Bayrob-Trojaner: Schnelle Verbreitung in Deutschland

Hier noch eine Information, die ich vom europäischen Security-Software-Hersteller ESET erhalten habe. Es geht um den Trojaner Win32-Bayrob, der sich wohl stark im deutschsprachigen Raum ausbreitet.


Anzeige

ESET stellt in einer Analyse ungewöhnlich hohe Verbreitungsraten des Spionage-Trojaners fest. Die Schadsoftware Win32/Bayrob wies in Deutschland kürzlich eine Verbreitung von über 30 Prozent, in Österreich gar 43 Prozent auf. Auch in der Schweiz fallen kurzzeitige Detektionsraten von beinahe 30 Prozent ins Auge. Tagesaktuelle Live-Infektions- und Erkennungsraten sind dem ESET Virus Radar zu entnehmen – auch regionsspezifisch (siehe folgende Abbildung).

(Quelle: ESET)

Infektion über bösartigen Dateianhang

Der Bayrob-Trojaner verbreitet sich über infizierte Dateianhänge, die ihre Opfer in einer E-Mail erreichen (siehe folgende Abbildung).

(Quelle: ESET)


Anzeige

Die Malware hat es dabei auf persönliche Daten abgesehen und spioniert im Hintergrund folgende Informationen aus:

  • Betriebssystem inkl. Version
  • Computername
  • IP-Adresse
  • Informationen zu den Systemeinstellungen
  • MAC-Adresse
  • Liste aktiver Systemprozesse

Mit diesen Informationen kann die Suche nach weitaus sensibleren Daten, wie beispielsweise Kreditkartendaten, Passwörtern oder Details zum Online-Banking, weitergehen. Win32/Bayrob nutzt das HTTP-Protokoll, um weitere bösartige Dateien zu transferieren oder .EXE-Dateien aus der Ferne auszuführen.

Einen ersten Hinweis darauf, dass ein Dateianhang mit Bayrob infiziert war, kann eine Windows-Fehlermeldung geben: Diese besagt, dass die ausgeführte Anwendung nicht mit der Windows-Version kompatibel sei (siehe folgende Abbildung).

(Quelle: ESET)

Erscheint die Warnung, ist es aber schon zu spät: Bayrob nistet sich tief in der Registrierung des Systems ein und stellt so sicher, bei jedem Systemstart ausgeführt zu werden.

Vorsicht bei E-Mail-Anhängen

ESET warnt einmal mehr davor, Datei-Anhänge von unbekannten Absendern zu öffnen. Doch auch bei bekannten Absendern ist stets Vorsicht geboten, da sich Cyber-Kriminelle immer öfter auch fremden E-Mail-Konten bedienen. Eine aktuelle Security-Software wie ESET NOD32 Antivirus oder ESET Smart Security hilft (laut Hersteller) dabei, die Gefahr zu minimieren. Eine tiefergehende Analyse der Wirkungsweise von Win32/Bayrob stellt ESET auf seinem Security-Blog WeLiveSecurity zur Verfügung.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Bayrob-Trojaner: Schnelle Verbreitung in Deutschland

  1. Andreas sagt:

    Naja, nach dem 1 mal 1 der PC-Sicherheit sollte man "eigentlich" schon wissen,dass man fremde Dateianhänge nicht öffnen sollte.

    • Dekre sagt:

      Das ist schon richtig, aber manchmal passiert es eben trotzdem. Hier ein Fall von DHL-Fake, welches dann geöffnet wurde, weil Diejenige auf ihr Paket mit Mode wartet. Zum Glück war dort MBAM (Malwarebytes Anti-Malware Premium) aktiv.
      Danach muss man und sollte zusätzlich mehrere Antivirenscanner diverser Hersteller durchlaufen lassen (diese sind alle kostenlos und bitte nur von der Herstellerseite runterladen!). Auch wenn dann der betroffene Besitzer meint, dass bei einem Fund ja weg wäre. Ruhig diverse durchlaufen lassen und dann auch gucken, was diese alles findet. Gute haben eine Quarantäne bei der man dann auch auswählen kann.
      Ich empfehle auch ESET Online Scanner (kostenlos).

  2. Berserkus sagt:

    Da sieht man wieder wieviele Vollpfosten es einfach nicht raffen das man Anhänge nicht öffnet, vor allem keine die man nicht explizit angefordert hat.
    Selbst dann nicht wen diese von Freunden usw. stammen.

  3. Peter sagt:

    Dem stimme ich zu. Ich empfehle in so einem Fall, am besten das System neu installieren oder eine – hoffentlich nicht verseuchte – Sicherung einzuspielen.

  4. Thomas Bauer sagt:

    Ein kompromittiertes System gilt als nicht mehr Vertrauenswürdig und sollte auf jeden Falle neu installiert werden. Viren-Säuberungstools können meist nicht alle vom Schädling vorgenommen Änderungen rückgängig machen und es bleibt somit immer ein Restrisiko manipulierter Registry Einträge, offener Ports oder anderer System Manipulationen. Außer man weiß wirklich was man tut! Das Beste sind natürlich Images mit Differentiellen/Inkrementellen Sicherungen über einen längeren Zeitraum zu besitzen. Dann kann man sein System sauber und schnell wieder herstellen.

  5. Ralf Lindemann sagt:

    Frage in die Runde: Sind aktuell die gängigen Antivirus-Lösungen in der Lage, Infektionsversuche des Bayrob-Trojaner im Echtzeitschutz zu erkennen und abzuwehren?

    • Thomas Bauer sagt:

      Ich glaube nicht das dir jemand diese Frage schlüssig beantworten kann. Du könntest dich höchstens kundig machen ob dein Virenscanner den Bayrob-Trojaner erkennt. Vermutlich werden sich aber die bekannten Antiviren Hersteller keine Blöse geben wollen und über Definitionen zur Abwehr verfügen.

      • Dekre sagt:

        siehe unten, ich denke, dass es schlüssig sein kann. Ich will hier aber noch auf etwas anderes Aufmerksam machen:
        # die Viren und Trojaner und sonstiges Blödes haben bei den einzelnen Antiviren- und Antimalwarehersteller teilweise andere Namen.
        Nachfolgendes:

        !!! Nur zu empfehlen, wenn man weiß was tut, man kann sich mal ganz schnell verklicken !!! :

        Lädt man *.zip-Dateien (viele Viren, Trojaner sind auch in*rar-Dateien verpackt) auf Virustotal hoch, so ist anzumerken, dass die Trefferquote ein Resultat liefert, welches nicht tauglich ist. Separiert man die entsprechende Pack-Datei (zip oder rar oder anderes Packformat), so wird dann was wahre Gesicht wahr bei Hochladen auf Virustotal wahr. Das Ergebnis ist schon gut, aber der Virus/Trojaner wird auch von anderen erkannt.

        Die Datei ist nicht immer eine *exe-Datei, sondern auch viele *js-Dateien (java-Skript).

        Auch teilweise kommt im E-mail gar nichts sonder immer ein google-link. Es sind nicht nur die Anhänge, malchmal sind keine Anhänge dabei.

        Man kann auch E-mails ungelesen in den Junk-Ordner verschieben. Da muss man aber auch aufpassen!!, dass man sich da nicht verklickt.

        Vorsicht ist geboten und Schutz notwendig. Bei den Standardbrowser mindestens ein Adblocker.

        • Dekre sagt:

          Hinweis- nur machen wenn man weiß was man tut!!:
          # Aus Outlook geht es nicht (!) mir dem Hochladen auf Virustotal.
          # Man muss das schon separieren. Aber da Obacht!

          Ansonsten klar = löschen, löschen und nochmals löschen. Hier gilt die höchste Geheimhaltungsstufe Vdlv = Vor dem lesen vernichten!

        • Thomas Bauer sagt:

          Danke! Daran habe ich gar nicht gedacht, die Datei bei VirusToptal zu prüfen. Klar, dann sieht man welche Scanner das unter welchen Namen erkennen. Super Hinweiß.

          • Dekre sagt:

            Virustotal liefert aber nicht immer die Ergebnisse aller Antivirenhersteller korrekt. Dann kommt darauf an was man kontrollieren lässt und da auch nicht immer richtig. MSE ist nicht immer aufgelistet, erkennt aber trotzdem.
            Erkennung bei:
            *msg Datei (also Outlook abgespeichert) fast gar nichts.
            # dass die zip-Datei schon bessser
            # dann die *js-Datei oder *exe-Datei wesentlich besser (es gibt auch pdf-Dateien, doc- und xls-Dateien etc. u.v.m. als Virus.
            Aber aufpassen, man muss und sollte dann bei Outlook alles ausschalten (Einstellung nur-text etc.), dann sauber abspeichern und beim extrahieren aufpassen und nicht verklicken. Es gibt E-Mails, die sind schon das Virus ohne Anhang!! und es gibt zip-Dateiien, die sind schon das Virus. Wirklich VdlV machen, also sofort löschen und wenn man ein pop-Konto hat dann auch beim Anbieter im Internet löschen und dann im Löschverzeichnis bei Outlook und im Löschordner im Internetkonto.

    • Dekre sagt:

      Keine Panik auf der Titanic!
      Klar. nicht nur ESET.
      Ich benutze bei Win7 als Standardlösung
      # MSE (Microsoft Security Essential) mit Aktivierung der Antimalwarefunktion per Regedit
      # Malwarebytes Anti-Malware Premium mit Echtzeitschutz
      # Malwarebytes Anti-Exploit Premium
      und dann noch anderes.
      Alles arbeit gut miteinander und behindert sich nicht (!!!!) und macht auch den PC nicht langsamer.

      MSE erkennt diesen, siehe hier:
      https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan%3aWin32%2fBayrob

      Da erhältst Du auch weitere Infos, muss nur dort anklicken.

      • Ralf Lindemann sagt:

        Thomas & Dekre: Danke für Eure Antworten! „Vdlv" ist gut! Könnte generell viel Zeit ersparen, bei all dem, was man so Tag für Tag zum Lesen vorgesetzt bekommt… (Nur ein kleiner Scherz.) ;-)

      • pfisti sagt:

        Wie kann es denn sein, dass jeder 3 PC infisziert sein soll, wenn sogar der MS Virenschutz den Trojaner entfernt?

        • Dekre sagt:

          @pfisti Hallo,
          man meckert ja des Öfteren über MS und ich auch. das ist aber involviert wegen der MS-Politik zu Win10.

          MSE (Win7 Systeme) ist ganz gut. Alles was "kostenlos" ist , wird ja generell unterschätzt. In den Analysen schneidet es immer ganz unten ab. Ich gebe nichts auf diese schwachsinnigen Analysen. Diese sind wirklich nicht brauchbar und völlig überflüssig und lügen sogar noch. MSE findet genau so viel wie andere auch finden. Mal ist der eine bei einem schneller mal der andere. Klar ist, dass Viren, Trojaner etc mehr und mehr variabel auftreten. Man muss eben sein verhalten im Internet immer hinterfragen und immer anpassen und auch mal bei Gelegenheit andere Programme durchlaufen lassen.
          MSE arbeitet ohne Probleme und ruhig und behindert nicht. Ich habe wirklich schon viele Voll-Versionen getestet und diese liefern immer eine wesentliche Einschränkung in der Leistung und dann blockieren diese Anwendungen von Programmen.
          Das Dazu.

          # Wieso jeder Dritte? Die Statistik von AV-Herstellern ist eben einerseits Statistik und andererseits von ESET. Das heißt, das keiner weiß wie die Statistik erstellt wurde (Statistik-Mathematiker sind ja der Renner auf Markt und werden gesucht, da kann schon mal sowas rauskommen).
          Dann ist es eine von ESET und ESET wertet nur das aus, was es über Ihre Software an Rückmeldungen erhält und da glaube ich schon auch , dass diese nicht richtig analysiert wurde. Beispiel, diesmal nicht für ESET, sondern für Kaspersky: Für Digitale Bibliothek braucht man eine Setup.exe. Diese auf Virustotal hochgeladen bringt 6 Treffer von 53 und alle mit ganz bösen Trojaner. Das ist totaler Blödsinn. Kaspersky ist nur zu blöd das zu verstehen und sagt einmal nicht, warum es "böse" sein sollte. Habe das eingeschickt und um Stellungnahme geben. Die sind aber arrogant und leben in ihrer Welt.

          Das zu AV-Herstellern und AV-Programme. nach wie vor entscheidet immer noch der der davor sitzt, was er macht.

          • Dekre sagt:

            Und weil ich heute so richtig mal meckern bin gegenüber die AV-Bolzen und insbesondere Kaspersky. Die Datei Setup.exe von der Digitalen Bibliothek hat nach Neukauf von JRT (Junkware Removal Tool) auch Malwarebytes dann rausgeworfen. Denen habe ich alles geschickt mit Links und etc und so weiter und was das ist etc. und dann habe ich eine Meldung bekommen, dass man die Datei analysiert hat und diese für unschädlich befunden hat.
            Das nur mal so was der Unterschied zu guten AV/Anti-Malware-Schmieden und den Prolls von Kaspersky her macht.
            Also die Leute reagieren schon, nur eben Kapsersky nicht, denn die sind da was "Besseres" und sind doch so befangen.

          • Ralf Lindemann sagt:

            @Dekre. Hier eine kleine Info am Rande, die dich eventuell interessieren wird. Die mittelmäßigen Erkennungsraten, die dem Windows Defender immer wieder vorgeworfen wurden, scheinen eine relativ simple Ursache gehabt zu haben: Microsoft hat wohl mit Geld und Personal für die Entwicklung des Defenders gegeizt. Das scheint sich 2015 aber geändert zu haben. Bei Golem.de war vor einigen Wochen zu lesen:
            „Windows Defender hat bei Microsoft [jetzt] ebenfalls eine höhere Priorität bekommen. So hat Microsoft nach eigenen Angaben das Defender-Team erheblich aufgestockt, um die mittelmäßige Erkennungsrate auf das Level der Marktführer zu heben und die automatische cloudbasierte Analyse von Malware weiter zu verbessern." Quelle: http://www.golem.de/news/sicherheit-windows-10-und-das-ende-von-malware-1512-117849.html

        • Dekre sagt:

          Habe das was geschrieben, jetzt ist es weg. Inhalt war:
          # MSE ist besser als der Ruf bei den Tests, denn die sind alle nicht korrekt
          # 30%, also 1/3tel auf welcher undvon was und von wem. Es snd wohl 1/3tel von einer nicht bekannten Zahl x. Und die Ermittlung von x ist nicht bekannt. Anonsten müssten ja schon bei 5 PC bei mir einer daovn was haben. habe aber nichts.

  6. ol chatterhand sagt:

    Zum Mail bearbeiten grundsätzlich mit Linux-DVD booten (nativ und nicht via VirtualEngine).

    Vor dem Abspeichern alles in Text umwandeln.
    Bilder im Anhang kann man ja in .png umwandeln,
    Audio/Video kann man auch mit Linux-eigenen Tools angucken/hören.

    Einmal die Ident geklaut und faule Geschäfte auf deine Rechnung getrieben,- das Risiko sollte durch ein bisschen Mehrarbeit klein zu halten sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.