Doctor Web: Rückblick und Analyse von Virenbedrohungen für den Monat Juli 2015

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Startseite" }, { box => "Bedrohungen des Monats" }, { box => "Statistik" }, { box => "Botnets" }, { box => "Verschlüsselungstrojaner" }, { box => "Für Linux" }, { box => "Gefährliche Webseiten" }, { box => "Für Android" } ] %] [% BLOCK global.tpl_blueprint.content %]

Frankfurt, 30. Juli 2015

Im Juli sind Virenschreiber, die Malware für Linux-Betriebssysteme entwickeln, wieder aktiv geworden. Außerdem sind Trojaner aufgetaucht, die das Betriebssystem Windows angreifen. Für diese Schädlinge wurden entsprechende Signaturen bereits in die Dr.Web Virendatenbank aufgenommen. Auch für die mobile Plattform Google Android wurden Trojaner entdeckt, die über 1,5 Mio. Mal heruntergeladen wurden.

Bedrohung des Monats

Schädlinge, die für die Anzeige von unerwünschter Werbung eingesetzt werden, werden weiterentwickelt. Ihre Anzahl wächst ständig. Außerdem werden sie ausgeklügelter. So wurde im Juli von unseren Sicherheitsanalysten Trojan.Ormes.186 entdeckt, der durch Webinjects die Einbettung von fremder Werbung zum Ziel hat.

Trojan.Ormes.186 ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht und sich über Dropper vebreitet. Der Schädling enthält ca. 200 Internetadressen, für die er Webinjects ausführt. Das sind vor allem Webseiten für die Jobsuche, Suchmaschinen und soziale Netzwerke.

Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu simulieren und folgende unerwünschte Aktionen durchzuführen:

• Kostenpflichtige Abos von Mobilfunkanbietern bestätigen;
• Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook ein böswilliges Szenario von einer Webseite herunterladen und Opfer zu Webseiten mit kostenpflichtigen Inhalten weiterleiten;
• Bei Suchtreffern lästige Werbebanner einsetzen;
• Auf Facebook-Seiten ein verdecktes iframe-Element einfügen und eigenmächtig „Likes“ setzen.
• Sich auf Webseiten von Online-Casinos automatisch einloggen und eine Casino-Applikation für soziale Netzwerke installieren.

Mehr über den Trojaner finden Sie hier.

Laut Statistik von Dr.Web CureIt!

• Trojan.DownLoad3.35967

  Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.

• Trojan.LoadMoney

  Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.

• Trojan.Click

  Familie von böswilligen Trojanern, die Besucherzahl von Webseiten steigern, indem Besucher unfreiwillig auf bestimmte Inhalte weitergeleitet werden.

• Trojan.Crossrider1.31615

  Trojaner, der Benutzern unerwünschte Werbung anzeigt.

• Trojan.Siggen6.33552

  Malware für die Installation anderer böswilliger Programme.

Server-Statistik von Doctor Web

• Trojan.Siggen6.33552

  Malware für die Installation anderer böswilliger Programme.

• Trojan.Installmonster

  Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren.

• Trojan.Kbdmai.8

  Familie von Trojanern, die unerwünschte Software herunterladen und installieren.

• Trojan.LoadMoney

  Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.

• Trojan.DownLoad3.35967

  Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.

Viren & Co. im Mailverkehr

• Trojan.PWS.Multi.911

  Trojaner, der Passwörter sowie andere vertrauliche Informationen, u.a. Zugangsdaten für das Online-Banking, klaut.

• Trojan.PWS.Stealer

  Trojaner, der Passwörter sowie andere vertrauliche Informationen klaut.

• BackDoor.Andromeda

  Download-Trojaner, die andere böswillige Applikationen auf den infizierten Rechner herunterladen und installieren.

• Trojan.DownLoader

  Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.

Botnets

Botnets sind noch am Leben. Eines davon, welches von unseren Analysten besonders sorgfältig beobachtet wird, besteht aus durch Win32.Rmnet.12 eingebundenen Rechnern:

Rmnet ist ein Dateivirus, der sich ohne Erlaubnis des Benutzers verbreitet, in aufgerufene Webseiten einnistet und fremde Inhalte anzeigen kann. Theoretisch kann ein Virus an Bankdaten eines Benutzers gelangen und Cookies sowie Passwörter für beliebte FTP-Clients klauen und Befehle von Cyber-Kriminellen ausführen.

Das Botnet aus durch Win32.Sector eingebundenen Rechnern lebt weiter. Der Schädling verfügt über folgende Funktionen:

• Herunterladen aus einem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem infizierten Rechner;
• Einbettung in gestartete Prozesse;
• Abbrechen von Antivirensoftware und Sperren des Zugriffs auf vordefinierte Webseiten;
• Infizierung von Dateien auf Festplatten, Wechseldatenträgern (und Erstellung der Autostartdatei autorun.inf) sowie Dateien in allgemein zugänglichen Verzeichnissen.

Im Vergleich zum Monat Juni ist die Zahl von DDoS-Angriffen, die durch Linux.BackDoor.Gates.5 durchgeführt wurden, zurückgegangen. Insgesamt wurden 954 Angriffe festgestellt, was um 25,7% weniger als im Juni 2015 ist. 74.8% aller Angriffe entfällt auf Webseiten, die sich in China befinden. 20,4% aller angegriffenen Webseiten liegen in den USA.

Verschlüsselungstrojaner

Anzahl von Anfragen für die Datenentschlüsselung an Doctor Web:

Juni 2015	Juli 2015	Dynamik
1.417	1.414	- 0,2 %

Meist verbreitete Verschlüsselungstrojaner im Juli 2015:

• Trojan.Encoder.567;
• Trojan.Encoder.858.

Böswillige Programme für Linux

Im Juli haben die Sicherheitsspezialisten von Doctor Web einen neuen Linux-Trojaner entdeckt. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.

Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Allem Anschein nach haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. In der Tat wurden jedoch nicht alle Funktionen realisiert. Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei jedoch viele Aspekte vernachlässigt. Daher trifft man oft auf Komponenten und Konstrukte, die keinen Bezug zu Linux haben.

Mehr Informationen zum Trojaner finden Sie hier.

Gefährliche Webseiten

Im Juli 2015 wurden insgesamt 821.409 Internetadressen in die Dr.Web Virendatenbank aufgenommen.

Juni 2015	Juli 2015	Dynamik
+ 978.982	+ 821.409	- 16 %

Unerwünschte Webseiten

Böswillige und unerwünschte Software für Android

Der Monat Juli war reich an Ereignissen in der Android-Security-Szene. So haben Virenanalysten von Doctor Web Android.DownLoader.171.origin entdeckt, der auf Google Play zum Download stand. Insgesamt wurde er über 1,5 Mio. Mal heruntergeladen. Dieser Trojaner kann nicht nur Apps auf Befehl der Übeltäter installieren, sondern diese auch unsichtbar löschen. Außerdem ist er in der Lage, Meldungen anzuzeigen, über die der Benutzer auf speziell angefertigte Webseiten weitergeleitet wird. Mehr Informationen zum Trojaner finden Sie hier.

Trends für Android im Juli 2015:

• Cyber-Kriminelle nutzen Werbeplattformen aus, um durch Trojaner schnell zu Geld zu kommen;
• Neue böswillige Apps tauchen auf Google Play auf;
• Neue Android-Erpresser werden verbreitet;
• Neue Backdoor-Trojaner werden durch Cyber-Kriminelle gelauncht;
• Anzahl von SMS-Trojanern steigt an.

Erfahren Sie mehr!

Virenstatistik Bibliothek Alle Sicherheitsreports Live-Labor

[% END %]