Trojaner Upatre lädt Malware, die Malware lädt

Die Experten vom Microsoft Malware Protection Center, MMPC, registrierten in den letzten Monaten einen Höhepunkt bezüglich der Infektionen mit Win/32.Upatre. Der Trojaner kompromittiert die Computer mit Hilfe eines schädlichen E-Mail-Anhangs und beginnt nach seiner Installation verschiedene Schädlinge von seinem Control- und Command-Server zu laden.

Description: Upatre-Report-Count

Im Rahmen einer Spam-Kampagne zur Verbreitung von Upatre werden schädliche Dateien mit Bezeichnungen verbreitet, die Namen von Domains, Unternehmen oder Personen enthalten oder sogar nur willkürliche Wörter oder Buchstabenansammlungen: USPS_Label_.zip, USPS — Missed package delivery.zip, Statement of Account.zip, .zip, TAX_.zip, Case_.zip, Remit_.zip, ATO_TAX.zip und ATO_TAX_.zip.

Diese Daten zeigten, dass die Verwalter von Upatre den Trojaner zusammen mit einem Exploit-Kit für Java- und PDF-Sicherheitslücken ausliefern.

Laut MMPC ist Upatre in erster Linie ein Transportkanal für weitere Malware. Bisher war seine „Lieblingsfracht“ Win32/Zbot.gen!AM, eine Schädlings-Familie, die Zugangsdaten und Passwörter stiehlt und möglicherweise die Steuerung der infizierten Maschine an die Cyberkriminellen weitergibt. Vor kurzem beobachteten die Experten, wie der Trojaner auch den Dropper Win32/Rovnix.I. Rovnix installiert und schädlichen Code in den Bootsektor des Laufwerks NTFS schreibt, der in explorer.exe Code einschleust, welcher wiederum bei jedem Start des infizierten Rechners andere Malware von der Domain youtubeflashserver[dot]com lädt.

Upatre lädt seine Schädlinge von mehreren Domains, unter anderem von mytarta[dot]com, cyclivate[dot]com, pentruder[dot]co[dot]uk und huyontop[dot]com.

Der Schädling Zbot verwendet traditionell einen Domainnamen-Generierungsalgorithmus, um die Erkennung der von ihm geladenen Updates zu erschweren. Die Spezialisten von MMPC bestätigen, dass er auch immer häufiger andere Schadprogramme lädt: Zuerst den Blocker CryptoLock, der Lösegeldforderungen in Bitcoins stellt und später auch Win32/Necurs.A, ein Schädling bisher noch unbekannter Bestimmung.

Zum gegenwärtigen Zeitpunkt ist Upatre fast ausschließlich ein US-amerikanisches Problem, etwa 97% seiner Infektionen finden in den USA statt. Mit großem Abstand folgen auf die USA Großbritannien (0,89%), Kanada (0,46%), Australien (0,27%) und Japan (0,19%).

Description: upatreb_dist

Quellethreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.