Frankfurt, 30. Juli 2015
Im Juli sind Virenschreiber, die Malware für Linux-Betriebssysteme entwickeln, wieder aktiv geworden. Außerdem sind Trojaner aufgetaucht, die das Betriebssystem Windows angreifen. Für diese Schädlinge wurden entsprechende Signaturen bereits in die Dr.Web Virendatenbank aufgenommen. Auch für die mobile Plattform Google Android wurden Trojaner entdeckt, die über 1,5 Mio. Mal heruntergeladen wurden.
Haupttrends des Monats Juli
- Neue Trojaner für Linux tauchen auf
- Anzahl von Malware für Microsoft Windows wächst an
- Verbreitung der Trojaner für Google Android
Bedrohung des Monats
Schädlinge, die für die Anzeige von unerwünschter Werbung eingesetzt werden, werden weiterentwickelt. Ihre Anzahl wächst ständig. Außerdem werden sie ausgeklügelter. So wurde im Juli von unseren Sicherheitsanalysten Trojan.Ormes.186 entdeckt, der durch Webinjects die Einbettung von fremder Werbung zum Ziel hat.
Trojan.Ormes.186 ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht und sich über Dropper vebreitet. Der Schädling enthält ca. 200 Internetadressen, für die er Webinjects ausführt. Das sind vor allem Webseiten für die Jobsuche, Suchmaschinen und soziale Netzwerke.
Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu simulieren und folgende unerwünschte Aktionen durchzuführen:
- Kostenpflichtige Abos von Mobilfunkanbietern bestätigen;
- Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook ein böswilliges Szenario von einer Webseite herunterladen und Opfer zu Webseiten mit kostenpflichtigen Inhalten weiterleiten;
- Bei Suchtreffern lästige Werbebanner einsetzen;
- Auf Facebook-Seiten ein verdecktes iframe-Element einfügen und eigenmächtig „Likes“ setzen.
- Sich auf Webseiten von Online-Casinos automatisch einloggen und eine Casino-Applikation für soziale Netzwerke installieren.
Mehr über den Trojaner finden Sie hier.
Laut Statistik von Dr.Web CureIt!
Trojan.DownLoad3.35967
Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
Trojan.LoadMoney
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
Trojan.Click
Familie von böswilligen Trojanern, die Besucherzahl von Webseiten steigern, indem Besucher unfreiwillig auf bestimmte Inhalte weitergeleitet werden.
Trojan.Crossrider1.31615
Trojaner, der Benutzern unerwünschte Werbung anzeigt.
Trojan.Siggen6.33552
Malware für die Installation anderer böswilliger Programme.
Server-Statistik von Doctor Web
Trojan.Siggen6.33552
Malware für die Installation anderer böswilliger Programme.
Trojan.Installmonster
Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren.
Trojan.Kbdmai.8
Familie von Trojanern, die unerwünschte Software herunterladen und installieren.
Trojan.LoadMoney
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
Trojan.DownLoad3.35967
Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
Viren & Co. im Mailverkehr
Trojan.PWS.Multi.911
Trojaner, der Passwörter sowie andere vertrauliche Informationen, u.a. Zugangsdaten für das Online-Banking, klaut.
Trojan.PWS.Stealer
Trojaner, der Passwörter sowie andere vertrauliche Informationen klaut.
BackDoor.Andromeda
Download-Trojaner, die andere böswillige Applikationen auf den infizierten Rechner herunterladen und installieren.
Trojan.DownLoader
Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
Botnets
Botnets sind noch am Leben. Eines davon, welches von unseren Analysten besonders sorgfältig beobachtet wird, besteht aus durch Win32.Rmnet.12 eingebundenen Rechnern:
Rmnet ist ein Dateivirus, der sich ohne Erlaubnis des Benutzers verbreitet, in aufgerufene Webseiten einnistet und fremde Inhalte anzeigen kann. Theoretisch kann ein Virus an Bankdaten eines Benutzers gelangen und Cookies sowie Passwörter für beliebte FTP-Clients klauen und Befehle von Cyber-Kriminellen ausführen.
Das Botnet aus durch Win32.Sector eingebundenen Rechnern lebt weiter. Der Schädling verfügt über folgende Funktionen:
- Herunterladen aus einem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem infizierten Rechner;
- Einbettung in gestartete Prozesse;
- Abbrechen von Antivirensoftware und Sperren des Zugriffs auf vordefinierte Webseiten;
- Infizierung von Dateien auf Festplatten, Wechseldatenträgern (und Erstellung der Autostartdatei autorun.inf) sowie Dateien in allgemein zugänglichen Verzeichnissen.
Im Vergleich zum Monat Juni ist die Zahl von DDoS-Angriffen, die durch Linux.BackDoor.Gates.5 durchgeführt wurden, zurückgegangen. Insgesamt wurden 954 Angriffe festgestellt, was um 25,7% weniger als im Juni 2015 ist. 74.8% aller Angriffe entfällt auf Webseiten, die sich in China befinden. 20,4% aller angegriffenen Webseiten liegen in den USA.
Verschlüsselungstrojaner
Anzahl von Anfragen für die Datenentschlüsselung an Doctor Web:
| Juni 2015 | Juli 2015 | Dynamik |
|---|---|---|
| 1.417 | 1.414 | - 0,2 % |
Meist verbreitete Verschlüsselungstrojaner im Juli 2015:
- Trojan.Encoder.567;
- Trojan.Encoder.858.
Dr.Web Security Space 10.0 für Windows
schützt vor Verschlüsselungstrojanern
Diese Funktion ist in Dr.Web Antivirus für Windows nicht verfügbar.
| Präventivschutz | Schutz vor Datenverlust |
|---|---|
 |  |
Böswillige Programme für Linux
Im Juli haben die Sicherheitsspezialisten von Doctor Web einen neuen Linux-Trojaner entdeckt. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.
Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Allem Anschein nach haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. In der Tat wurden jedoch nicht alle Funktionen realisiert. Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei jedoch viele Aspekte vernachlässigt. Daher trifft man oft auf Komponenten und Konstrukte, die keinen Bezug zu Linux haben.
Mehr Informationen zum Trojaner finden Sie hier.
Gefährliche Webseiten
Im Juli 2015 wurden insgesamt 821.409 Internetadressen in die Dr.Web Virendatenbank aufgenommen.
| Juni 2015 | Juli 2015 | Dynamik |
|---|---|---|
| + 978.982 | + 821.409 | - 16 % |
Böswillige und unerwünschte Software für Android
Der Monat Juli war reich an Ereignissen in der Android-Security-Szene. So haben Virenanalysten von Doctor Web Android.DownLoader.171.origin entdeckt, der auf Google Play zum Download stand. Insgesamt wurde er über 1,5 Mio. Mal heruntergeladen. Dieser Trojaner kann nicht nur Apps auf Befehl der Übeltäter installieren, sondern diese auch unsichtbar löschen. Außerdem ist er in der Lage, Meldungen anzuzeigen, über die der Benutzer auf speziell angefertigte Webseiten weitergeleitet wird. Mehr Informationen zum Trojaner finden Sie hier.
Trends für Android im Juli 2015:
- Cyber-Kriminelle nutzen Werbeplattformen aus, um durch Trojaner schnell zu Geld zu kommen;
- Neue böswillige Apps tauchen auf Google Play auf;
- Neue Android-Erpresser werden verbreitet;
- Neue Backdoor-Trojaner werden durch Cyber-Kriminelle gelauncht;
- Anzahl von SMS-Trojanern steigt an.
Erfahren Sie mehr!
Virenstatistik Bibliothek Alle Sicherheitsreports Live-Labor
