Der November 2016 war reich an sicherheitsrelevanten Ereignissen. Die Virenanalysten von Doctor Web entdeckten u.a. ein Botnet, das russische Banken angriff, registrierten einen gezielten Angriff gegen Hersteller von Baukränen und informierten über die Verbreitung des Android-Trojaners, der von über 1 Mio. Nutzern auf Google Play heruntergeladen wurde.
(firmenpresse) - Im November entdeckten die Sicherheitsexperten von Doctor Web ein Botnet, welches mehrere DDoS-Angriffe durchführen kann, wie z.B. Dateien auf den infizierten PC hochladen und starten Die Cyber-Kriminellen verwendeten hierfür die BackDoor.IRC.Medusa.1. Der Trojaner gehört zur Klasse der IRC-Bots und erhält Befehle via IRC (Internet Relay Chat), indem er sich per Chat-Kanal anschließt. Die Virenanalysten von Doctor Web gehen davon aus, dass dieser Trojaner zum Angriff gegen die Sberbank, die größte Finanzinstitution Russlands, verwendet wurde.
Ferner registrierten die Analysten von Doctor Web einen neuen Schädling namens Python.BackDoor.Crane.1, der Daten von Rechnern der Mitarbeiter eines Kranherstellers stahl. Die Backdoor machte darüber hinaus Bildschirmaufnahmen von infizierten PCs und sendete diese an den Verwaltungsserver. Die Autoren von Python.BackDoor.Crane.1 bastelten den Code wohl aus mehreren Quellen zusammen, u.a. von der Webseite rsdn.org. Ein Indiz dafür ist die Einstellung User-Agent, die der Schädling nutzt.
Für großes Aufsehen sorgte auch Android.MulDrop.924, der sich als harmlose Software verbreitet, jedoch Malware herunterlädt und Werbung anzeigt. Insgesamt wurde der Trojaner von über 1 Mio. Nutzern auf Google Play heruntergeladen. Zudem entdeckte Doctor Web den Trojaner Android.Spy.332.origin, der auf einigen Android-Endgeräten vorinstalliert war. Er konnte unbemerkt Apps herunterladen, installieren, löschen und Daten an Dritte weiterleiten.
Statistik von Dr.Web CureIt!:
- Trojan.BtcMine.793: Trojaner, der versteckte CPU-Ressourcen zum Mining von Kryptowährung ausnutzt.
- Trojan.LoadMoney: Downloader, die im Rahmen des Partnerprogramms LoadMoney generiert werden. Diese Schädlinge laden böswillige Anwendungen herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.BPlug: Plug-ins für beliebte Browser, die Werbung anzeigen.
- Trojan.Triosir.687: Trojaner, der als Plug-in aufgebaut ist und aufdringliche Werbung anzeigt.
- Trojan.MulDrop6.12114: Trojaner, der Malware auf den PC herunterlädt und installiert.
Server-Statistik von Doctor Web:
- JS.Redirector: Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und auf dem Rechner des Opfers installieren.
- Trojan.Zadved: Schadcode, der Suchtreffer auf Google und Werbemeldungen auf anderen Webseiten verfälscht.
- JS.DownLoader: Böswillige Szenarien, die Sicherheitslücken ausnutzen, Malware herunterladen und diese auf dem Rechner des Opfers installieren.
- Trojan.NtRootKit.6725: Rootkit-Trojaner, der sich im System versteckt und seinen Code in gestartete Prozesse integriert.
Malware-Statistik im E-Mail-Traffic:
- JS.DownLoader: Böswillige Szenarien, die Sicherheitslücken ausnutzen, Malware herunterladen und diese auf dem Rechner des Opfers installieren.
- JS.Redirector: Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und diese auf dem Rechner des Opfers installieren.
Statistik von Dr.Web für Telegram:
- Android.Locker.139.origin: Android-Trojaner, der ein mobiles Endgerät sperrt und für die Entsperrung Geld verlangt.
- Joke.Locker.1.origin: Android-Trojaner, der aufdringliche Werbung und BSOD anzeigen kann.
- BackDoor.Bifrost.29284: Trojaner, der Befehle von Cyber-Kriminellen erhält und ausführt.
- Trojan.PWS.Spy.11887: Trojaner für Windows, der sensible Daten klauen kann.
- Android.Spy: Familie von Trojanern, die mobile Endgeräte unter Android infizieren, Kontakte ablesen, Kurznachrichten erhalten und versenden, den Standort per GPS, IMEI und die Telefonnummer bestimmen können.
Verschlüsselungstrojaner:
Anfragestatistik vom technischen Support von Doctor Web:
- Trojan.Encoder.858: 16,97% Anfragen
- Trojan.Encoder.761: 14,54% Anfragen
- Trojan.Encoder.3953: 5,55% Anfragen
- Trojan.Encoder.3976: 3,79% Anfragen
- Trojan.Encoder.567: 1,50% Anfragen
Gefährliche Webseiten:
Im November 2016 wurden 254.736 Internetadressen in die Datenbank von nicht empfohlenen Webseiten eingetragen.
-August 2016: 338.670
-September 2016: 254.736
-Wachstum: +13,27%
Im Internet surfen Nutzer oft auf Webseiten, die nicht unbedingt betrügerisch wirken, aber Auftritte von anderen Unternehmen oder Behörden kopieren. Diese Webseiten täuschen Nutzer mit Phishing-Methoden. Besitzer solcher Webseiten sind Firmen, die ihr Geld aus zweifelhafter Werbung erwirtschaften.
Böswillige Webseiten für Linux:
Seit Anfang November haben die Virenanalysten 389.285 Angriffe auf Linux-Endgeräte registriert, darunter 79.447 via SSH und 309.838 via Telnet.
- Linux.Hajime: Familie von Linux-Würmern, die sich via Telnet verbreiten.
- Linux.DownLoader: Trojaner und Skripts für Linux, die auf Rechner hochgeladen und installiert werden.
- Linux.PNScan.2: Linux-Wurm, der Geräte infiziert, Ports 9000 und 1337 eröffnet, Anfragen bedient und eine Verbindung herstellt.
- Linux.BackDoor.Remaiten: Linux-Malware für DDoS-Angriffe. Der Trojaner ist in der Lage, ein Endgerät via Telnet zu hacken und bei Erfolg einen Downloader herunterzuladen, der Malware auf den infizierten Rechner herunterlädt.
- Linux.BackDoor.Gates: Linux-Trojaner mit Funktionen einer Backdoor und eines DDoS-Bots. Die Trojaner sind in der Lage, Befehle auszuführen und DDoS-Angriffe durchzuführen.
Weitere Ereignisse:
Python.BackDoor.Crane.1 verfügt über mehrere Module. Jedes Modul übernimmt eine der folgenden Aufgaben:
- Via cmd übermittelte Befehle ausführen;
- Datei per Link herunterladen und diese in einem vorgegebenen Verzeichnis abspeichern;
- Inhalte aus einem Verzeichnis gruppieren und an einen Server weiterleiten;
- Bildschirmaufnahmen machen und an einen Server weiterleiten;
- Datei via FTP auf den vorgegeben Server hochladen;
- Datei via HTTP auf den vorgegebenen Server hochladen.
Außerdem kann die Backdoor nach Befehl von Cyber-Kriminellen Python-Schädlinge wie Python.BackDoor.Crane.1 und Python.BackDoor.Crane.2 herunterladen und starten.
Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de