der sich in Webseiten integriert und unerwünschte Werbung via Webinject anzeigt. Ende des Monats wurden eine neue Backdoor für Linux sowie ein Trojaner für Android, der inzwischen über 1,5 Mio. Mal heruntergeladen wurde, entdeckt.
Die Bedrohung des Monats Juli 2015
Zur ‚Malware Nummer eins‘ im Juli wurde von den Doctor Web Virenanalysten Trojan.Ormes.186 gekürt. Dieser ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht und sich über Dropper verbreitet. Das Ziel besteht darin, mittels Webinjects Werbung einzublenden. Dazu enthält der Schädling ca. 200 Internetadressen. Darunter fallen vor allem Webseiten für Jobsuche, Suchmaschinen und soziale Netzwerke.
Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu simulieren und folgende unerwünschte Aktionen durchzuführen:
- Kostenpflichtige Abos von Mobilfunkanbietern bestätigen;
- Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook ein böswilliges Szenario von einer Webseite herunterladen und Opfer zu Webseiten mit kostenpflichtigen Inhalten weiterleiten;
- Bei Suchtreffern lästige Werbebanner einsetzen;
- Auf Facebook-Seiten ein verdecktes iframe-Element einfügen und eigenmächtig „Likes“ setzen.
Statistik von Dr.Web CureIt!
- Trojan.DownLoad3.35967
Download-Trojaner, der andere Malware auf den infizierten Rechner herunterlädt.
- Trojan.LoadMoney
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.Click3.12046
Familie von böswilligen Trojanern, die die Besucherzahl von Webseiten steigern, indem sie Besucher unfreiwillig auf bestimmte Inhalte umleiten.
- Trojan.Crossrider1.31615
Trojaner, der Benutzern unerwünschte Werbung anzeigt.
- Trojan.Siggen6.33552
Malware zur Installation anderer böswilliger Programme.
Server-Statistik von Doctor Web
- Trojan.Siggen6.33552
Malware für die Installation anderer böswilliger Programme.
- Trojan.Installmonster.1235
Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren.
- Trojan.Kbdmai.8
Familie von Trojanern, die unerwünschte Software herunterladen und installieren.
- Trojan.LoadMoney.681
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Die Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.DownLoad3.35967
Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
Viren & Co. im Mailverkehr
- Trojan.PWS.Multi.911
Trojaner, der Passwörter sowie andere vertrauliche Informationen, u.a. Zugangsdaten für Online-Banking, entwendet.
- Trojan.PWS.Stealer
Trojaner, der Passwörter sowie andere vertrauliche Informationen stiehlt.
- BackDoor.Andromeda
Download-Trojaner, die weitere Malware auf den infizierten Rechner herunterladen und installieren.
- Trojan.DownLoader
Download-Trojaner, der zusätzliche Malware auf den infizierten Rechner herunterlädt.
Botnets
Trotz anderweitiger Vermutungen sind Botnets immer noch am Leben. Eines davon, welches von den Doctor Web Analysten besonders sorgfältig beobachtet wird, ist Win32.Rmnet.12:
Rmnet ist ein Dateivirus, der sich automatisch verbreitet, sich in aufgerufene Webseiten einnistet und fremde Inhalte anzeigt. Er ist in der Lage, an die Bankdaten des Benutzers zu gelangen und Cookies sowie Passwörter für beliebte FTP-Clients zu entwenden bzw. Befehle von Cyber-Kriminellen auszuführen.
Der Schädling verfügt über folgende Funktionen:
- Herunterladen aus einem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem infizierten Rechner;
- Einbettung in gestartete Prozesse;
- Abbrechen von Antivirensoftware und Sperren des Zugriffs auf vordefinierte Webseiten;
- Infizierung von Dateien auf Festplatten oder Wechseldatenträgern inkl. Erstellung der Autostartdatei autorun.inf sowie Einbettung von Dateien in allgemein zugängliche Verzeichnisse sowie Erstellung der Autostartdatei autorun.inf.
Im Vergleich zum Monat Juni ist die Zahl von DDoS-Angriffen, die durch Linux.BackDoor.Gates.5 durchgeführt wurden, zurückgegangen. Insgesamt wurden 954 Angriffe festgestellt, was 25,7% weniger als im Juni 2015 ist. 74,8% aller Angriffe entfallen auf Webseiten, die sich in China befinden. 20,4% aller angegriffenen Webseiten liegen in den USA.
Verschlüsselungstrojaner
Anzahl der Anfragen an Doctor Web für Datenentschlüsselung:
- Juni 2015 1.417
- Juli 2015 1.414
- Dynamik - 0,2 %
Meist verbreitete Verschlüsselungstrojaner im Juli 2015:
- Trojan.Encoder.567
- Trojan.Encoder.858.
Böswillige Programme für Linux
Im Juli haben die Sicherheitsspezialisten von Doctor Web einen neuen Linux-Trojaner entdeckt. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.
Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Offensichtlich haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. Es wurden jedoch nicht alle Funktionen realisiert.
Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei jedoch viele Aspekte vernachlässigt. Daher trifft man oft auf Komponenten und Konstrukte, die keinen Bezug zu Linux haben.
Gefährliche Webseiten
Im Juli 2015 wurden insgesamt 821.409 neue Internetadressen in die Dr.Web Virendatenbank aufgenommen.
- Juni 2015 + 978.982
- Juli 2015 + 821.409
- Dynamik - 16 %
Der Monat Juli war reich an Ereignissen in der Android-Security-Szene. So haben Virenanalysten von Doctor Web Android.DownLoader.171.origin entdeckt, der auf Google Play zum Download stand.
Insgesamt wurde er über 1,5 Mio. Mal heruntergeladen. Dieser Trojaner kann nicht nur Apps auf Befehl der Cyber-Kriminellen installieren, sondern diese auch unsichtbar löschen. Außerdem ist er in der Lage, Meldungen anzuzeigen, über die der Benutzer auf speziell angefertigte Webseiten weitergeleitet wird.
Fazit: Die Trends für Android im Juli 2015
- Cyber-Kriminelle nutzen Werbeplattformen aus, um über Trojaner schnell zu Geld zu kommen;
- Neue böswillige Apps tauchen auf Google Play auf;
- Neue Android-Erpresser werden verbreitet;
- Neue Backdoor-Trojaner werden durch Cyber-Kriminelle gelauncht;
- Anzahl von SMS-Trojanern steigt an.
Die Bedrohung des Monats Juli 2015
Zur ‚Malware Nummer eins‘ im Juli wurde von den Doctor Web Virenanalysten Trojan.Ormes.186 gekürt. Dieser ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht und sich über Dropper verbreitet. Das Ziel besteht darin, mittels Webinjects Werbung einzublenden. Dazu enthält der Schädling ca. 200 Internetadressen. Darunter fallen vor allem Webseiten für Jobsuche, Suchmaschinen und soziale Netzwerke.
Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu simulieren und folgende unerwünschte Aktionen durchzuführen:
- Kostenpflichtige Abos von Mobilfunkanbietern bestätigen;
- Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook ein böswilliges Szenario von einer Webseite herunterladen und Opfer zu Webseiten mit kostenpflichtigen Inhalten weiterleiten;
- Bei Suchtreffern lästige Werbebanner einsetzen;
- Auf Facebook-Seiten ein verdecktes iframe-Element einfügen und eigenmächtig „Likes“ setzen.
Statistik von Dr.Web CureIt!
- Trojan.DownLoad3.35967
Download-Trojaner, der andere Malware auf den infizierten Rechner herunterlädt.
- Trojan.LoadMoney
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Solche Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.Click3.12046
Familie von böswilligen Trojanern, die die Besucherzahl von Webseiten steigern, indem sie Besucher unfreiwillig auf bestimmte Inhalte umleiten.
- Trojan.Crossrider1.31615
Trojaner, der Benutzern unerwünschte Werbung anzeigt.
- Trojan.Siggen6.33552
Malware zur Installation anderer böswilliger Programme.
Server-Statistik von Doctor Web
- Trojan.Siggen6.33552
Malware für die Installation anderer böswilliger Programme.
- Trojan.Installmonster.1235
Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren.
- Trojan.Kbdmai.8
Familie von Trojanern, die unerwünschte Software herunterladen und installieren.
- Trojan.LoadMoney.681
Familie von Download-Trojanern, die durch Server von LoadMoney generiert werden. Die Anwendungen laden unerwünschte Software herunter und installieren diese auf dem Rechner des Opfers.
- Trojan.DownLoad3.35967
Vertreter von Download-Trojanern, der andere böswillige Applikationen auf den infizierten Rechner herunterlädt.
Viren & Co. im Mailverkehr
- Trojan.PWS.Multi.911
Trojaner, der Passwörter sowie andere vertrauliche Informationen, u.a. Zugangsdaten für Online-Banking, entwendet.
- Trojan.PWS.Stealer
Trojaner, der Passwörter sowie andere vertrauliche Informationen stiehlt.
- BackDoor.Andromeda
Download-Trojaner, die weitere Malware auf den infizierten Rechner herunterladen und installieren.
- Trojan.DownLoader
Download-Trojaner, der zusätzliche Malware auf den infizierten Rechner herunterlädt.
Botnets
Trotz anderweitiger Vermutungen sind Botnets immer noch am Leben. Eines davon, welches von den Doctor Web Analysten besonders sorgfältig beobachtet wird, ist Win32.Rmnet.12:
Rmnet ist ein Dateivirus, der sich automatisch verbreitet, sich in aufgerufene Webseiten einnistet und fremde Inhalte anzeigt. Er ist in der Lage, an die Bankdaten des Benutzers zu gelangen und Cookies sowie Passwörter für beliebte FTP-Clients zu entwenden bzw. Befehle von Cyber-Kriminellen auszuführen.
Der Schädling verfügt über folgende Funktionen:
- Herunterladen aus einem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem infizierten Rechner;
- Einbettung in gestartete Prozesse;
- Abbrechen von Antivirensoftware und Sperren des Zugriffs auf vordefinierte Webseiten;
- Infizierung von Dateien auf Festplatten oder Wechseldatenträgern inkl. Erstellung der Autostartdatei autorun.inf sowie Einbettung von Dateien in allgemein zugängliche Verzeichnisse sowie Erstellung der Autostartdatei autorun.inf.
Im Vergleich zum Monat Juni ist die Zahl von DDoS-Angriffen, die durch Linux.BackDoor.Gates.5 durchgeführt wurden, zurückgegangen. Insgesamt wurden 954 Angriffe festgestellt, was 25,7% weniger als im Juni 2015 ist. 74,8% aller Angriffe entfallen auf Webseiten, die sich in China befinden. 20,4% aller angegriffenen Webseiten liegen in den USA.
Verschlüsselungstrojaner
Anzahl der Anfragen an Doctor Web für Datenentschlüsselung:
- Juni 2015 1.417
- Juli 2015 1.414
- Dynamik - 0,2 %
Meist verbreitete Verschlüsselungstrojaner im Juli 2015:
- Trojan.Encoder.567
- Trojan.Encoder.858.
Böswillige Programme für Linux
Im Juli haben die Sicherheitsspezialisten von Doctor Web einen neuen Linux-Trojaner entdeckt. Nach Plan der Übeltäter sollte der Schädling über leistungsstarke Funktionen verfügen. Die aktuelle Version der Backdoor weist jedoch viele Schwächen auf.
Linux.BackDoor.Dklkt.1 hat vermutlich chinesische Wurzeln. Offensichtlich haben die Entwickler versucht, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. Es wurden jedoch nicht alle Funktionen realisiert.
Die Backdoor sollte auch plattformunabhängig (sowohl für Linux als auch für Windows) funktionieren. Die Entwickler des Schädlings haben dabei jedoch viele Aspekte vernachlässigt. Daher trifft man oft auf Komponenten und Konstrukte, die keinen Bezug zu Linux haben.
Gefährliche Webseiten
Im Juli 2015 wurden insgesamt 821.409 neue Internetadressen in die Dr.Web Virendatenbank aufgenommen.
- Juni 2015 + 978.982
- Juli 2015 + 821.409
- Dynamik - 16 %
Der Monat Juli war reich an Ereignissen in der Android-Security-Szene. So haben Virenanalysten von Doctor Web Android.DownLoader.171.origin entdeckt, der auf Google Play zum Download stand.
Insgesamt wurde er über 1,5 Mio. Mal heruntergeladen. Dieser Trojaner kann nicht nur Apps auf Befehl der Cyber-Kriminellen installieren, sondern diese auch unsichtbar löschen. Außerdem ist er in der Lage, Meldungen anzuzeigen, über die der Benutzer auf speziell angefertigte Webseiten weitergeleitet wird.
Fazit: Die Trends für Android im Juli 2015
- Cyber-Kriminelle nutzen Werbeplattformen aus, um über Trojaner schnell zu Geld zu kommen;
- Neue böswillige Apps tauchen auf Google Play auf;
- Neue Android-Erpresser werden verbreitet;
- Neue Backdoor-Trojaner werden durch Cyber-Kriminelle gelauncht;
- Anzahl von SMS-Trojanern steigt an.
