Sicherheitscheck von Doctor Web – die Malware-Bedrohungen im Juni

[Christoph]

Zitat:

Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

Nicht die "feine englische Art": Neuer Metropolitan Police-Trojaner

Nachdem die Infektionszahl mit dem seit mehreren Monaten existierenden, gefährlichen „BKA-Trojaner" stetig abnimmt, haben englische Internetkriminelle das Betrugsprinzip übernommen.

Eine in Foren als "Metropolitan Police-Trojaner" bezeichnete Ransomware infizierte im Juni zahlreiche deutsche PCs. Wie ihr deutsches Pendant sperrt sie den Bildschirm und blockiert sämtliche Tastatur- und Mauseingaben. Der Nutzer wird mit einer englischen E-Mail auf sein angebliches Fehlverhalten, dem Download illegaler Inhalte, hingewiesen. Die Betrüger verwenden das Emblem der "Metropolitan Police", um der Nachricht mehr Glaubwürdigkeit zu verleihen.

Wie auch schon beim "BKA-Trojaner" werden zur weiteren Einschüchterung Daten des Benutzers, wie seine IP-Adresse, der verwendete Browser und das Betriebssystem, angezeigt. In der E-Mail wird die Zahlung von 75 Britischen Pfund unter Benutzung der Bezahlsysteme ukash bzw. paysafe card verlangt, um den PC innerhalb von 24 Stunden wieder entsperren zu lassen. Die Zahlung ist natürlich nur ein Trick, keinesfalls sollten User das Geld überweisen, vielmehr empfiehlt sich die Nutzung von Antivirenschutz oder Desinfektions-Software. Der Trojaner wird beispielsweise von Doctor Web als Trojan.Winlock.3260 erkannt und entfernt. Eine Übersicht der Aliases weiterer Hersteller gibt es hier .

Angry Birds sind das neue Trojanische Pferd

Noch raffinierter als im Mai gehen seit Anfang Juni einige mit Schadcodes verseuchte Smartphone-Apps aus Google's Android Market vor. Die erste Gruppe belasteter Programme, die am 1. Juni entdeckt und aus dem Market entfernt wurden, benötigen nach dem Download nicht einmal eine Aktivierung durch den Nutzer. Die Apps registrieren sich nach der Installation eigenständig als so genannter "Broadcast Receiver", der nächste Anruf aktiviert sie automatisch und den enthaltenen Schadcode.

Bereits eine Woche später tauchten zehn weitere infizierte Apps auf. "Plankton" nennt sich der neu entdeckte Trojaner, der heimlich einen Hintergrundservice einrichtet. Sobald die App aktiv wird, kann dieser mit einem entfernten Server des Angreifers kommunizieren, Befehle entgegennehmen und vertrauliche Daten des Smartphone- Besitzers versenden.
Ein Beispiel für eine App, die mit "Plankton" verseucht wurde, ist der so genannte "Angry Birds Rio Unlocker v1.0" für das beliebte Spiel "Angry Birds Rio". Neben dem Unlocker nutzen noch zwei weitere verseuchte Apps den Bekanntheitsgrad des beliebtesten Handy-Spiels aller Zeiten "Angry Birds Multi User v1.00" und "Angry Birds Cheater Trainer Helper V2.0". Eine Liste der Bezeichnungen für Plankton verschiedener AV-Hersteller finden Sie hier.

Nach dem wiederholten Auftauchen verseuchter Apps in den letzten Monaten sollte ein zuverlässiger Virenschutz inzwischen zur Grundausstattung jedes Android-Users gehören. Das kostenlose Doctor Web für Android erkennt "Droid Dream Light" als Android.DDLight und "Plankton" als Android.Plankton und entfernt beide Trojaner zuverlässig.

Backdoor-Infektionen nehmen zu

Im Juni wurden zudem viele Rechner Opfer aktueller Varianten des bereits seit letztem Jahr bekannten Trojaners "Cycbot". Dieser ist dafür bekannt, eine so genannte "Backdoor" zu öffnen und damit Angreifern unbefugten Zugriff zum infizierten System zu ermöglichen. Über einen entfernten Server erhält der Trojaner Befehle, kann Informationen versenden, sich updaten und zusätzliche Schadsoftware herunterladen. Der Trojaner wird nach dem Download in "conhost.exe" umbenannt und unter %Application Data%\Microsoft\conhost.exe gespeichert. Weitere Kopien können sich unter %Application Data%\dwm.exe und %Temp%\csrss.exe bzw. %Temp%\{Zufallszahlen}.exe befinden

Quelle: http://www.magnus.de/news/sicherheit...i-1163760.html