Mbam-Heise
Malware Bit
Schadsoftware-BitEs gibt drei Trojaner-kompromittierte Programme auf download.cnet. Die Website ist einer der bekanntesten Software-Hoster mit einem bemerkenswerten Alexa-Rang von Platz 136. Der Benutzer Crawsh von /r/monero Unterreddit war einer derjenigen, die von Malware betroffen waren. Ein erfahrener Anwender vermutet dahinter eine Malware - und er sollte Recht haben. Die Monero Wallet Adresse in der Ablage wurde von der Malware aufgefangen und durch eine hartcodierte Bitcoin Adresse abgelöst.
Da Crawsh froh war, dass das Spielfeld eine Monero-Adresse benötigte, verursachte die Bitmünze natürlich eine Invalidität. Unglücklicherweise traf dies nicht auf viele andere Betroffene zu, deren Computer die selbe Malware gefährdeten. Die Malware-Entwickler haben bis zum und mit dem März 2018 rund 8,8 BTC mit ihrem Mesh gesammelt - das entspricht damals rund 80.000 US-Dollar.
Im Blog hat jemand über einen Webseiten-Hack berichtet (der nichts mit der hier betrachteten Malware zu tun hat). In dem Blogeintrag wurde die ursprüngliche Adresse von Bitcoins durch die des Malware-Entwicklers abgelöst, wie im zweiten Foto zu sehen ist. Es wird vermutet, dass auch der Verfasser des Blogeintrags durch den Bitcoin-Dieb gefährdet wurde. ESET-Sicherheitsexperten fanden heraus, dass die Ursache des Kompromisses eine mit Trojanern ausgestattete Applikation namens Win32 Disk Imager war.
Die Anti-Virus-Programme von ESET entdecken den Virus seit dem zweiten Mal 2016 als Version von MSIL/TrojanDropper.Agent. Bei den Ermittlungen wurde deutlich, dass Win32 Disk Imager nicht die einzigste Applikation ist, die mit einem trojanischen Virus kontaminiert ist. Wir kennen zumindest zwei weitere Applikationen desselben Malware-Entwicklers. Das erste ist das Codeblockprogramm, das bereits von KNET blockiert wird.
Peil-Nutzlast. Code-Blocks ist eine beliebte und von vielen C++/C-Entwicklern verwendete IDE. Dies beinhaltet mehrere gefährliche Nutzlasten, einschließlich des Bitcoin-Diebstahls und eines Bits. Die CNET reagierte prompt auf einen ESET-Alarm und entfernte die mit Trojanern kontaminierten Applikationen von der Website. Die erste Malware-Ebene ist ein sehr einfacher Tropfer, der die Applikation (Win32 Disk Imager, CodeBlocks, MinGw) auspackt, die der Benutzer tatsächlich installiert haben möchte.
Der Tropfer lässt aber auch die schädliche Nutzlast im Opfersystem fallen. Die Nutzlast ist wie beim Tropfer recht einfach. Die Ersetzung der Bitmünze in der Ablage erfolgt durch einen vierzeiligen Kode, wie oben gezeigt. Mit regex wird nach Bitcoin-Adressen gesucht, um diese durch die hartkodierte Wallet- Adresse der Malware-Entwickler (1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj) zu ersetzt.
Eigentlich wollen die Täter ihre Intentionen nicht verbergen, denn selbst der Debug-Symbolpfad vom Tropfer und die Nutzlast verraten die Intention. Unserer Meinung nach steht "SF to CNET" für QuelleForce to CNET, da alle drei Applikationen ihre saubere Instanz im Quellcode-Speicher haben: Die Payload und das Trojaner-Paket befinden sich z. B. unter y3_temp008.exe oder Win32DiskImage_0_9_5_install.exe im Zwischenverzeichnis.
Die Payload wird von der Trojaner-infizierten Variante von MinGW-w64 im Opfersystem entladen. Ausgehend von den ersten drei Buchstaben sollte eine vergleichbare Bitmünze die tatsächliche Anschrift des Betroffenen sein. Dieses Gerät bietet zusätzlichen Nutzen durch die Verwendung von PDB-Pfaden. Eine dieser Möglichkeiten ist: C:\Users\Ngcuka\Documents\V\V\V\Flash Spreader\obj\x86\Release\MainV. pdb Der Benutzername ist mit dem des ersten BITCOIN Stealer oben übereinstimmend.
Wir gehen daher davon aus, dass alle ausgewerteten Malware-Proben von denselben Malware-Entwicklern kommen. Löscht die heruntergeladene Installationsdatei Win32-Diskimager. exe (SHA1: 0B1F49656DC5E4097441B04731DDDDDDD02D4617566) oder Codeblöcke. Während unserer Ermittlungen haben wir die Firma CNET benachrichtigt und sie hat die Trojaner-kontaminierten Applikationen rasch von ihrer Webseite genommen und weitere Kompromisse unterlassen.
Falls Sie vermuten, dass Sie gefährdet sind, sollten Sie ein zuverlässiges Virenschutzprogramm einrichten, das Malware erkannt und beseitigt. Betreffende Anwendungen:
Software-Update der G-Daten funktioniert nicht
Alles Windows
Schadprogramme Anti Malware Portable Anti Malware Portable
Kostenloses Antivirenprogramm für Avira
Cyberkriminalität der Polizei
Erfahrungen mit Kaspersky Internet Security
Viren-Online-Check
Basler iii
Der Datenschutz im Unternehmen
Freeware für Malware eliminieren
Virenschutzvergleich
Sicherheitssoftware für Windows
So entfernen Sie einen Virus von Ihrem PC
D Daten Antivirus frei Android
Wiedergabeladen Windows 10
Fenster-Rootkit
Vertrauen Sie auf Antivirensoftware
Erklärung zur Cyberkriminalität
Das Kaspersky 2016 blockiert das Internet
Die besten Antivirenprogramme 2015
Entlohnung
Schutz personenbezogener Daten im Internet
Hilfe zu Malware
Virus-Schutz-Vergleich kostenlos
Produktprüfung Sicherheitssoftware
Kostenloser Trojaner-Schutz
D Datenkarriere
Anmeldung am Microsoft-Konto
Der Mbar Anti-Rootkit gegen Rootkits
Anti-Virus Ashampoo
Sicherungskopie Exec
Lizenz für Kaspersky Mobile Security
Kaspersky Virus Online-Scan
Serviceprovider
Schutz der Daten in Unternehmen
Echtzeit-Freeware für Malware
Kostenloser Virenschutz Windows 8
Sicherheitsprogramme für Windows 10
Spyware von Ihrem Computer entfernen
D Daten Registrierungsnummer
Übersicht über die Microsoft Server-Betriebssysteme
Wurzelverzeichnis-Scanner Windows 10
Antivirus 2016 Pro von Avira
Vladimir Fritz Fon Wlan
Erscheinungsdatum von Kaspersky Internet Security 2017
Antivirenschutz deaktivieren
Goldbergwerk
Gefährdungen Datensicherheit
Malware-Freeware finden
Kostenloser Virenschutz Windows 7