![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Kurz vor dem US-Memorial-Day wurde eine neue Angriffsmethode des Botnetes Necurs bekannt. Dieses verteilte einen Remote Access Trojaner (Name: Flawed Ammy) per Excel Web Query und Internet Inquiry-Dateien.<\/p>\nKurz vor dem US-Memorial-Day wurde eine neue Angriffsmethode des Botnetes Necurs bekannt. Dieses verteilte einen Remote Access Trojaner (Name: Flawed Ammy) per Excel Web Query und Internet Inquiry-Dateien.<\/p>\n
<\/p>\n
RAT ist das K\u00fcrzel f\u00fcr Remote Access Trojaner und Necurs<\/a> ist ein Botnet. Flawed Ammyy RAT ist ein Trojaner, der wohl aus einer legalen Software, der Ammy Admin Remote Desktop-Software Version 3 entwickelt wurde<\/a>. In diesem Artikel<\/a> findet sich ein Hinweis, dass der Trojaner per Mail verteilt wurde. Nun gibt es einen neuen Angriffsvektor, der \u00fcber Query-Dateien l\u00e4uft.<\/p>\n Die Site MyOnline-Security ist vorige Woche auf diese Angriffsmethode gesto\u00dfen. Das Necurs-Botnet versucht mit Hilfe von iqy-Dateien, bei denen es sich um Excel-Webabfragen und Internet-Anfragen handelt, den Trojaner zu verteilen. Und es gibt den Ansatz, das Gleiche per SYLK-Datei zu versuchen (siehe den Beitrag hier). <\/p>\n Bei den Dateien handelt es sich um eine einfache Textdateien mit einer URL, die beim \u00d6ffnen in Excel (\"Standard f\u00fcr iqy-Dateien\") alles herunterl\u00e4dt, was sich am Ende der URL befindet. Dies erm\u00f6glicht es auch, Schadprogramme aus dem Internet zu laden, die m\u00f6glicherweise von Antivirussoftware ignoriert wird, weil die Ausgangsdateien ja keine Schadfunktion enthalten. <\/p>\n Im konkreten Fall wird wohl Flawed Ammyy RAT \u00fcber diese Query-Dateien aus dem Internet herunter geladen. Die Information samt findet sich in diesem Blog-Beitrag. Dort wird auch erl\u00e4utert, dass man im Trust Center von Excel das Laden von solchen Dateien unterbinden kann. Aktuell kann ich das Risiko dieser Angriffsmethode nicht einsch\u00e4tzen. Administratoren in Firmenumgebungen sollten den Angriffsweg aber kennen und ggf. das \u00d6ffnen der Dateien unterbinden. <\/p>\n","protected":false},"excerpt":{"rendered":" Kurz vor dem US-Memorial-Day wurde eine neue Angriffsmethode des Botnetes Necurs bekannt. Dieses verteilte einen Remote Access Trojaner (Name: Flawed Ammy) per Excel Web Query und Internet Inquiry-Dateien.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-204788","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204788"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204788\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}