaturen für Android-Spyware erweitert werden. Mit Hilfe dieser Malware - Android.Spy.422.origin - konnten Kriminelle Nutzer ausspionieren. Andere böswillige Apps waren Variationen von Android.Spy.410.origin, der noch im Dezember 2017 verbreitet wurde.

Hauptereignisse in der mobilen Sicherheitsszene:

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2018

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt