Die Virenanalysten von Doctor Web entdeckten im Januar einen besonders aggressiven Wurm, der RAR-Archive infiziert und gleichzeitig andere Malware löscht. Zudem machten die Experten einen neuen Linux-Trojaner ausfindig, der bereits tausende Geräte infiziert hat. Auch mobile Geräte stehen weiterhin im Fokus von Cyber-Kriminellen: So verbreitete sich ein Bankentrojaner über das Mobile Game Super Mario Run.
(firmenpresse) - Im Januar entdeckten die Virenanalysten von Doctor Web einen neuen Wurm: BackDoor.Ragebot.45. Er ist in der Lage, RAR-Archive zu infizieren und sich in Ordner von Software zu kopieren. Außergewöhnlich hierbei: Er sucht dabei nach anderen Trojanern, bricht deren Prozesse ab und löscht ihre ausführbaren Dateien.
BackDoor.Ragebot.45 funktioniert folgendermaßen: Er erhält Befehle via IRC (Internet Relay Chat) und startet einen FTP-Server. Mit dessen Hilfe lädt der Trojaner seine Kopie auf den infizierten Rechner herunter. Anschließend baut er via Virtual Network Computing (VNC) eine Verbindung zum Arbeitsplatz auf, indem er ein Passwort ermittelt und den Befehlsinterpretator (CMD) startet. Abschließend führt er den Code aus, um seine Kopie aufzuspielen.
Malware für Linux und mobile Endgeräte:
Im Januar registrierten die Virenanalysten von Doctor Web einen ungewöhnlich hohen Anstieg an Malware für Linux. Dafür hauptverantwortlich zeigt sich Linux.Proxy.10, der auf dem infizierten Gerät den Proxyserver SOCKS5 startet. Via Secure Shell verbreiten die Cyber-Kriminellen Linux.Proxy.10 und speichern dabei Benutzername und Passwort der Nutzer auf ihrem Server ab. Ende Januar waren bereits tausende Geräte infiziert.
Mobile Endgeräte stehen weiterhin im Fokus von Hackern: So spürten die Virenexperten von Doctor Web Android.Skyfin.1.origin auf, der sich in einen aktiven Prozess der App Play Market integriert und unbemerkt weitere Apps herunterlädt. Ferner entdeckten sie den Bankentrojaner Android.BankBot.140.origin., der sich über das beliebte Mobile Games Super Mario Run verbreitet. Mit Android.Locker.387.origin konnte ein weiterer Trojaner ausfindig gemacht werden, der Smartphones und Tablets sperrt.
Statistik von Dr.Web CureIt!:
- Trojan.InstallCore: Trojaner, die andere Malware installieren.
- Trojan.LoadMoney: Downloadtrojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
- Trojan.Moneyinst.31: Trojaner, der andere böswillige Software auf dem Gerät des Benutzers installiert.
- Trojan.BtcMine.793: Trojaner, der CPU-Ressourcen eines Rechners zum Mining von Kryptowährung (u.a. Bitcoins) ausnutzt.
Serverstatistik von Doctor Web:
- JS.DownLoader: Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
- Trojan.InstallCore: Installationsassistent für unerwünschte und böswillige Szenarien.
- Trojan.Zadved: Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- Trojan.Moneyinst.31: Schädling, der andere Malware auf das infizierte Gerät herunterlädt.
- BackDoor.IRC.NgrBot.42: Schädling, der via IRC (Internet Relay Chat) Befehle von Cyber-Kriminellen empfangen und ausführen kann.
Malware im E-Mail-Traffic:
- JS.DownLoader: Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
- Trojan.InstallCore: Installationsassistent für unerwünschte und böswillige Szenarien.
- Trojan.Zadved: Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- Trojan.PWS.Stealer: Trojaner, die vertrauliche Daten des Benutzers klauen.
- W97M.DownLoader: Trojaner, die Sicherheitslücken in Office-Apps ausnutzen und andere böswillige Software auf den angegriffenen PC herunterladen.
Statistik von Dr.Web Bot für Telegram:
- Android.Locker.139.origin: Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
- Joke.Locker.1.origin: Scherzprogramm für Android, das den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.
- Android.HiddenAds.24: Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
- Android.Spy.178.origin: Trojaner für Windows, der vertrauliche Daten des Benutzers (u.a. Benutzernamen und Passwörter) klauen kann.
- Trojan.DownLoader: Trojaner, die Malware auf das infizierte Gerät herunterladen.
Meist verbreitete Encoder im Jahr 2017:
- Trojan.Encoder.858: 36,71% Anfragen
- Trojan.Encoder.3953: 5,00% Anfragen
- Trojan.Encoder.567: 3,97% Anfragen
- Trojan.Encoder.761: 3,33% Anfragen
- Trojan.Encoder.3976: 2,88% Anfragen
Gefährliche Webseiten:
Im Januar 2017 wurden 223.127 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
- Dezember 2016: +226.744
- Januar 2017: +223.127
- Wachstum: -1,59%
Malware für Linux:
Eine neue Variante von Linux.Lady wurde entdeckt: Linux.Lady.4. In dieser Version kann der Schädling Kryptowährung nicht mehr minen, dafür aber Netzwerkdatenstrukturen angreifen. Außerdem verfügt der Trojaner über ein Modul, welches via RPC (Remote Procedure Call) mit Remote-Servern kommunizieren kann.
Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de
WE Communications
Теl.: +49 (0)89 6281 75 0
Fax: +49 (0)89 6281 75 11
E-Mail: pr(at)drweb-av.de