(PM) 60327 Frankfurt, 08.07.2016 - Der erste Sommermonat 2016 war „ziemlich heiß“ für die IT-Sicherheitsanalysten von Doctor Web. Anfang Juni wurden der neue Bankentrojaner Bolik und der Werbetrojaner Trojan.Kovter.297 entdeckt und analysiert. Außerdem gelang es den Experten, mehrere Angriffe auf Nutzer der Buchhaltungssoftware 1C aufzuspüren. Die Angriffe hatten das Ziel, auf dem infizierten Computer Ransomware zu installieren und den Computer zu verschlüsseln, um dessen Nutzung zu unterbinden. Zudem wurde die Spyware Trojan.PWS.Spy.19338 entdeckt, die Eingaben auf dem Keyboard während der Nutzung von Buchhaltungssoftware mitloggt sowie neue Android-Trojaner auf Google Play. Haupttrends:•Neuer polymorpher Virus namens „Bolik“•Buchhaltungssoftware 1С im Fadenkreuz neuer Trojaner•Neuer Werbetrojaner Trojan.Kovter.297 •Gestiegene Verbreitung der Spyware Trojan.PWS.Spy.19338Bedrohung des MonatsDie 1C-Software, die häufig bei Buchhaltern in russischen Unternehmen genutzt wird, weist offensichtlich Sicherheitslücken auf. Diese werden durch den Trojaner 1C.Drop.1 ausgenutzt, der sich von seinen Vorgängerversionen dadurch unterscheidet, dass er einen vollfunktionalen Dropper enthält, der wiederum den Trojan.Encoder.567 auf der Festplatte speichert und anschließend startet.Der Trojaner verbreitet sich über E-Mails mit dem Betreff „PLZ unserer Bank wurde geändert“ und einer beigefügten „1C: Enterprise-Datei“. Wenn der Empfänger die Anweisungen des Trojaners befolgt, versendet der Schädling seine Kopien an Kontakte aus dem 1C:-Verzeichnis und extrahiert, speichert und startet Trojan.Encoder.567. Der Schädling verschlüsselt anschließend Benutzerdateien und fordert Lösegeld für die Dekodierung.Neue Malware, die von Dr.Web CureIt! gefunden wurde:•Trojan.MulDrop•Trojan.InstallCore.1903•Trojan.Zadved•Trojan.DownLoader•Trojan.LoadMoneyAktuelle Entwicklungen, die von den Dr.Web Servern entdeckt wurden:•JS.Redirector•JS.Downloader•BackDoor.IRC.NgrBot.42•Trojan.InstallCore.1903Malware, die sich im E-Mail-Traffic verbirgt: •JS.Redirector•JS.Downloader•Trojan.PWS.Turist•Trojan.Encoder.858Verschlüsselungstrojaner: Die meist verbreiteten Verschlüsselungstrojaner im Juni 2016:•Trojan.Encoder.858•Trojan.Encoder.2843•Trojan.Encoder.4860Weitere aktuelle Entwicklungen am Malware-MarktLaut Analyse von Doctor Web, ist der Bankenvirus Trojan.Bolik.1 dazu geeignet, Geld von Konten der Kunden russischer Banken sowie sensible Informationen zu entwenden. Der Virus erbt technische Lösungen von Zeus (Trojan.PWS.Panda) und Carberp, kann sich ferner selbständig verbreiten und ausführbare Dateien infizieren.Auf Befehl von Cyber-Kriminellen sucht Trojan.Bolik.1 nach ausführbaren Dateien in Verzeichnissen sowie auf via USB angeschlossenen Geräten und infiziert diese. Infizierte Applikationen werden durch Dr.Web als Win32.Bolik.1 angezeigt. In jeder infizierten Applikation steckt wiederum ein verschlüsselter Trojan.Bolik.1.Trojan.Bolik.1 kann Benutzerdaten, die via Microsoft Internet Explorer, Chrome, Opera oder Mozilla Firefox versendet werden, kontrollieren. Darüber hinaus kann der Virus Bildschirmaufnahmen machen, einen Proxy-Server und einen Web-Server einrichten, über die er mit Cyber-Kriminellen Daten austauschen kann.Eine weitere Neuheit im Juni ist der körperlose Trojan.Kovter.297. Dieser Schädling startet im Hintergrund mehrere Exemplare von Microsoft Internet Explorer, ruft vordefinierte gefährliche Webseiten auf, imitiert Seitenimpressionen und klickt auf Links sowie Banner. Der Trojaner ist auf dem PC des Opfers als eigenständige Datei vorhanden, läuft im Hauptspeicher und benutzt für seine Zwecke das System-Registry von Windows.Außerdem wurde die Verbreitung von Linux.BackDoor.Irc.13 registriert. Dieser Schädling ist eine neue Version von Linux.BackDoor.Tsunami, enthält aber kein Werkzeug zum Ausführen von DDoS-Angriffen. Befehle erhält er via IRC (Internet Relay Chat).Apple-Rechner sind schon länger eine beliebte Zielscheibe für digitale Angreifer. Im Juni konnte man Mac.BackDoor.SynCloud.1 entdecken, der Benutzerdaten aus Systemen extrahiert und an einen Remote-Server übermittelt. Nach dem Befehl von Cyber-Kriminellen kann er eine ausführbare Datei oder ein Szenario vom Befehlsserver auf Python herunterladen und vordefinierte Aktionen durchführen. Alle Daten, die Mac.BackDoor.SynCloud.1 mit seinem Server austauscht, werden verschlüsselt. Gefährliche Webseiten:Im Juni 2016 wurden insgesamt 1.716.920 gefährliche Internetadressen in die Datenbank von Dr.Web aufgenommen.•Mai 2016: 550.258•Juni 2016: 1.716.920•Wachstum: +212%Hauptereignisse aus der mobilen IT-Sicherheitsszene:•Auf Google Play wurde ein Trojaner entdeckt, der verdächtige Webseiten öffnet und diese als Werbebanner anzeigt.•Auf Google Play wurde ein Trojaner entdeckt, der VK.com-Benutzerdaten klaut.



Doctor Web Deutschland GmbH
Frau Sanja Jahn-Willkomm
Zuständigkeitsbereich: Marketing and Communication Managerin
Platz der Einheit 1
60327 Frankfurt
+49-69-97503139
s.jahn@drweb.com
www.drweb-av.de

Doctor Web Deutschland GmbH
Frau Sanja Jahn-Willkomm
Zuständigkeitsbereich: Marketing and Communication Managerin
Platz der Einheit 1
60327 Frankfurt
+49-69-97503139
s.jahn@drweb.com
www.drweb-av.de



Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Anti-Virus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie die Russische Zentralbank, JSC Russian Railways, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das Russische Verteidigungsministerium.