QUERVAR, Ransomware und ZACCESS machen gemeinsame Sache

Originalartikel von Jocelyn Racoma, Threat Analyst

Drei der berüchtigsten Malware-Familien greifen nun zusammen an. In den letzten Monaten stießen die Sicherheitsforscher in manchen Regionen vermehrt auf QUERVAR, Ransomware und SIREFEF/ZACCESS. QUERVAR verbreitete sich vor allem in Nordamerika, EMEA und Australien/Neuseeland, während Erpresserschädlinge in der Region EMEA ihr Unwesen trieben und SIREFEF/ZACCESS in Nordamerika.

Jetzt jedoch gibt es gemeinsame Angriffe aller drei Schädlingsfamilien. Nach einer umfassenden Infektion von Systemen mit QUERVAR im August hörten die Angriffe mit diesem Schädling in der ersten Septemberhälfte ganz auf. Doch zeigten die Daten im Smart Protection Network ein paar Tage später neue Angriffe (PE_QUEARVAR.A-O, PE_QUEARVAR.B-O, PE_QUEARVAR.C-O, PE_QUEARVAR.D-O) an:


Ende September dann entdeckten die Forscher eine neue QUERVAR-Variante mit einer neuen Struktur aber den alten Infektionsroutinen. Diese umfassten Infektionen von .EXE-, Microsoft Excel- und Word-Dateien , die dann neue .SCR-Erweiterungen erhielten. Diese Varianten hatten auch eine neue Payload: Sie luden Ransomware und ZACCESS-Varianten herunter. Einzelheiten zu den in die Angriffe involvierten Dateien und URLs gibt es im Originaleintrag.

Die Ransomware TROJ_RANSOM.CMY kapert das infizierte System und bringt die folgende Abbildung auf den Bildschirm. Damit sollen die Opfer glauben, es handle sich um eine legitime FBI-Warnung bezüglich Urhebergesetze. Der Schädling sperrt den Computer für den Nutzer und informiert ihn darüber, dass er unter Beobachtung steht.


Die SIREFEF/ZACCESS-Varianten wiederum sind als Rootkit-Schädlinge bekannt, die Systemänderungen vor den Nutzern verbergen können. Technische Einzelheiten dazu liefert ebenfalls im Originaleintrag.

Trend Micro-Anwender sind über das Smart Protection Network vor dieser Gefahr geschützt. Die Dateireputationsdienste blockieren und entfernen die damit zusammen hängenden schädlichen Dateien, während der Webreputaions-Service den Zugang zu Sites mit den Schädlingen blockiert.

Ein Gedanke zu „QUERVAR, Ransomware und ZACCESS machen gemeinsame Sache

  1. Pingback: Schadsoftware im Bundle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*