{"id":180372,"date":"2016-08-11T09:54:34","date_gmt":"2016-08-11T07:54:34","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=180372"},"modified":"2016-08-11T09:54:34","modified_gmt":"2016-08-11T07:54:34","slug":"achtung-nemucod-ist-als-malware-variante-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/11\/achtung-nemucod-ist-als-malware-variante-zurck\/","title":{"rendered":"Achtung: Nemucod ist als Malware-Variante zurück"},"content":{"rendered":"

Die Sicherheitsforscher von ESET haben eine neue Variante der Malware Nemucod entdeckt und unter dem Namen Win32\/Kovter dokumentiert. <\/p>\n

<\/p>\n

\"\"Im M\u00e4rz hatte ich im Artikel ESET warnt vor Nemucod-Malware<\/a> die betreffende Schadsoftware angesprochen. Die Angreifer nutzen E-Mails, um die Schadsoftware zu verbreiten. Als Rechnung, Gerichtsvorladung oder \u00e4hnliche offizielle Dokumente getarnt, versuchen sie die Zielpersonen dazu zu bringen, eine angeh\u00e4ngte Zip-Datei zu \u00f6ffnen. Der schadhafte Anhang beinhaltet eine Javascript-Datei, welche einmal ge\u00f6ffnet den Download sowie die Installation von Nemucod startet. Im Anschluss werden verschiedene Malware-Programme aus dem Internet geladen. Nemucod verschl\u00fcsselt daraufhin Bilder, Videos oder Office-Dateien auf dem infizierten PC und fordert den Nutzer zur Zahlung eines bestimmten Betrags auf, um die pers\u00f6nlichen Dateien wiederherzustellen. Auch in DACH war die Malware recht erfolgreich.<\/p>\n

Wie der europ\u00e4ische Security-Software-Hersteller ESET<\/a> schreibt, beschr\u00e4nkt sich die Variante Win32\/Kovter, des bislang aktivsten Trojaner des Jahres 2016, nun nicht mehr nur auf die Verbreitung von Ransomware. Die neue Malware-Variante verbreitet eine Backdoor Malware, die unkontrolliert und ohne Wissen des Nutzers auf Werbeanzeigen im Internet klickt. Hier die von ESET offen gelegten Details: <\/p>\n

Backdoor Malware mit \u201eDurchblick\"<\/h3>\n

Die aktuelle Version ist vor allem dadurch gekennzeichnet, dass sie mittels eines internen Browsers eine Backdoor einschleust. Dadurch werden, vom Computernutzer unbemerkt, Webseiten aufgerufen und Werbung angeklickt. Insgesamt kann Kovter bis zu 30 Aufgaben parallel ausf\u00fchren. Die Anzahl der gleichzeitig ausgef\u00fchrten Aufgaben variiert und wird entweder direkt durch den Angreifer festgelegt oder alterniert automatisch \u2013 dann richtet sich Kovter nach freiem RAM-Speicherplatz und CPU-Verbrauch. Das hilft dem Trojaner unentdeckt zu bleiben, da er nicht das System \u00fcberlastet und so kaum Aufmerksamkeit erregt. <\/p>\n

Achtung, Anhang! <\/h3>\n<\/p>\n

Wie schon bei fr\u00fcheren Versionen des Trojaners gelangt die Malware als Anhang einer E-Mail auf den Computer. Der Anhang tarnt sich als Rechnung oder ein \u00e4hnlich offiziell anmutendes Dokument und soll den Empf\u00e4nger dazu verleiten, die Datei zu \u00f6ffnen.  Ohne es zu merken, l\u00e4dt er damit eine infizierte Javascript-Datei auf seinen Rechner. Durch dieses Vorgehen k\u00f6nnen herk\u00f6mmliche Sicherheitsscanner in E-Mail-Systemen wirkungsvoll get\u00e4uscht und umgangen werden. <\/p>\n

Urspr\u00fcngliche Version erpresste Opfer<\/h3>\n<\/p>\n

In der Variante vom Fr\u00fchjahr 2016 hatte sich Nemucod vor allem auf den Download von Schadsoftware wie Locky oder TeslaCrypt sowie das Einschleusen von Ransomware fokussiert. Ziel war es, so viele User wie m\u00f6glich zu infizieren und zu erpressen. Sobald der Rechner geentert war, begann die Ransomware damit, Dateien zu verschl\u00fcsseln. Bei Zahlung eines bestimmten Betrags, so versprachen die Angreifer, sollten die Daten der Opfer wiederhergestellt werden. <\/p>\n

Hier bleibt nur der Hinweis, den auch ESET gibt: Sch\u00fctzen kann man sich, indem alle Mail-Anh\u00e4nge mit .EXE, .BAT, .CMD, .SCR sowie .JS blockiert werden. Wer h\u00e4ufiger verd\u00e4chtige Dateien erh\u00e4lt, sollte einen kritischen Blick auf den Absender werfen und \u2013 laut ESET – in eine leistungsf\u00e4hige Sicherheitsl\u00f6sung investieren. Anwenderschulung in Sensibilisierung halte ich auf jeden Fall im privaten und gesch\u00e4ftlichen Umfeld f\u00fcr sehr sinnvoll. <\/p>\n

Die Variante l\u00e4sst m\u00f6glicherweise noch einen Schluss zu. Offenbar ist das Ransomware-Einahmepotential doch nicht so hoch, so dass sich die Kriminellen auf Klickbetrug kaprizieren m\u00fcssen. <\/p>\n","protected":false},"excerpt":{"rendered":"

Die Sicherheitsforscher von ESET haben eine neue Variante der Malware Nemucod entdeckt und unter dem Namen Win32\/Kovter dokumentiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,5237,4328],"class_list":["post-180372","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-nemucod","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=180372"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180372\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=180372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=180372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=180372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}