News

Industriespionage in Israel – Teil 3

Ein Fall von Industriespionage, in den etliche renommierte Unternehmen verwickelt sein sollen, machte Anfang der Woche die Runde. Ein Spionage-Programm spielte darin eine wesentliche Rolle. Zum Zeitpunkt der Berichterstattung wurde das Programm von der überwiegenden Zahl der Antivirus-Programme noch nicht erkannt.

Das hat sich mittlerweile geändert: Derzeit werden 17 bekannte Varianten des Programms mit Namen wie „Pinka“, „Mdrop“, „Hotworld“ oder „Hotword“ erkannt. Für Verwirrung sorgten dann gestern in Online-Meldungen verbreitete Angaben aus der Beschreibung von Sophos, wie unsere Schwesterzeitschrift PC-Welt berichtet.

Darin wird angegeben, dass das Spionage-Programm im System-Verzeichnis die Dateien dao360.dll, mscomm.ocx, msinet2.ocx, mswinsck.ocx und sys2003.sys anlege und man den Spion entfernen könne, indem man diese Dateien lösche. Tatsächlich handelt es sich bei den fraglichen Dateien normalerweise um harmlose Systemdateien, deren Existenz keinerlei Hinweis auf einen Schädling darstellt.

Wird das Spionage-Programm installiert, ersetzt es vermutlich diese Dateien durch manipulierte Versionen. Nach Angaben von McAfee kann “ PWS-Hotworld „, so der Name bei McAfee, Dateien herunter laden und ausführen, Bildschirmfotos speichern, Tastatureingaben protokollieren, Systeminformationen auslesen, die Konfigurationdaten von Programmen wie Outlook und ICQ ermitteln und laufende Prozesse beenden. Gesammelte Informationen werden dann per Mail verschickt.
Die Beschreibung von Symantec listet zudem noch weitere Funktionen auf, die abhängig von einer per FTP bezogenen Konfigurationsdatei ausgeführt werden können. Dazu gehören das Suchen nach Office-Dokumenten und kürzlich veränderten Dateien, die Überwachung besuchter Web-Adressen, die Manipulation von Firewall-Einstellungen und der Neustart des PC.
Nach der Installation legt Pinka / Hotworld eine Datei “ svchost.exe“ (mit Leerzeichen am Anfang!) im System-Verzeichnis von Windows an und trägt sich in die Windows-Registry ein:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

„regedit“ = „%System% svchost.exe ccRegVfy“

Es ist sehr unwahrscheinlich, dass sich dieses Spionage-Programm auf einem privaten PC befindet. Wer meint, er habe Grund zu diesem Verdacht, sollte nicht vorschnell Dateien aus dem Windows-Verzeichnis oder dessen Unterverzeichnissen löschen.

Vielmehr sollten man einen oder mehrere Virenscanner mit neuesten Updates die komplette Festplatte durchsuchen lassen oder zumindest die Systempartition. Die meisten Antivirus-Programme erkennen inzwischen etliche Varianten der Spyware, ebenso Kaspersky Anti-Virus (und somit auch F-Secure, Gdata AVK und Escan).

Industriespionage in Israel – Teil 3

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach