Deutschlands großes Presseportal - Homepage
» kostenlos Pressemitteilung veröffentlichen
» Kunden Login zu "meine Redaktion"
»Suche / Lokale Suche
> Startseite > IT, Computer & Internet

Bedrohungshighlights des Monats Juni 2016

Der erste Sommermonat 2016 war „ziemlich heiß“ für die IT-Sicherheitsanalysten von Doctor Web.
Anfang Juni wurden der neue Bankentrojaner Bolik und der Werbetrojaner Trojan.Kovter.297 entdeckt und analysiert. Außerdem gelang es den Experten, mehrere Angriffe auf Nutzer der Buchhaltungssoftware 1C aufzuspüren. Die Angriffe hatten das Ziel, auf dem infizierten Computer Ransomware zu installieren und den Computer zu verschlüsseln, um dessen Nutzung zu unterbinden. Zudem wurde die Spyware Trojan.PWS.Spy.19338 entdeckt, die Eingaben auf dem Keyboard während der Nutzung von Buchhaltungssoftware mitloggt sowie neue Android-Trojaner auf Google Play.

Haupttrends:
• Neuer polymorpher Virus namens „Bolik“
• Buchhaltungssoftware 1С im Fadenkreuz neuer Trojaner
• Neuer Werbetrojaner Trojan.Kovter.297
• Gestiegene Verbreitung der Spyware Trojan.PWS.Spy.19338

Bedrohung des Monats:
Die 1С-Software, die häufig bei Buchhaltern in russischen Unternehmen genutzt wird, weist offensichtlich Sicherheitslücken auf. Diese werden durch den Trojaner 1C.Drop.1 ausgenutzt, der sich von seinen Vorgängerversionen dadurch unterscheidet, dass er einen vollfunktionalen Dropper enthält, der wiederum den Trojan.Encoder.567 auf der Festplatte speichert und anschließend startet.
Der Trojaner verbreitet sich über E-Mails mit dem Betreff „PLZ unserer Bank wurde geändert“ und einer beigefügten „1C: Enterprise-Datei“. Wenn der Empfänger die Anweisungen des Trojaners befolgt, versendet der Schädling seine Kopien an Kontakte aus dem 1C:-Verzeichnis und extrahiert, speichert und startet Trojan.Encoder.567.
Der Schädling verschlüsselt anschließend Benutzerdateien und fordert Lösegeld für die Dekodierung.

Neue Malware, die von Dr.Web CureIt! gefunden wurde:
• Trojan.MulDrop: Trojaner zur Installation von Malware auf dem infizierten PC.
• Trojan.InstallCore.1903: Trojaner zur Installation von unerwünschten und schädlichen Anwendungen.
• Trojan.Zadved: Trojaner zur Unterschiebung von Suchtreffern im Browser sowie zur Anzeige von gefälschten Social-Media-Meldungen. Außerdem kann der Schädling Werbe-Meldungen auf Webseiten ersetzen.
• Trojan.DownLoader: Trojaner zum Herunterladen von böswilligen Anwendungen auf dem anzugreifenden PC.
• Trojan.LoadMoney: Loader, die durch Server des Partnerprogramms LoadMoney generiert werden. Diese sind zur Installation von Malware auf dem infizierten PC des Opfers gedacht.

Aktuelle Entwicklungen, die von den Dr.Web Servern entdeckt wurden:
• JS.Redirector: Gefährliche JavaScripts, die Nutzer automatisch auf andere Webseiten weiterleiten.
• JS.Downloader: JavaScript-Versionen, die zur Installation von Malware auf infizierten PCs dienen.
• BackDoor.IRC.NgrBot.42: Ein seit 2011 bekannter Trojaner zum Attackieren von Rechnern und Ausführen von Befehlen durch Cyber-Kriminelle via IRC (Internet Relay Chat).
• Trojan.InstallCore.1903: Trojaner zur Installation von schädlichen Anwendungen.
• Trojan.Zadved: Ein Trojaner, der Suchtreffer im Browser unterschiebt und falsche Social-Media-Meldungen anzeigt. Außerdem kann der Schädling Werbe-Meldungen auf Webseiten ersetzen.

Malware, die sich im E-Mail-Traffic verbirgt:
• JS.Redirector: Gefährliche JavaScripts, die Nutzer automatisch auf andere Webseiten weiterleiten.
• JS.Downloader: JavaScript-Versionen, die zur Installation von Malware auf infizierten PCs dienen. Der Schädling aus der Kategorie der Bankentrojaner stellt eine Bedrohung für Anwender dar, weil er Cyber-Kriminellen den Diebstahl von sensiblen Daten über Injects und Formulare ermöglicht.
• Trojan.PWS.Turist: Trojaner zum Stehlen von Benutzerdaten für den Online-Banking-Zugang (u.a. unter Einsatz von Smart Cards).
• Trojan.Encoder.858: Trojaner, der Benutzerdateien auf dem Rechner des Opfers verschlüsselt und für die Dekodierung Geld erpresst.

Verschlüsselungstrojaner:
Die meist verbreiteten Verschlüsselungstrojaner im Juni 2016:
• Trojan.Encoder.858
• Trojan.Encoder.2843
• Trojan.Encoder.4860

Im Juni 2016 verbreitete sich Trojan.Encoder.4860, der auch unter dem Namen JS.Crypt bekannt ist. Dieser Encoder wurde ausschließlich auf JScript entwickelt. Der Trojaner nennt sich «Virusс RAA». Verschlüsselte Dateien bekommen die Erweiterung *.locked. Nachdem die Verschlüsselung von Benutzerdateien abgeschlossen wurde, platziert Trojan.Encoder.4860 eine RTF-Datei. Momentan ist jedoch eine Entschlüsselung nahezu unmöglich, an einer Lösung wird intensiv geforscht.

Weitere aktuelle Entwicklungen am Malware-Markt:
Laut Analyse von Doctor Web, ist der Bankenvirus Trojan.Bolik.1 dazu geeignet, Geld von Konten der Kunden russischer Banken sowie sensible Informationen zu entwenden. Der Virus erbt technische Lösungen von Zeus (Trojan.PWS.Panda) und Carberp, kann sich ferner selbständig verbreiten und ausführbare Dateien infizieren.
Auf Befehl von Cyber-Kriminellen sucht Trojan.Bolik.1 nach ausführbaren Dateien in Verzeichnissen sowie auf via USB angeschlossenen Geräten und infiziert diese. Infizierte Applikationen werden durch Dr.Web als Win32.Bolik.1 angezeigt. In jeder infizierten Applikation steckt wiederum ein verschlüsselter Trojan.Bolik.1.
Trojan.Bolik.1 kann Benutzerdaten, die via Microsoft Internet Explorer, Chrome, Opera oder Mozilla Firefox versendet werden, kontrollieren. Darüber hinaus kann der Virus Bildschirmaufnahmen machen, einen Proxy-Server und einen Web-Server einrichten, über die er mit Cyber-Kriminellen Daten austauschen kann.

Eine weitere Neuheit im Juni ist der körperlose Trojan.Kovter.297. Dieser Schädling startet im Hintergrund mehrere Exemplare von Microsoft Internet Explorer, ruft vordefinierte gefährliche Webseiten auf, imitiert Seitenimpressionen und klickt auf Links sowie Banner. Der Trojaner ist auf dem PC des Opfers als eigenständige Datei vorhanden, läuft im Hauptspeicher und benutzt für seine Zwecke das System-Registry von Windows.


Ende Juni entdeckten die Sicherheitsanalysten von Doctor Web Trojan.PWS.Spy.19338, den Spion, der es auf Buchhalter abgesehen hat. Sein Hauptziel besteht im Ablesen von Daten aus Fenstern der Buchhaltungssoftware 1С. Außerdem sammelt er Informationen zum infizierten System und übermittelt diese an Cyber-Kriminelle.

Außerdem wurde die Verbreitung von Linux.BackDoor.Irc.13 registriert. Dieser Schädling ist eine neue Version von Linux.BackDoor.Tsunami, enthält aber kein Werkzeug zum Ausführen von DDoS-Angriffen. Befehle erhält er via IRC (Internet Relay Chat).

Apple-Rechner sind schon länger eine beliebte Zielscheibe für digitale Angreifer. Im Juni konnte man Mac.BackDoor.SynCloud.1 entdecken, der Benutzerdaten aus Systemen extrahiert und an einen Remote-Server übermittelt. Nach dem Befehl von Cyber-Kriminellen kann er eine ausführbare Datei oder ein Szenario vom Befehlsserver auf Python herunterladen und vordefinierte Aktionen durchführen. Alle Daten, die Mac.BackDoor.SynCloud.1 mit seinem Server austauscht, werden verschlüsselt.

Gefährliche Webseiten:
Im Juni 2016 wurden insgesamt 1.716.920 gefährliche Internetadressen in die Datenbank von Dr.Web aufgenommen.
• Mai 2016: 550.258
• Juni 2016: 1.716.920
• Wachstum: +212%

Schädliche Software für mobile Endgeräte:
Hauptereignisse aus der mobilen IT-Sicherheitsszene:
• Auf Google Play wurde ein Trojaner entdeckt, der verdächtige Webseiten öffnet und diese als Werbebanner anzeigt.
• Auf Google Play wurde ein Trojaner entdeckt, der VK.com-Benutzerdaten klaut.

Im Juni haben die Sicherheitsanalysten von Doctor Web mehrere Applikationen entdeckt, die sich über Google Play verbreiteten. Darunter befindet sich z.B. Android.Valeriy.1.origin. Dieser Trojaner lädt verdächtige Webseiten und zeigt diese als Werbebanner an, auf denen der Benutzer aufgefordert wird, seine Telefonnummer einzugeben.
Anschließend wurden ohne Wissen des Benutzers kostenpflichtige Dienste freigeschaltet und das Guthaben abgebucht. Der Trojaner ist auch in der Lage, andere risikobehaftete Anwendungen sowie JavaScript-Szenarien herunterzuladen.

Ein weiterer Schädling, der auf Google Play entdeckt wurde, ist Android.PWS.Vk.3. Der Trojaner tarnt sich als vollwertiger Musik-Player für das Social Media-Netzwerk VK.com. Um die Funktionen des Players nutzen zu können, müssen sich die Nutzer zunächst mit den Log-In-Daten ihres User-Accounts anmelden. Daraufhin können Cyber-Kriminelle auf die persönlichen Daten zugreifen.

08.07.2016 13:31

Klick zum Thema:

Das könnte auch Sie interessieren:

Antivirus:

What’s the Future Roadshow 2017: Dr.Web präsentiert IT-Trend...
Doctor Web und die Prianto GmbH geben im Rahmen der „What’s the Future Roadshow 2017“ im Mai und Juni Einblicke in die IT-Trends 2017. An insgesamt fünf Locations in Deutschland, Österreich und der Schweiz erfahren interessierte Teilnehmer im...

Der Doctor Web Virenrückblick für März 2017
Im Frühling dieses Jahres zeigten sich Cyber-Kriminelle besonders aktiv: Zunächst entdeckten die Virenanalysten von Doctor Web einen Linux-Trojaner, der auf DDoS-Angriffe spezialisiert ist. Später machten sie in der Android-App „TouchPal“ ein...

Doctor Web entdeckt Werbe-Modul in beliebter Android-App
Die Virenanalysten von Doctor Web haben in der App TouchPal ein Werbe-Modul entdeckt. Es erstellt nicht-löschbare Widgets, zeigt Banner an und ermöglicht unerwünschte Pop-Ups. Über 50.000.000 Nutzer haben die App über den Google Play Store...

IT Sicherheit:

Infotecs zeigte Verschlüsselung für Drohnen sowie E-Auto-Lad...
Berlin, 19. Oktober 2017 – Der internationale Cyber Security und Threat Intelligence Anbieter Infotecs präsentierte auf der führenden IT-Sicherheitsmesse it-sa in Nürnberg verschiedene innovative Security-Lösungen, darunter die verschlüsselte...

magellan netzwerke und Partner laden ein: IT-Trends, spannen...
2. magView am 10. Oktober in Köln Köln, 9. Oktober 2017 - Der Kölner Security- und Netzwerkespezialist magellan netzwerke GmbH, lädt dieses Jahr bereits zum 2. Mal Kunden, Partner und Interessenten zu seiner Veranstaltung "magView" nach Köln...

Exclusive Networks schließt Vertrag mit Proofpoint für Deuts...
Proofpoint-Lösung bietet Schutz für E-Mail, Social Media und mobile Dienste München, 15. September 2017. E-Mail-gebundene Angriffe sind heute für alle Organisationen einer der größten Bedrohungsfaktoren. Proofpoint bietet hoch spezialisierte...

Λ nach oben

Stichwort-Suche:

Pressemitteilung von:

Logo: Dr.Web (Antivirus) Deutschland GmbH


Dr.Web (Antivirus) Deutschland GmbH

Dr.Web (Antivirus) Deutschland GmbH
Rodenbacher-Chaussee 6, 63457 Hanau

Tel.: + 49 (0) 6181-90601211
Fax.: + 49 (0) 6181-90601212


http://www.drweb-av.de

Dr.Web Antivirus Deutschland GmbH ist die deutsche Niederlassung des Herstellers von Softwarelösungen zur Sicherheit in der Informationstechnologie aus Russland, Doctor Web, Ltd. Unsere Produktpalette umfasst effiziente...

mehr »

 

 


Hinweis: Um Ihnen ein optimales Nutzererlebnis zu bieten, verwenden wir Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden.   Nachricht schließen   mehr info