(openPR) Der IT-Sicherheitsspezialist Doctor Web präsentiert den Monatsbericht über Viren & Co. für den Monat Juli 2015. Im zweiten Sommermonat sind gleich mehrere böswillige Programme für Windows, Linux und Google Android aufgetaucht. Im Juli wurde eine Signatur für einen neuen Trojaner in die Dr.Web Virendatenbank aufgenommen, der sich in Webseiten integriert und unerwünschte Werbung via Webinject anzeigt. Ende des Monats wurden eine neue Backdoor für Linux sowie ein Trojaner für Android, der inzwischen über 1,5 Mio. Mal heruntergeladen wurde, entdeckt.
Die Bedrohung des Monats Juli 2015:
Zur "Malware Nummer eins" im Juli wurde von den Doctor Web Virenanalysten Trojan.Ormes.186 gekürt. Dieser ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht und sich über Dropper verbreitet. Das Ziel besteht darin, mittels Webinjects Werbung einzublenden. Dazu enthält der Schädling ca. 200 Internetadressen. Darunter fallen vor allem Webseiten für Jobsuche, Suchmaschinen und soziale Netzwerke.
Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu simulieren und folgende unerwünschte Aktionen durchzuführen:
- Kostenpflichtige Abos von Mobilfunkanbietern bestätigen;
- Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook ein böswilliges Szenario von einer Webseite herunterladen und Opfer zu Webseiten mit kostenpflichtigen Inhalten weiterleiten;
- Bei Suchtreffern lästige Werbebanner einsetzen;
- Auf Facebook-Seiten ein verdecktes iframe-Element einfügen und eigenmächtig „Likes“ setzen.
- Trojan.DownLoad3.35967: Download-Trojaner, der andere Malware auf den infizierten Rechner herunterlädt.
- Trojan.LoadMoney: Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.Click3.12046: Familie von böswilligen Trojanern, die die Besucherzahl von Webseiten steigern, indem sie Besucher unfreiwillig auf bestimmte Inhalte umleiten.
- Trojan.Crossrider1.31615: Trojaner, der Benutzern unerwünschte Werbung anzeigt.
- Trojan.Siggen6.33552: Malware zur Installation anderer böswilliger Programme.
- Trojan.Siggen6.33552: Malware für die Installation anderer böswilliger Programme.
- Trojan.Installmonster.1235: Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren.
- Trojan.Kbdmai.8: Familie von Trojanern, die unerwünschte Software herunterladen und installieren.
- Trojan.LoadMoney.681: Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Die Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.DownLoad3.35967: Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
- Trojan.PWS.Multi.911: Trojaner, der Passwörter sowie andere vertrauliche Informationen, u.a. Zugangsdaten für Online-Banking, entwendet.
- Trojan.PWS.Stealer: Trojaner, der Passwörter sowie andere vertrauliche Informationen stiehlt.
- BackDoor.Andromeda: Download-Trojaner, die weitere Malware auf den infizierten Rechner herunterladen und installieren.
- Trojan.DownLoader: Download-Trojaner, der zusätzliche Malware auf den infizierten Rechner herunterlädt.
Botnets:
Trotz anderweitiger Vermutungen sind Botnets immer noch am Leben. Eines davon, welches von den Doctor Web Analysten besonders sorgfältig beobachtet wird, ist Win32.Rmnet.12.
Rmnet ist ein Dateivirus, der sich automatisch verbreitet, sich in aufgerufene Webseiten einnistet und fremde Inhalte anzeigt. Er ist in der Lage, an die Bankdaten des Benutzers zu gelangen und Cookies sowie Passwörter für beliebte FTP-Clients zu entwenden bzw. Befehle von Cyber-Kriminellen auszuführen.
Der Schädling verfügt über folgende Funktionen:
- Herunterladen aus einem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem infizierten Rechner;
- Einbettung in gestartete Prozesse;
- Abbrechen von Antivirensoftware und Sperren des Zugriffs auf vordefinierte Webseiten;
- Infizierung von Dateien auf Festplatten oder Wechseldatenträgern inkl. Erstellung der Autostartdatei autorun.inf sowie Einbettung von Dateien in allgemein zugängliche Verzeichnisse sowie Erstellung der Autostartdatei autorun.inf.
Im Vergleich zum Monat Juni ist die Zahl von DDoS-Angriffen, die durch Linux.BackDoor.Gates.5 durchgeführt wurden, zurückgegangen. Insgesamt wurden 954 Angriffe festgestellt, was 25,7% weniger als im Juni 2015 ist. 74,8% aller Angriffe entfallen auf Webseiten, die sich in China befinden. 20,4% aller angegriffenen Webseiten liegen in den USA.
Verschlüsselungstrojaner:
Anzahl der Anfragen an Doctor Web für Datenentschlüsselung:
Juni 2015: 1.417
Juli 2015: 1.414
Dynamik: - 0,2 %
Meist verbreitete Verschlüsselungstrojaner im Juli 2015:
- Trojan.Encoder.567
- Trojan.Encoder.858.
Böswillige Programme für Linux:
Im Juli haben die Sicherheitsspezialisten von Doctor Web einen neuen Linux-Trojaner entdeckt. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.
Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Offensichtlich haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. Es wurden jedoch nicht alle Funktionen realisiert.
Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei jedoch viele Aspekte vernachlässigt. Daher trifft man oft auf Komponenten und Konstrukte, die keinen Bezug zu Linux haben.
Gefährliche Webseiten:
Im Juli 2015 wurden insgesamt 821.409 neue Internetadressen in die Dr.Web Virendatenbank aufgenommen.
Juni 2015: + 978.982
Juli 2015: + 821.409
Dynamik: - 16 %
Der Monat Juli war reich an Ereignissen in der Android-Security-Szene. So haben Virenanalysten von Doctor Web Android.DownLoader.171.origin entdeckt, der auf Google Play zum Download stand.
Insgesamt wurde er über 1,5 Mio. Mal heruntergeladen. Dieser Trojaner kann nicht nur Apps auf Befehl der Cyber-Kriminellen installieren, sondern diese auch unsichtbar löschen. Außerdem ist er in der Lage, Meldungen anzuzeigen, über die der Benutzer auf speziell angefertigte Webseiten weitergeleitet wird.
Fazit: Die Trends für Android im Juli 2015:
- Cyber-Kriminelle nutzen Werbeplattformen aus, um über Trojaner schnell zu Geld zu kommen;
- Neue böswillige Apps tauchen auf Google Play auf;
- Neue Android-Erpresser werden verbreitet;
- Neue Backdoor-Trojaner werden durch Cyber-Kriminelle gelauncht;
- Anzahl von SMS-Trojanern steigt an.
