Schlagwort-Archive: Bot-Netz

ZBOT-UPATRE nutzt nun beliebige Header

Originalartikel von Jaaziel Carlos, Threat Response Engineer

TROJ_UPATRE ist der bekannteste, über Spam verbreitete Schädling. Er lädt die verschlüsselte Malware Gameover ZeuS auf die betroffenen Systeme. Dieser Schädling wiederum sticht durch die Peer-to-Peer-Verbindungen zu seinem Command-and-Control-Server hervor. Nun stellten die Sicherheitsforscher fest, dass diese ZeuS-Varianten auch nicht-binäre Dateien nutzen.

Weiterlesen

Wie Sie feststellen können, ob Ihre Website Teil des Botnetzes StealRat ist

Originalartikel von Jessa De La Tore, Senior Threat Researcher

Wir beobachten nun schon seit ein paar Monaten einen Spambot namens StealRat, der vornehmlich kompromittierte Websites und Systeme missbraucht, um sein Unwesen zu treiben. Unsere Überwachung erfolgte in dieser Zeit ohne Unterbrechung und wir konnten ungefähr 195.000 kompromittierte Domänen und IP-Adressen ermitteln. Der gemeinsame Nenner dieser kompromittierten Sites war, dass darauf verwundbare CMS-Software wie WordPress, Joomia und Drupal lief.
Weiterlesen

Andromeda taucht wieder auf

Originalartikel von Romeo Dela Cruz, Threat Response Engineer

Das Andromeda-Botnet, zuerst 2011 entdeckt, ist wieder aktiv. Die Bedrohung verbreitet sich über die bekannten Methoden der Spam-Nachrichten mit bösartigem Anhang oder Links zu mit dem Blackhole Exploit Kit infizierten Webseiten.

Nachfolgend ein Beispiel einer solchen Nachricht:

Weiterlesen

Android-Schadsoftware führt Remote-Befehle aus

Originalartikel von Veo Zhang, Mobile Threat Analyst

Neben Apps, die Nutzer für unerwünschte Bezahldienste anmelden, oder solchen, die aggressiv Werbung auf das Gerät des Anwenders schieben, geht von Apps mit Hintertürfähigkeiten eine noch höhere Gefahr aus.

Kürzlich sorgten Berichte über ein Botnet für Aufsehen, das mehr als eine Million Smartphones umfasst. Dies zeigt die Vielfalt der Angriffe auf Android-Geräte und auch, dass die Gefahr längst nicht vorbei ist.
Weiterlesen

Skype-Wurm breitet sich schnell aus

Originalartikel von Rik Ferguson, Director of Security Research & Communication

Wieder einmal ist es Montagmorgen und wir beginnen trüben Auges die neue Woche. Die Kriminellen nutzen unsere Trägheit nach dem Wochenende aus und starten eine Kampagne zur Verbreitung von Schadsoftware über Skype.

Viele Nutzer haben bereits darüber berichtet, Nachrichten von Freunden aus ihrer Skype-Kontaktliste erhalten zu haben. Mittels Social Engineering erstellte Nachrichten sind sowohl auf Englisch als auch auf Deutsch gesichtet worden. Die Inhalte lauten:

“lol is this your new profile pic? h__p://goo.gl/{BLOCKED}5q1sx?img=username”

oder

“moin, kaum zu glauben was für schöne fotos von dir auf deinem profil h__p://goo.gl/{BLOCKED}5q1sx?img=username”

Unabhängig von der verwendeten Sprache ist der Link immer der gleiche, obwohl das natürlich einfach geändert werden könnte. Die Kurz-URL leitet schließlich zu einem Download auf hotfile.com um. Von dort wird ein Archiv mit der Bezeichnung „Skype_todaysdate.zip“, die eine einzige ausführbare Datei gleichen Namens enthält, heruntergeladen.

Die ausführbare Datei installiert eine Variante des Dorkbot-Wurms, die als WORM_DORKBOT.IF oder WORM_DORKBOT.DN entdeckt wird. Dieser löst nach der Installation anscheinend in großem Stil Click-fraud-Aktivitäten auf jedem infizierten System aus und fügt dieses einem Botnetz hinzu.

Außerdem stehen diese Dorkbot-Varianten Benutzernamen und Passwörter für eine ganze Reihe an Websites, darunter Facebook, Twitter, Google, PayPal, NetFlix und viele andere. Sie können in die DNS-Auflösung eingreifen, iFrames in Webseiten einschleusen, drei verschiedene DDoS-Attacken ausführen, als Proxy-Server dienen und auf Anweisung der Botnetz-Hintermänner weitere Schadsoftware herunterladen und installieren. Dies sind nur einige der Funktionalitäten dieses gefährlichen Wurms. In den ersten 24 Stunden seit Entdeckung hat Trend Micro mehr als 2.800 damit in Verbindung stehende Dateien geblockt.

Bei einigen Infektionen wird eine Ransomware-Variante installiert, welche die Anwender von der weiteren Benutzung ihrer Rechner ausschließt und ihnen mitteilt, dass ihre Dateien verschlüsselt wurden und diese gelöscht würden, falls die unglücklichen Opfer nicht innerhalb von 48 Stunden jeweils 200 US-Dollar Strafe zahlen.

Die Schadsoftware wird zurzeit noch untersucht und TrendLabs hat erste Untersuchungsergebnisse veröffentlicht. Allen sei empfohlen, niemals auf unaufgefordert zugeschickte Links zu klicken.