Contact
QR code for the current URL

Story Box-ID: 303110

Doctor Web Deutschland GmbH Quettigstrasse 12 76530 Baden-Baden, Germany http://www.drweb-av.de
Contact Mr Stephan Wild +49 89 62817533
Company logo of Doctor Web Deutschland GmbH
Doctor Web Deutschland GmbH

Rückblick und Analyse der Virenbedrohungen im Monat Oktober

(PresseBox) (Hanau, )
Der russische Sicherheitsspezialist Doctor Web präsentiert seinen Sicherheitsreport für den vergangenen Monat und stellt fest, dass sich im Oktober zwar keine Aufsehen erregenden Viren-Ereignisse ergaben, doch verbreiteten Cyber-Kriminelle Malware wiederum absichtlich als Antivirensoftware. Der Oktober belegte auch, dass E-Mail und Malware-Websites die Haupt-verbreitungskanäle für Schadsoftware sind.

Falsche Antivirensoftware - Tabellenführer im Oktober

Trojan.Fakealert dominierte im Oktober die Top-20-Liste der meistverbreiteten Malware - ein Hinweis darauf, dass falsche Antivirensoftware die hauptsächliche Einnahmequelle der Virenschreiber ist.

Innerhalb der ersten beiden Oktoberwochen wurden laut Aufzeichnungen des Statistikservers von Doctor Web pro Tag mehr als 2,5 Millionen gefälschte Antivirenprogramme detektiert; derzeit liegt diese Zahl bei einer Million. Die visuellen Effekte in den neuen Varianten von Trojan.Fakealert blieben unverändert im Vergleich zum Vormonat.

Doch warum installieren Anwender überhaupt Malware auf ihren PCs? Weil sie auf die vielfältigen Betrugsmaschen der Cyber-Kriminellen hereinfallen. So wurden im Oktober die meisten gefälschten Antivirenprogramme als gezippte Datei install.exe mittels Update-Meldung vom angeblichen Administrator des genutzten Mailservers verbreitet. Diese Datei erwies sich als gefälschtes Update des jeweiligen E-Mail-Systems bzw. E-Mail-Clients Microsoft Outlook. Solche Dateien wurden auch per E-Mail verbreitet, wobei im zip-Anhang auf die Verletzung der Urheberrechte durch den Anwender im Laufe der letzten sechs Monate hingewiesen wurde. Nicht zum ersten Mal spielen die Cyber-Kriminellen damit Gerechtigkeitskämpfer - doch die Datei install.zip, die Trojan.Fakealert enthält, wird erstmals als Desinfektionstool gegen Conficker (Win32.HLLW.Shadow.based nach Dr.Web-Klassifikation) positioniert.

Die Kriminellen nutzten überdies die große Beliebtheit der Weboberfläche von Outlook Web Access (OWA): Anwender dieses Services sollten Trojan.Fakealert unter einem Link herunterladen, der zur gefälschten OWA-Oberfläche weiterleitete. Auf dieser Seite wurden vermeintliche Aktualisierungen für das E-Mail-Benutzerkonto angeboten.

Passwortdiebe mit viel (krimineller) Phantasie

Auch Passwortdiebe stellen für Benutzerdaten eine ernsthafte Bedrohung dar. Diese Malware stiehlt persönliche Daten für verschiedene Internet-Ressourcen, etwa für das Online-Banking, E-Shopping oder soziale Netzwerke.

Ein typischer Vertreter dieser Malware-Klasse bleibt der Trojaner Trojan.PWS.Panda.122, der auf das Entwenden von Passwörtern für verschiedene Dienste und Services spezialisiert ist. Die Phantasie der Autoren von Trojan.PWS.Panda.122 Varianten kennt dabei keine Grenzen. Laut Doctor Web wird die Schadsoftware nicht nur per E-Mail verbreitet, sondern auch per Updates für Microsoft Outlook - E-Mails und Malware-Websites werden nach dem Muster von Trojan.PWS.Panda gestaltet.

Einige Beispiele: Im Namen des US-Steuerdienstes IRS (Internal Revenue Service) versendeten Cyber-Kriminelle Links zu Malware-Websites, die in einigen Fällen von Yahoo! Geocities gehostet wurden. Man forderte die Steuerzahler auf, sich auf der IRS-Website ihre Steuerbilanz anzusehen. Folgten sie dieser Aufforderung, luden sie sich die Schadsoftware selbständig herunter.

Auch Kunden der Federal Deposit Insurance Corporation, FDIC, dem Einlagensicherungsfonds der USA, wurden in der letzten Oktoberwoche Opfer von Trojan.PWS.Panda.122. Der angebliche Absender FDIC informierte seine Kunden über den Bankrott der jeweils genutzten Bank und bot auf einer gefälschten FDIC-Website Informationen über Entschädigung an. Tatsächlich fielen zahlreiche Anwender auf diesen Trick eines Passwortdiebes herein.

In den beliebten Instant-Messaging-Systemen wurden außerdem Links zu dem Trojaner und Passwortdieb Trojan.PWS.LDPinch versendet, der sich als Videospot tarnte.

Wie füllen Sie die Empfängeradresse aus?

Doctor Web informiert weiterhin über ausgefeilte Varianten zweier Malware-Typen: Trojan.Botnetlog.11 und Trojan.BhoSpy.97. Hierbei wurde im Namen von DHL und UPS den Empfängern mitgeteilt, dass ein Paket wegen einer falsch angegebenen Anschrift nicht zugestellt werden kann.

Doctor Web erklärt: Der Trojaner Trojan.Botnetlog.11 kann Sicherheitslücken des Systems perfekt ausnutzen: Nach Installation und Start auf dem System stellt er die Verbindung zum Server seines Initiators her, um Befehle und zusätzliche Komponenten der Schaddatei zu erhalten. Der ausführbare Code von Trojan.Botnetlog.11 ist zudem durch einen speziellen Algorithmus verschlüsselt.

Trojan.BhoSpy.97 wird auf dem System als Plug-in für den Web-Browser Microsoft Internet Explorer installiert. Dieser Trojaner kann nicht nur Dateien laden, sondern auch Systemdateien nach Befehl löschen.

In den letzten Oktobertagen verzeichnete Doctor Web eine verstärkte Aktivität von Trojan.Botnetlog.11. Der angebliche Versender war dabei das weltweit beliebte soziale Netzwerk Facebook. Laut Information sollten die Facebook-Nutzer ihre Benutzerkonten aktualisieren. Der angegebene Link leitete sie dann auf eine gefälschte Website, wo Malware als Update-Tool getarnt geladen wurde.

Können Windows-Blockierer gut sein?

Laut Doctor Web wurde im Oktober auch solche Malware weiter verbreitet, die das System verschlüsselt und für die Entschlüsselung Geld fordert - nach Dr.Web-Klassifikation als Trojan.Winlock eingestuft. Wurde früher wegen dieses Trojaners der ganze Bildschirm blockiert, ist es heute nur noch ein Teil davon. Der Anwender kann auf dem sichtbaren Bildschirm Programme starten und weiter arbeiten.

Die betroffenen Anwender können die meist kritischen Aktionen vornehmen, Dateien des Trojaners erkennen und diese beim Virenlabor zur Analyse einreichen.

Bemerkenswerte Spam-Mails im Oktober

Im vergangenen Monat wurden außerdem bemerkenswerte Spam-Mails versendet, etwa der Trojaner Trojan.PWS.Panda.122, der als gezippte Datei angehängt war. Solche Mails wurden fehlerfrei zugestellt. Trojan.Packed.683 wurde als verschlüsseltes Archiv versendet.

Betrug ohne Malware

Laut der Analyse von Doctor Web versuchen es Cyber-Kriminelle in letzter Zeit ganz gezielt, die Anwender mit speziellen Tricks um ihr Geld zu bringen - mit noch unüberschaubaren Folgen. Ins Visier gerieten vor allem die folgenden Tricks:

Im ersten Fall sollten den Anwendern über Websites angeblich Informationen über SMS-Nachrichten, ein- und ausgehende Anrufe usw. eines beliebigen Mobilfunkteilnehmers zur Verfügung gestellt werden. Um die Informationen zu erhalten, sollte man auf der Website einfach seine Telefonnummer - und einen Geldbetrag - übermitteln. Nachdem der Anwender Geld überwiesen hatte, ging er allerdings leer aus.

Im zweiten Fall versuchten die Cyber-Kriminellen, Anwender für so genannte Musikdrogen zu interessieren. Sie versprachen einen "Drogeneffekt", der beim Anhören verschiedener Musikdateien eintreten sollte. Man sollte aber zuerst zahlen. Im Endeffekt erhielt der Anwender entweder gar keine Dateien - oder er spürte schlichtweg keinen Drogeneffekt durch die angehörte Musik.

Für Drogen-Website-Werbung werden sowohl legale (z.B. AdWords) als auch illegale Methoden eingesetzt. Zu den illegalen Methoden zählt die Werbung aus "geknackten" Benutzerkonten sozialer Netzwerke heraus.

Doctor Web sieht auch im Oktober einen bereits in den letzten Monaten sichtbaren Trend bestätigt: Elektronische Post, Malware-Websites, Instant-Messaging-Systeme und soziale Netzwerke zählen zu den hauptsächlichen Verbreitungskanälen von Malware auf den PCs der Anwender. Die Cyber-Kriminellen werden außerdem immer ideenreicher. Sie kombinieren verschiedene Betrugsmaschen und setzen dabei auf einfältige und unaufmerksame Opfer. Um solchen Betrugstechniken effizienten Widerstand leisten zu können, sollten Anwender über eine Antivirensoftware verfügen, die im Idealfall ihre Schutzkomponenten automatisch aktualisiert und entsprechende Virendatenbanken aktiviert. Aufgrund der großen Menge gefährlicher E-Mails werden außerdem wirksame Antispam-?omponenten immer wichtiger. Und schließlich empfiehlt Doctor Web, dass die Anwender auch einfache Sicherheitsregeln im Netz beherzigen und sich in Zweifelsfällen von Sicherheitsspezialisten beraten lassen sollten.

Doctor Web Deutschland GmbH

Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Antivirus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team verfügt über eine 17-jährige Erfahrung in der Antimalwareentwicklung und beschäftigt 190 Mitarbeiter, davon 100 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Hanau vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie Die Bank von Russland, die Russische Bahn, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das Rusische Verteidigungsministerium.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.