Doctor Web Virenrückblick für Januar 2017

(openPR) Im Januar entdeckten die Virenanalysten von Doctor Web einen neuen Wurm: BackDoor.Ragebot.45. Er ist in der Lage, RAR-Archive zu infizieren und sich in Ordner von Software zu kopieren. Außergewöhnlich hierbei: Er sucht dabei nach anderen Trojanern, bricht deren Prozesse ab und löscht ihre ausführbaren Dateien.

BackDoor.Ragebot.45 funktioniert folgendermaßen: Er erhält Befehle via IRC (Internet Relay Chat) und startet einen FTP-Server. Mit dessen Hilfe lädt der Trojaner seine Kopie auf den infizierten Rechner herunter. Anschließend baut er via Virtual Network Computing (VNC) eine Verbindung zum Arbeitsplatz auf, indem er ein Passwort ermittelt und den Befehlsinterpretator (CMD) startet. Abschließend führt er den Code aus, um seine Kopie aufzuspielen.

Malware für Linux und mobile Endgeräte:
Im Januar registrierten die Virenanalysten von Doctor Web einen ungewöhnlich hohen Anstieg an Malware für Linux. Dafür hauptverantwortlich zeigt sich Linux.Proxy.10, der auf dem infizierten Gerät den Proxyserver SOCKS5 startet. Via Secure Shell verbreiten die Cyber-Kriminellen Linux.Proxy.10 und speichern dabei Benutzername und Passwort der Nutzer auf ihrem Server ab. Ende Januar waren bereits tausende Geräte infiziert.

Mobile Endgeräte stehen weiterhin im Fokus von Hackern: So spürten die Virenexperten von Doctor Web Android.Skyfin.1.origin auf, der sich in einen aktiven Prozess der App Play Market integriert und unbemerkt weitere Apps herunterlädt. Ferner entdeckten sie den Bankentrojaner Android.BankBot.140.origin., der sich über das beliebte Mobile Games Super Mario Run verbreitet. Mit Android.Locker.387.origin konnte ein weiterer Trojaner ausfindig gemacht werden, der Smartphones und Tablets sperrt.

Statistik von Dr.Web CureIt!:
- Trojan.InstallCore: Trojaner, die andere Malware installieren.
- Trojan.LoadMoney: Downloadtrojaner, die durch Server von LoadMoney generiert werden. Die Apps laden unerwünschte Software herunter und installieren diese auf dem PC des Opfers.
- Trojan.Moneyinst.31: Trojaner, der andere böswillige Software auf dem Gerät des Benutzers installiert.
- Trojan.BtcMine.793: Trojaner, der CPU-Ressourcen eines Rechners zum Mining von Kryptowährung (u.a. Bitcoins) ausnutzt.

Serverstatistik von Doctor Web:
- JS.DownLoader: Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
- Trojan.InstallCore: Installationsassistent für unerwünschte und böswillige Szenarien.
- Trojan.Zadved: Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- Trojan.Moneyinst.31: Schädling, der andere Malware auf das infizierte Gerät herunterlädt.
- BackDoor.IRC.NgrBot.42: Schädling, der via IRC (Internet Relay Chat) Befehle von Cyber-Kriminellen empfangen und ausführen kann.

Malware im E-Mail-Traffic:
- JS.DownLoader: Böswillige Szenarien auf JavaScript, die andere Malware herunterladen und installieren.
- Trojan.InstallCore: Installationsassistent für unerwünschte und böswillige Szenarien.
- Trojan.Zadved: Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- Trojan.PWS.Stealer: Trojaner, die vertrauliche Daten des Benutzers klauen.
- W97M.DownLoader: Trojaner, die Sicherheitslücken in Office-Apps ausnutzen und andere böswillige Software auf den angegriffenen PC herunterladen.

Statistik von Dr.Web Bot für Telegram:
- Android.Locker.139.origin: Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.
- Joke.Locker.1.origin: Scherzprogramm für Android, das den Bildschirm des mobilen Endgerätes sperrt und BSOD (Blue Screen of Death) anzeigt.
- Android.HiddenAds.24: Trojaner, der aufdringliche Werbung auf dem infizierten Gerät anzeigt.
- Android.Spy.178.origin: Trojaner für Windows, der vertrauliche Daten des Benutzers (u.a. Benutzernamen und Passwörter) klauen kann.
- Trojan.DownLoader: Trojaner, die Malware auf das infizierte Gerät herunterladen.

Meist verbreitete Encoder im Jahr 2017:
- Trojan.Encoder.858: 36,71% Anfragen
- Trojan.Encoder.3953: 5,00% Anfragen
- Trojan.Encoder.567: 3,97% Anfragen
- Trojan.Encoder.761: 3,33% Anfragen
- Trojan.Encoder.3976: 2,88% Anfragen

Gefährliche Webseiten:
Im Januar 2017 wurden 223.127 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.
- Dezember 2016: +226.744
- Januar 2017: +223.127
- Wachstum: -1,59%

Malware für Linux:
Eine neue Variante von Linux.Lady wurde entdeckt: Linux.Lady.4. In dieser Version kann der Schädling Kryptowährung nicht mehr minen, dafür aber Netzwerkdatenstrukturen angreifen. Außerdem verfügt der Trojaner über ein Modul, welches via RPC (Remote Procedure Call) mit Remote-Servern kommunizieren kann.