Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Profil
Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum

Rückblick und Analyse von Bedrohungen im Monat Dezember 2015

Frankfurt, 24. Dezember 2015

Der erste Wintermonat ist eher selten geprägt von IT-Sicherheitsvorfällen. Vor und während der Ferien zeigen sich Cyber-Kriminelle wenig aktiv. Der Monat Dezember 2015 ist hier keine Ausnahme. So wurde Anfang des Monats ein Linux-Trojaner detektiert, der auf einem infizierten Gerät böswillige Applikationen installieren kann, und ein Installationsassistent für unerwünschte Anwendungen unter OS X. Die Virenanalysten von Doctor Web haben außerdem erneut die Verbreitung eines gefährlichen Trojaners für Google Android, der sich bereits Anfang 2015 zeigte, festgestellt. Anfang des Jahres 2015 gab es bereits 31.000 Exemplare davon.

Haupttrends des Monats Dezember

  • Verbreitung eines neuen Linux-Trojaners
  • Aufkommen eines Installationsassistenten für unerwünschte Applikationen unter OS X
  • Verbreitung eines gefährlichen Bankentrojaners für Android

Bedrohung des Monats

Das Interesse von Cyber-Kriminellen für das Betriebssystem OS X wächst. Dafür spricht das ständige Vermehren von Viren & Co. für dieses Betriebssystem. Die meisten Bedrohungen für Apple sind heute Werbe-Trojaner und Applikationen, die unerwünschte Software installieren. Zur letzten Kategorie gehört Adware.Mac.Tuguu.1, welcher von den Doctor Web Virenanalysten Anfang 2015 entdeckt wurde. Adware.Mac.Tuguu.1 ermöglicht eine verdeckte Installation von böswilligen Applikationen auf dem infizierten Endgerät.

screen Adware.Mac.Tuguu.1 #drweb screen Adware.Mac.Tuguu.1 #drweb

Diese böswillige Applikation verbreitet sich als Software für OS X. Beim Starten liest Adware.Mac.Tuguu.1 die Konfigurationsdatei ".payload", welche in dem Verzeichnis liegt, aus dem die Software gestartet wurde. Anschließend bestimmt der Schädling die Adresse des Verwaltungsservers, ändert diese und fragt nach einer Liste mit weiteren zu installierenden Applikationen. Alle Daten, die der Schädling mit dem Server austauscht, werden verschlüsselt. Insgesamt kann der Schädling 736 verschiede Anwendungen für die Installation vorschlagen. Dabei prüft Adware.Mac.Tuguu.1 noch vor der Installation, ob Applikationen kompatibel sind. So wird er z.B. MacKeeper und MacKeeper Grouped nicht zusammen installieren. Adware.Mac.Tuguu.1 versucht auch sicherzustellen, dass eine solche Applikation im System zuvor nicht installiert war und die Installation erfolgreich abgeschlossen wurde. Weitere Informationen dazu finden Sie hier.

Statistik von Dr.Web CureIt

screen #drweb

Statistik von Doctor Web

screen #drweb

Viren & Co. im Malware-Traffic

screen #drweb

Botnets

Die Sicherheitsanalysten von Doctor Web verfolgen die Situation rund um das Botnet von Win32.Rmnet.12. Die Aktivität dieses Botnets sieht nun folgendermaßen aus:

screen #drweb

screen #drweb

Rmnet ist eine Familie von Dateiviren, die sich ohne Teilnahme des Benutzers verbreiten. Sie sind in der Lage, sich in Webseiten einzubetten und ermöglichen Cyber-Kriminellen den Datenklau (u.a. Zugangsdaten für das Online-Banking, Cookies und FTP-Passwörter).

Immer noch läuft das Botnet, das auf Basis von Win32.Sector. eingerichtet wurde. Der Schädling kann Folgendes leisten:

So sieht das Verhalten des Botnets aus:

screen #drweb

Verschlüsselungstrojaner

screen #drweb

Die meist verbreiteten Verschlüsselungstrojaner im Dezember 2015:

Dr.Web Security Space 11.0 für Windows
schützt vor Verschlüsselungstrojanern!

Diese Funktionalität ist in der Lizenz von Dr.Web für Windows nicht verfügbar.

Schutz vor Datenverlust
Schutz vor DatenverlustSchutz vor Datenverlust

Mehr

Viren & Co. für Linux

Viren & Co. für Linux vermehren sich ständig: im Dezember 2015 haben die Virenanalysten von Doctor Web Linux.Rekoobe.1 entdeckt, der auf Befehl der Cyber-Kriminellen Dateien herunterladen und mit dem Interpretator von Linux interagieren kann. Die ersten Versionen von Linux.Rekoobe.1 sind für die Infizierung von Geräten unter Linux mit einer SPARC-Architektur gedacht. Den Doctor Web Analysten sind mehrere Exemplare von Linux.Rekoobe.1 sowohl für 32-, als auch 64-Bit-Versionen von Linux bekannt.

Die Verbindung zu einem Befehlsserver läuft über einen Proxy. Außerdem ist Linux.Rekoobe.1 mit einem ausgeklügelten Kontrollalgorithmus von verschlüsselten Daten ausgerüstet. Obwohl Linux.Rekoobe.1 ziemlich kompliziert ist, kann er nur drei Befehle ausführen: Dateien herunter- und hochladen sowie Befehle an einen Linux-Interpretator weitergeben und diese an einen Remote-Server weiterleiten. Dadurch können Cyber-Kriminelle ein infiziertes Gerät per Fernzugriff kontrollieren. Weitere Informationen dazu finden Sie hier.

Böswillige Webseiten

Im Dezember 2015 wurden die Daten von 210.987 nicht empfehlenswerten Webseiten aufgenommen.

November 2015Dezember 2015Wachstum
+ 670 545+ 210 987- 68.53%

Unerwünschte Webseiten

Malware und nicht empfehlenswerte Applikationen für mobile Endgeräte

Im Dezember 2015 kommen Cyber-Kriminelle auf mobile Endgeräte zurück. Der Monat kann für Übeltäter deshalb nicht als entspannt bezeichnet werden. So wurden u.a. Bankentrojaner verbreitet, die Geld von Bankkonten der Kunden geklaut haben. Außerdem wurde eine Vielzahl von SMS-Sendern und ein Schädling für iOS entdeckt.

Trends in der mobilen IT-Sicherheitsszene im Dezember 2015:

Weitere Informationen dazu finden Sie hier.

Erfahren Sie mehr!

Virenstatistik Bibliothek Alle Sicherheitsreports Live-Labor

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt