Der russische Sicherheitsspezialist Doctor Web meldet in seinem aktuellen Sicherheitsreport für den Monat September 2009 vor allem eine hohe Aktivität des Trojaners Trojan.Encoder. Zusätzliche Risiken entstanden durch das Aufkommen falscher Antiviren-Software und ausgeklügelte Hacking-Methoden.
Korrektor startete eine neue Welle von Trojan.Encoder
Am 28. September 2009 informierte Doctor Web über die stark gestiegene Anzahl von Opfern des Trojaners Trojan.Encoder, der Daten auf den PCs der Anwender verschlüsselt und anschließend Lösegeld für den Entschlüsselungscode fordert. Dutzende von Anwendern gingen Trojan.Encoder bereits in die Falle und griffen auf die Hilfe der Doctor Web-Spezialisten zurück, um ihr System wiederherzustellen.
Seit der Veröffentlichung dieser Nachricht sind drei verschiedene Varianten des Trojan.Encoder (43, 44 und 45) aufgetaucht, die sich voneinander durch einen ausgeklügelten Verschlüsselungscode und neue Kontaktdaten des Übeltäters unterscheiden. Die Sicherheitsexperten von Doctor Web reagierten umgehend auf diese Bedrohung und entwickelten ein neues Tool zur Entschlüsselung der infizierten Dateien. Besonders tückisch: eine ganz neue Variante des Trojan.Encoder hängt die Dateierweiterung Dr. Web an verschlüsselte Dateien, was eine speziell entwickelte Bedrohung für Anwender von Dr.Web Antivirus Software bedeutet. Mittlerweile kennen die Spezialisten von Doctor Web die Internetadresse des Kriminellen, der sich als Doctor Web ausgibt. Doctor Web distanziert sich von dieser Website und steht zu den Aktivitäten des Virenautors in keinerlei Verhältnis! Vielmehr versucht der Cyber-Erpresser, das IT-Security-Unternehmen Doctor Web Antivirus öffentlich anzugreifen.
Indem er den zu Schaden gekommenen Anwendern der vermeintlichen Dr.Web-Software Hilfe bietet, stellt sich der Virenschreiber selbst als Retter dar. Seine Website zeigt dazu einen Videospot, der das Entschlüsselungstool näher beschreibt.
Nach vorliegendem Ermittlungsstand hat der Cyberkriminelle keine Komplizen und agiert allein.
Augen auf bei der Auswahl von Antivirenprogrammen
Falsche Antiviren-Software behelligt Anwender auf der ganzen Welt. Damit der Anwender eine solche Malware herunterlädt, werden verschiedene ausgeklügelte Tricks von speziellen Internetinhalten bis hin zu Spam-Mails verwendet.
Ende September verbreitete sich zum Beispiel Trojan.Fakealert.5115 über eine Spamattacke. Am 27. September erreichte die Epidemie dieses Trojaners ihren Höhepunkt. Das Forschungslabor von Doctor Web detektierte bis dato bis zu 800 0000 Exemplare.
Nach dem Ausbruch des Trojan.Fakealert.5115 erscheint im Windows-Taskbereich die Meldung, dass das System infiziert sei. Es folgt die Empfehlung, eine entsprechende Software zu benutzen, um Datenverluste zu vermeiden. Windows lädt diese Software automatisch, sobald ein Klick auf die Meldung erfolgt.
Im Anschluss daran werden automatisch weitere Komponenten des Trojaners Trojan.Fakealert.5115 geladen. Dabei handelt es sich aber um Trojan.Fakealert.4709 und Trojan.Fakealert.5112. Achtung: Zur Verschlüsselung nennt sich der Trojaner Antivirus Pro 2010.
Neben Trojan.Fakealert.5115 sind außerdem zwei weitere Varianten des Schädlings aufgetaucht: Trojan.Fakealert.5229 und Trojan.Fakealert.5238. TrojanerTrojan.Fakealert.5229 startet das Betriebssystem komplett neu.
Trojan.Fakealert.5238 verfügt über ein gefälschtes Fenster des Windows Security Centers. In diesem Fenster wird angegeben, dass der PC durch das Antivirusprogramm Antivirus Pro 2010 geschützt sei. Die Lizenz dafür ist käuflich erwerbbar. Das Anklicken des Buttons leitet direkt auf die Website weiter, wo die Attrappe der Antivirussoftware teuer erworben werden kann.
Mit dieser Art des Vertriebs falscher Antivirensoftware verdienen die Übeltäter bereits seit mehreren Jahren nicht schlecht.
Wer will das soziale Netzwerk hacken?
Auch weiterhin üben soziale Netzwerke eine enorme Anziehungskraft auf Virenautoren aus. Neben den Angriffen auf Twitter und Facebcook, die bereits im August Thema des Dr. Web-Malware-Reports waren, gilt ein aktueller Angriff dem russischen sozialen Netzwerk Vkontakte.ru: Ein Virenschreiber veröffentlichte vermeintliche Hacking-Methoden für Benutzerkonten des russischen sozialen Netzwerks und kontaktierte potenzielle Opfer, um sie in die Falle zu locken. So erhielt er Zugriff auf fremde Benutzerkonten und die Möglichkeit, deren persönliche Daten zu verändern und frei zu editieren.
Dem Opfer wird außerdem suggeriert, dass mit einem Download alle nötigen Programmeinstellungen automatisch vorgenommen werden. Dieses Programm detektiert Dr.Web als Trojan.DownLoad.47503.
Hunderte von Anwendern spielten in letzer Zeit selbst Hacker, und die Malware verbreitete sich rasend schnell. Ihren Höhepunkt erreichte die Epidemie in Russland am 28. September. Nachahmeffekte sind auch für populärere westliche Portale nicht auszuschließen.
Trojan.Winlock Revival über ICQ und Pinch
Der altbekannte Trojaner Trojan.Winlock ist wieder da. In der letzten Septemberwoche wurden sowohl Trojan.Winlock252 als auch Trojan.PWS.LDPinch.1941 massiv weiterverbreitet. Der Versand der Trojaner erfolgte dabei über den Messaging-Dienst ICQ.
Die Anwender erhielten dabei eine Nachricht mit einem Link, durch dessen Anklicken angeblich das Foto eines Freundes geöffnet wird. Beim Laden der Webseite wird jedoch eine Datei mit dem Namen lock.ex heruntergeladen. Diese Datei beinhaltet zahlreiche Virenpacker. Sobald der Dateidownload abgeschlossen ist, speichert der Schädling vier Dateien auf dem PC des Anwenders: explorerr.ex, svcoost.ex, 43.jpg und 154.bat.
Dr. Web detektiert den Trojaner Explorerr.ex als Trojan.PWS.LDPinch.4308. Die Malware ist mit + FSG gepackt. Das entpackte Objekt widerum wird als Trojan.PWS.LDPinch.1941 erfasst, Svcoost.ex erweist sich als Trojan.Winlock.252.
Dass sich Trojan.Winlock nun auch mit Pinch verbreitet, vergrößert seine Gefahr. Dieser Schädling blockiert das komplette System und verschafft sich Zugang zu persönlichen Inhalten des Anwenders, indem er alle auf dem PC gefundenen Passwörter scannt.
E-Mail-Viren weiter auf dem Vormarsch
Trojan.DownLoad.47256 ist momentan Tabellenführer im E-Mail-Verkehr. Zwar ist der Höhepunkt der Epidemie jetzt vorbei, aber der Statistikserver von Doctor Web-Labors detektiert weiterhin alle 24 Stunden hunderttausende neue Exemplare des Trojaners.
Auch Trojan.Packed.2915 bleibt der PC-Welt erhalten. Diese Schadware ersetzte Trojan.Botnetlog.11. Trojan.Packed.2915 verbreitet sich via E-Mail, die angeblich vom Server des Logistikunternehmen DHL stammen sollen.
Die Cyberkriminellen verwenden bei jedem neuen Aussand eine weitere Variante des Trojaners. Die Antivirenspezialisten von Doctor Web erstellten zur Vorbeugung eine Signatur für Trojan.Packed.2915, mit deren Hife alle - auch zukünftigen - Varianten des Schädlings detektierbar sind.
Der Höhepunkt dieserTrojan.Packed.2915-Epidemie kulminierte am 25.September. Aktuell flacht die Epidemie ab und neigt sich ihrem Ende zu. Dennoch werden nach wie vor Zehntausende Exemplare detektiert.
Korrektor startete eine neue Welle von Trojan.Encoder
Am 28. September 2009 informierte Doctor Web über die stark gestiegene Anzahl von Opfern des Trojaners Trojan.Encoder, der Daten auf den PCs der Anwender verschlüsselt und anschließend Lösegeld für den Entschlüsselungscode fordert. Dutzende von Anwendern gingen Trojan.Encoder bereits in die Falle und griffen auf die Hilfe der Doctor Web-Spezialisten zurück, um ihr System wiederherzustellen.
Seit der Veröffentlichung dieser Nachricht sind drei verschiedene Varianten des Trojan.Encoder (43, 44 und 45) aufgetaucht, die sich voneinander durch einen ausgeklügelten Verschlüsselungscode und neue Kontaktdaten des Übeltäters unterscheiden. Die Sicherheitsexperten von Doctor Web reagierten umgehend auf diese Bedrohung und entwickelten ein neues Tool zur Entschlüsselung der infizierten Dateien. Besonders tückisch: eine ganz neue Variante des Trojan.Encoder hängt die Dateierweiterung Dr. Web an verschlüsselte Dateien, was eine speziell entwickelte Bedrohung für Anwender von Dr.Web Antivirus Software bedeutet. Mittlerweile kennen die Spezialisten von Doctor Web die Internetadresse des Kriminellen, der sich als Doctor Web ausgibt. Doctor Web distanziert sich von dieser Website und steht zu den Aktivitäten des Virenautors in keinerlei Verhältnis! Vielmehr versucht der Cyber-Erpresser, das IT-Security-Unternehmen Doctor Web Antivirus öffentlich anzugreifen.
Indem er den zu Schaden gekommenen Anwendern der vermeintlichen Dr.Web-Software Hilfe bietet, stellt sich der Virenschreiber selbst als Retter dar. Seine Website zeigt dazu einen Videospot, der das Entschlüsselungstool näher beschreibt.
Nach vorliegendem Ermittlungsstand hat der Cyberkriminelle keine Komplizen und agiert allein.
Augen auf bei der Auswahl von Antivirenprogrammen
Falsche Antiviren-Software behelligt Anwender auf der ganzen Welt. Damit der Anwender eine solche Malware herunterlädt, werden verschiedene ausgeklügelte Tricks von speziellen Internetinhalten bis hin zu Spam-Mails verwendet.
Ende September verbreitete sich zum Beispiel Trojan.Fakealert.5115 über eine Spamattacke. Am 27. September erreichte die Epidemie dieses Trojaners ihren Höhepunkt. Das Forschungslabor von Doctor Web detektierte bis dato bis zu 800 0000 Exemplare.
Nach dem Ausbruch des Trojan.Fakealert.5115 erscheint im Windows-Taskbereich die Meldung, dass das System infiziert sei. Es folgt die Empfehlung, eine entsprechende Software zu benutzen, um Datenverluste zu vermeiden. Windows lädt diese Software automatisch, sobald ein Klick auf die Meldung erfolgt.
Im Anschluss daran werden automatisch weitere Komponenten des Trojaners Trojan.Fakealert.5115 geladen. Dabei handelt es sich aber um Trojan.Fakealert.4709 und Trojan.Fakealert.5112. Achtung: Zur Verschlüsselung nennt sich der Trojaner Antivirus Pro 2010.
Neben Trojan.Fakealert.5115 sind außerdem zwei weitere Varianten des Schädlings aufgetaucht: Trojan.Fakealert.5229 und Trojan.Fakealert.5238. TrojanerTrojan.Fakealert.5229 startet das Betriebssystem komplett neu.
Trojan.Fakealert.5238 verfügt über ein gefälschtes Fenster des Windows Security Centers. In diesem Fenster wird angegeben, dass der PC durch das Antivirusprogramm Antivirus Pro 2010 geschützt sei. Die Lizenz dafür ist käuflich erwerbbar. Das Anklicken des Buttons leitet direkt auf die Website weiter, wo die Attrappe der Antivirussoftware teuer erworben werden kann.
Mit dieser Art des Vertriebs falscher Antivirensoftware verdienen die Übeltäter bereits seit mehreren Jahren nicht schlecht.
Wer will das soziale Netzwerk hacken?
Auch weiterhin üben soziale Netzwerke eine enorme Anziehungskraft auf Virenautoren aus. Neben den Angriffen auf Twitter und Facebcook, die bereits im August Thema des Dr. Web-Malware-Reports waren, gilt ein aktueller Angriff dem russischen sozialen Netzwerk Vkontakte.ru: Ein Virenschreiber veröffentlichte vermeintliche Hacking-Methoden für Benutzerkonten des russischen sozialen Netzwerks und kontaktierte potenzielle Opfer, um sie in die Falle zu locken. So erhielt er Zugriff auf fremde Benutzerkonten und die Möglichkeit, deren persönliche Daten zu verändern und frei zu editieren.
Dem Opfer wird außerdem suggeriert, dass mit einem Download alle nötigen Programmeinstellungen automatisch vorgenommen werden. Dieses Programm detektiert Dr.Web als Trojan.DownLoad.47503.
Hunderte von Anwendern spielten in letzer Zeit selbst Hacker, und die Malware verbreitete sich rasend schnell. Ihren Höhepunkt erreichte die Epidemie in Russland am 28. September. Nachahmeffekte sind auch für populärere westliche Portale nicht auszuschließen.
Trojan.Winlock Revival über ICQ und Pinch
Der altbekannte Trojaner Trojan.Winlock ist wieder da. In der letzten Septemberwoche wurden sowohl Trojan.Winlock252 als auch Trojan.PWS.LDPinch.1941 massiv weiterverbreitet. Der Versand der Trojaner erfolgte dabei über den Messaging-Dienst ICQ.
Die Anwender erhielten dabei eine Nachricht mit einem Link, durch dessen Anklicken angeblich das Foto eines Freundes geöffnet wird. Beim Laden der Webseite wird jedoch eine Datei mit dem Namen lock.ex heruntergeladen. Diese Datei beinhaltet zahlreiche Virenpacker. Sobald der Dateidownload abgeschlossen ist, speichert der Schädling vier Dateien auf dem PC des Anwenders: explorerr.ex, svcoost.ex, 43.jpg und 154.bat.
Dr. Web detektiert den Trojaner Explorerr.ex als Trojan.PWS.LDPinch.4308. Die Malware ist mit + FSG gepackt. Das entpackte Objekt widerum wird als Trojan.PWS.LDPinch.1941 erfasst, Svcoost.ex erweist sich als Trojan.Winlock.252.
Dass sich Trojan.Winlock nun auch mit Pinch verbreitet, vergrößert seine Gefahr. Dieser Schädling blockiert das komplette System und verschafft sich Zugang zu persönlichen Inhalten des Anwenders, indem er alle auf dem PC gefundenen Passwörter scannt.
E-Mail-Viren weiter auf dem Vormarsch
Trojan.DownLoad.47256 ist momentan Tabellenführer im E-Mail-Verkehr. Zwar ist der Höhepunkt der Epidemie jetzt vorbei, aber der Statistikserver von Doctor Web-Labors detektiert weiterhin alle 24 Stunden hunderttausende neue Exemplare des Trojaners.
Auch Trojan.Packed.2915 bleibt der PC-Welt erhalten. Diese Schadware ersetzte Trojan.Botnetlog.11. Trojan.Packed.2915 verbreitet sich via E-Mail, die angeblich vom Server des Logistikunternehmen DHL stammen sollen.
Die Cyberkriminellen verwenden bei jedem neuen Aussand eine weitere Variante des Trojaners. Die Antivirenspezialisten von Doctor Web erstellten zur Vorbeugung eine Signatur für Trojan.Packed.2915, mit deren Hife alle - auch zukünftigen - Varianten des Schädlings detektierbar sind.
Der Höhepunkt dieserTrojan.Packed.2915-Epidemie kulminierte am 25.September. Aktuell flacht die Epidemie ab und neigt sich ihrem Ende zu. Dennoch werden nach wie vor Zehntausende Exemplare detektiert.
