News

Kovter nun mit dateiloser Infektionsmethode

Laut Angaben von Symantec ist die neue Version des trojanischen Klicker-Programms Kovter in der Lage, im Arbeitsspeicher eines infizierten Rechners zu überleben. Für den Autostart nutzt er Windows-Systemdienste.

Kovter ist seit 2013 bekannt und wird in erster Linie für das Hochpushen von Klicks auf Werbebanner benutzt – ein solches Betrugsschema (Klickbetrug) bringt den Betreibern von Schädlingen dieses Typs verlässliche Einnahmen. Dieser Klicker wird ständig weiterentwickelt, testet neue Selbstschutzmethoden aus und tritt immer mal wieder bei verschiedenen Schadkampagnen in Erscheinung. So demonstrierte der Trojaner im vergangenen Juli beispielsweise seine Fähigkeit, den Flash Player des Opfers zu patchen – für eine korrektere Darstellung der Videowerbung, damit seine Herren keine Einbußen erleiden müssen. Im selben Monat entdeckten Forscher vom SANS Internet Storm Center eine Spam-Versendung in Großauflage, die auf die Verbreitung von Kovter im Paket mit einem anderen Klicker-Programm, Miuref, ausgerichtet war. Zudem ist ein Fall bekannt, in dem Kovter Ransomware geladen hat.

Die neue Version des Trojaners (2.0.3) beobachtet Symantec seit letztem Mai in freier Wildbahn. Nachdem der Schädling in den Computer eingedrungen ist, überprüft er zunächst, ob PowerShell vorhanden ist. Ist das nicht der Fall, so lädt Kovter diese Komponente aus dem Internet (gibt es im Moment der Infektion keine Internetverbindung, schreibt sich das Schadprogramm auf die übliche Weise ins System, indem es seine Datei auf der Festplatte speichert).

Der Schädling modifiziert außerdem Registry-Schlüssel, um den Download eines neuen Moduls in den Speicher bei jedem System-Neustart zu gewährleisten. Daraufhin löscht er die temporäre Datei von der Festplatte, die beim ersten Infektionsschritt geladen wurde. Die Experten weisen darauf hin, dass ein anderer bekannter, Klicker, der allerdings neueren Datums ist – nämlich Poweliks – eine ähnliche dateilose Infektionsmethode anwendet. Diese Technik hilft dem Schadprogramm, Antivirenlösungen zu umgehen, die die Dateien auf Signatur-Übereinstimmungen überprüfen. Zu Beginn des laufenden Jahres hat Microsoft diese Möglichkeit übrigens eingeschränkt, indem korrigiert wurde, wie Windows Dateipfade bereinigt.

Laut Daten von Symantec wird der aktualisierte Trojaner bisher nur für das Hochpushen von Klickzahlen eingesetzt. Er wird hauptsächlich über Werbebanner oder Anhänge in Spam-Mails verbreitet, normalerweise als .zip- oder .scr-Datei. Frühere Kovter-Versionen wurden auch mit Hilfe der Exploit-Packs Angler, Fiesta, Nuclear, Neutrino und Sweet Orange in Umlauf gebracht.

Gemäß der Statistik von Symantec greift der neue Kovter aktiv Nutzer in den USA (56% der Infektionen) und in Großbritannien (13%) an, in etwas geringeren Maße auch Deutsche und Kanadier (8 und 9% respektive).

Quelle: Softpedia

Kovter nun mit dateiloser Infektionsmethode

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach