![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Neben dem Verschl\u00fcsselungstrojaner WannyCrypt gibt es eine zweite Malware mit dem Namen Adylkuzz, die gleichen Sicherheitsl\u00fccken nutzt. Adylkuzz ist ein Trojaner, der auf befallenen Systemen einen Crypto-Geld Miner herunterl\u00e4dt und installiert. Die befallenen Computer sch\u00fcrfen dann Crypto-Geld f\u00fcr die Entwickler. <\/p>\n
<\/p>\n
Die Sicherheitsexperten von Proofpoint haben die Software in diesem Blog-Beitrag<\/a> beschrieben. Nach der WannaCry-Attacke haben die Leute eine zweite Malware entdeckt, die auf die gleichen Sicherheitsl\u00fccken (MS17-010<\/a> im Microsoft Server Message Block (SMB) mit ge\u00f6ffnetem TCP Port 445) abstellt. In der Malware kommen, laut Proofpoint die NSA-Exploits EternalBlue und DoublePulsar zur Verbreitung \u00fcber das Netzwerk und zur Installation der Schadsoftware zum Einsatz. Ist die Maschine kompromittiert, l\u00e4dt die Schadsoftware aktuell den Mining-Trojaner Adylkuzz nach und l\u00e4sst die Maschine Monero Crypto-Geld sch\u00fcrfen. Das ist, solange der Trojaner nicht entdeckt wird, f\u00fcr die Entwickler lukrativer als die 27.000 US $, die die WannaCry-Erpresser wohl eingenommen haben.<\/p>\n Erste Statistiken von Proofpoint zeigen, dass diese Kampagne gr\u00f6\u00dfer als der WannaCry-Angriff ist. Der Wurm kann sich \u00fcber die NSA-Exploits EternalBlue und DoublePulsar wohl ungehemmt verbreiten. Auch gibt es keinen Kill-Switch (bzw. dieser ist nicht bekannt), um die Infizierung weiterer Systeme zu stoppen. <\/p>\n Bei n-tv gibt es die These<\/a>, dass WannaCry nur eine Ablenkung gewesen sei, um den Trojaner Adylkuzz im Windschatten zu verbreiten. Allerdings geben die Proofpoint-Leute an, dass diese 'Ablenkung' eher versehentlich erfolgte. M\u00f6glicherweise hat Adylkuzz auch die Verbreitung von WannaCry ausgebremst, da die Schadsoftware Port 445 nach der Infektion des Systems block, um vollen Zugriff sicherzustellen und weitere Infektionen zu verhindern.<\/p>\n Der Angriff begann sp\u00e4testens am 2. Mai 2017, m\u00f6glicherweise aber bereits ab dem 24. April 2017. Proofpoint konnte das es an einem Honeypot mehrfach testen: Gut 20 Minuten nachdem die verwundbare Maschine per Internet erreichbar war, wurde diese mit Adylkuzz infiziert. <\/p>\n Der obige Screenshot zeigt, dass der Trojaner kurz nach der Infektion der Maschine herunter geladen wird. Proofpoint schreibt, dass mehrere Adylkuzz Command and Control (C&C) Server existieren, die die Bin\u00e4rdateien f\u00fcr die Crypto-Miner und die Mining-Anweisungen verteilen. Laut Proofpoint konnte auf einem Konto ein Guthaben von \u00fcber 22.000 US $ vorhanden war, bevor dessen Aktivit\u00e4ten aufh\u00f6rten. <\/p>\n Indizien f\u00fcr eine Infektion kann der Verlust des Zugriffs auf Netzwerkfreigaben unter Windows sein, schreiben Sicherheitsexperten. Auch eine Reduzierung der Systemleistung auf Windows Servern kann auf den Trojaner hindeuten. Laut Proofpoint haben verschiedene Organisationen letzte Woche Netzwerkprobleme festgestellt, diese aber auf WannaCry zur\u00fcck gef\u00fchrt. <\/p>\n Bei Proofpoint wird eine Liste der Domains\/IPs<\/a> aufgef\u00fchrt, von denen die Angriffe kommen. Netzwerkverkehr zu 05.microsoftcloudserver[.]com<\/em>, 08.super5566[.]com<\/em> und so weiter sind ein Indiz f\u00fcr die Kommunikation mit den C&C-Servern. <\/p>\n Bei Symantec gibt man hier<\/a> folgende Dateien an, die der Trojaner nach der Infektion wohl anlegt. <\/p>\n Zudem werden Verbindungen zu den oben angegebenen Servern aufgebaut, wobei diese wohl nur eine kurze Lebensdauer haben und durch andere Domains ersetzt werden. Der Trojaner legt aber folgende Dienste an:<\/p>\n Die Ergebnisse des Task cpuminer <\/em>werden in folgender Protokolldatei abgelegt :<\/p>\n Sobald folgende Prozesse auf dem befallenen System ausgef\u00fchrt werden, stoppt der Trojaner den Mining-Prozess:<\/p>\n Der Trojaner \u00fcberwacht eine Reihe weiterer Prozesse auf den befallenen Systemen. Symantec empfiehlt Administratoren eingehende Verbindungen \u00fcber eine Firewall zu blockieren, um den Zugriff f\u00fcr die Infektion zu erschweren. Zudem werden hier<\/a> eine Reihe weiterer Empfehlungen gegeben. <\/p>\n Ist ein System infiziert, stellt Symantec f\u00fcr Norton-Nutzer auf dieser Webseite<\/a> das Tool Norton Power Eraser zum Download bereit. <\/p>\n Das Tool kann auch ohne Norton-Abo ausgef\u00fchrt werden und \u00fcberpr\u00fcft Windows (ohne Installation weiterer Komponenten) auf diverse Bedrohungen. Neben Diensten und Registrierungseintr\u00e4gen werden weitere Scans ausgef\u00fchrt. <\/p>\n Hinweise: Das Tool braucht aber einen Internetzugang, um Informationen nachzuladen. Zudem muss man mit etwas Sinn und Verstand an die Sache herangehen. Bei meinem Test-Scan wurden diverse .lnk-Dateien im Benutzerprofil als 'unklar' bem\u00e4ngelt. Wer dann (ich denke an Home-User) in Panik verf\u00e4llt, ist fehl am Platz. Die Links hatte ich wohl in den vergangenen Tagen irgendwo genutzt. Bei Bedarf k\u00f6nnte man diese l\u00f6schen lassen (wobei das Tool optional einen Wiederherstellungspunkt anlegen kann). Vielleicht helfen die obigen Infos Administratoren von Firmennetzwerken aber den Blick in diese Richtung zu sch\u00e4rfen und ggf. Bedrohungen zu erkennen oder abzuwehren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Neben dem Verschl\u00fcsselungstrojaner WannyCrypt gibt es eine zweite Malware mit dem Namen Adylkuzz, die gleichen Sicherheitsl\u00fccken nutzt. Adylkuzz ist ein Trojaner, der auf befallenen Systemen einen Crypto-Geld Miner herunterl\u00e4dt und installiert. Die befallenen Computer sch\u00fcrfen dann Crypto-Geld f\u00fcr die Entwickler.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6203,6204,4328,4325],"class_list":["post-190552","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-adylkuzz","tag-mining","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190552","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190552"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190552\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Letztes Wochenende hat der Verschl\u00fcsselungstrojaner WannyCrypt (aka WannaCry) Administratoren und Sicherheitsforscher in Atem gehalten. Aber seit kurzem (manche Quellen, sprechen von April 2017, Symantec gibt hier<\/a> den 16. Mai 2017 als Entdeckungsdatum an) macht eine neue Malware die Runde. <\/p>\n
Mining-Trojaner Adylkuzz<\/h2>\n
Gr\u00f6\u00dfere Kampagne als WannaCry<\/h2>\n
![](\"https:\/\/www.proofpoint.com\/sites\/default\/files\/pfpt-en-threat-blog-adylkuzz-wannacry01a.png\")
<\/a>
(Quelle: Proofpoint \u2013 zum Vergr\u00f6\u00dfern klicken)<\/p>\nIst ein System infiziert?<\/h3>\n
\n
\n
\n
\n
Wie entfernen?<\/h2>\n
![\"Norton](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2017\/05\/NPE_thumb.jpg\" "\\"Norton")
<\/a><\/p>\n
Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
WannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
WannaCry: Die Lage am Montag<\/a>
WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a> Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"