Unter Windows 10 X64
Trojaner auf Rechner
Der Trojaner auf dem ComputerIm Unterschied zu Trojaner, die auf den Einsatz von Internetbanking von Webinjects setzen, leiten sie die Übertragung von Online-Banking-Sitzungen vom Computer auf die Website der Bank und wieder zurück, wobei die Daten ströme über diverse Proxy-Server geleitet werden, die häufig im TOR-Netzwerk laufen.
Schon vor wenigen Tagen haben wir die Funktionalität von Reafe in Verbindung mit deutschsprachigem Köder für die österreichischen und schweizerischen Online-Banking-Anwender und die Bedeutung von Proxy-Systemen bei der Kompromißlösung von PC vorgestellt: Obgleich es sich bei der Firma um eine Malware-Familie mit langer Tradition gehandelt hat, wie z.B. eine Übersicht des Computernotfallteams der schweizerischen Eidgenossenschaft ( "GovCERT.ch") zeigt, ist die Firma zwar außerhalb ihrer Zielgebiete vergleichsweise wenig bekannt.
Kürzlich wurde die Firma durch den Vertrieb einer Mac OS-Version des Banking-Trojaners vor allem in der Schweiz bekannter. Die gefälschten Mac OS-Updates (Abb. 2) begannen als soziales Engineering-System, bei dem die Anwender aufgefordert wurden, ihr Administratorkennwort einzugeben und das Programm aufzurufen. Seit einigen Wochen wird das Produkt in der Spam-E-Mail-Kampagnen mit Microsoft Office Dokumentenanhängen verwendet.
0006292 " und Anlagen mit Bezeichnungen wie "receipt_123456_05_09_2017. doc", "order_123456_05_09_2017. doc ", "order_123456_05_05_05_05_05_09_2017. doc" und "invoice_123456_05_09_2017. Doc". Die in der Schweiz verwendeten Lockmittel für den deutschsprachigen Raum sind in Abb. 3 dargestellt: In den Anhängen befinden sich auch ein Foto und ein Hinweistext, der den Anwender dazu veranlasst, auf die Verknüpfungen zu drücken, um sie durchzuführen (Abbildung 4).
Beim Öffnen der Tastenkombination und Akzeptieren der Sicherheitsabfrage (Abbildung 5) wird mit dem PowerShell-Befehl im LNK eine auf einem Remote-Server gehostete Programmdatei heruntergeladen. Bei der heruntergeladenen ausführbaren Version handelt es sich, wie bereits gesagt, um ein selbst entpackendes Zip-Archiv mit einem mehrfach verschlüsselten Java-Skript. Der Installationscode ist in Bild 6 dargestellt:
Um den Bankwesenverkehr der befallenen Rechner abfangen und verändern zu können, setzt die Firma auf Proxy-Server. Die Proxys liegen in der Regel auf den im Paramter "dl:" definierten Servern, während der Paramter "pstp:" auf den betroffenen Rechnern aufgesetzt wird. Die" pseb:"-Konfiguration realisiert den EternalBlue-Exploit, der den Großteil des Code einem öffentlichen Proof-of-Concept zuordnet.
Außerdem beinhaltet es Funktionalitäten, um die Installations- und Konfigurationsdaten der angesteckten Rechner zu erfassen und auf einen FTP-Server hochzuladen. Das Dekodieren des Abschnittes "pseb:" generiert den in Bild 7 gezeigten Kode. Wie der bösartige Programmcode für EternalBlue in dieser Implementation konfiguriert ist, ist in Abb. 8 ersichtlich. Bild 9 stellt den decodierten Payload-String dar, der vom Shell-Code abgerufen wird:
Die Dekodierung dieses bösartigen Codes zeigt erneut einen PowerShell-Befehl an (Abbildung 10): Der EternalBlue-Exploit läd ein PowerShell-Skript von einem Remote-Server herunter, der selbst eine integrierte Programmdatei zur Installation von REFE einbindet. Seit 2013 ist die Unternehmensgruppe, die den Vertrieb von Repräsentanten von Retefe übernimmt, vor allem im deutschen Sprachraum tätig und entwickelt ihre Angriffstechniken und -vektoren weiter.
Andere Banktrojaner wie Dridex oder The Trick sind weit verbreitet, während der Schwerpunkt der Retefe Group auf schweizerischen Kreditinstituten ein wesentlich größeres Potential versprechen. Zudem beobachtet man vermehrt zielgerichtete Attacken dieser Art, die mit dem EternalBlue-Exploit Chancen zur wirksamen Verbreitung von Malware in Netzen schaffen, sobald die ersten Rechner erkrankt sind.
Es ist zu beachten, dass es im Rahmen von WANNACREY und der Einbindung des EternalBlue Exploits in The Trick möglich ist, dass die Banking-Trojaner der Malware eingeschränkte Funktionalitäten für die Verteilung in Netzwerke hinzufügen. Nach wie vor sollten Unternehmen dafür sorgen, dass sie alle Patches gegen den EternalBlue-Exploit CVE-2017-0144 erhalten. Außerdem sollten Sie den zugehörigen Verkehr in den IDS-Systemen und in der Firewall sperren und schädliche E-Mails (der Hauptvektor für retefe) am E-Mail-Gateway abwehren.
D Daten Internet Security 2015 2 Stück
Test von Eset Smart Security 2016 für Smart Security 2016
Kostenloses Avast Virusprogramm
MCPR-Tool
Die Vorteile von Panda Antivirus
Viren-Konstruktionen
Wenn du Mcafee brauchst.
So kann ich unerwünschte Mails stoppen
Es Datenschutz
Virus-Überprüfung Android
Bundbestrojaner Malware-Entfernung
So bekomme ich Viren vom PC
Malware unter Windows 10
D Daten Internet Security 2014 Download
Freiheit Vpn-Test
1 Jahr lang kostenlos
Deinstallationsprogramm
Test des Panda Virenscanners
So vermehren sich Viren
McFee unter Windows 10
So kann ich Werbemails verhindern
IT-Sicherheitsunternehmen
Virus-Scanner Smartphone
So kann ich feststellen, ob ich einen Trojaner habe
Entfernen von Malware aus Android
Aktualisierungs-CD für Windows 7
D Daten Internetsicherheit 3
Test von Kaspersky 2017
Kostenloses Deutsch
Sicherheit von Microsoft Essentials
Keine Panda-Angriffe Antivirensoftware kostenlos
Erreger Mikroorganismen
Gratis-Chip für Mcafee Internet Security
Blockieren unerwünschter Mails
IT-Sicherheitscheck
Handy-Virenscanner Kostenlos
Kostenloses Finden und Entfernen von Trojanern
Computer auf Viren scannen
In Windows 7 werden keine Updates installiert.
Handhabungswerkzeug für Daten
Website-Vergleich 2016
Kostenlose Avast Firewall
Frau Security Essentials
Der Panda ist virenfrei
Vergleich von Bakterien und Viren
McAffee mit Windows 10
Inwiefern kann ich unerwünschte Mails verhindern?
Vpn-Lösungen
Gratis Antivirenprogramm für Android
Trojaner-Suche unter Windows 7