Cryptowall meldet sich mit schädlichen Hilfedateien (.chm) zurück

bitdefender_logo_-_zuammenfassung

bitdefender_logo_-_zuammenfassungSchwerte, 10. März 2015 – Teaser Laut den Bitdefender-Malware-Forschern hat eine neue Spam-Welle mit schädlichen .chm-Anhängen bereits hunderte Posteingänge erreicht, um auf diesem Wege die berühmt-berüchtigte Cryptowall-Ransomware zu verbreiten. Interessanterweise greifen die Hacker dabei zu einer Methode, die vielleicht ein wenig aus der Mode gekommen ist, sich dafür aber als umso effektiver bei der automatischen Ausführung von Malware und der Verschlüsselung von Daten auf den Computern der Opfer erweist: schädliche .chm-Anhänge.

.chm ist eine Dateierweiterung für kompilierte HTML-Hilfedateien. Diese werden verwendet, um Benutzerhandbücher für Software-Anwendungen verfügbar zu machen. Zu diesem Zweck werden HTML-Dateien komprimiert und als Binärdatei mit der Erweiterung .chm zur Verfügung gestellt. Das Format besteht aus komprimierten HTML-Dokumenten, Bildern und JavaScript-Dateien, ergänzt durch ein verlinktes Inhaltsverzeichnis, einen Index und eine Volltextsuche.

Unbenannt

Was macht die Hilfedateien so gefährlich?

.chm-Dateien sind auf Interaktion ausgelegt und nutzen eine Reihe von Technologien, darunter auch JavaScript, welches in der Lage ist, einen Nutzer auf eine externe URL weiterzuleiten, wenn dieser eine .chm-Datei nur öffnet. Irgendwann begannen Hacker dann, .chm-Dateien für ihre Zwecke zu missbrauchen, um beim Öffnen der Dateien Schadcode automatisch auszuführen. Und es leuchtet ein: Je weniger der Nutzer dafür tun muss, desto wahrscheinlicher ist eine Malware-Infektion.

Eine angebliche Faxbenachrichtigung geht per E-Mail beim Nutzer ein und gibt vor, über einen Computer in der Domain des Nutzers verschickt worden zu sein. Dies legt nahe, dass diese E-Mails bewusst die Mitarbeiter verschiedener Unternehmen ins Visier nehmen, um so Zugriff auf deren Unternehmensnetzwerke zu erhalten.

Unbenannt

 

Greift ein Nutzer auf die Inhalte des .chm-Archivs zu, wird der Schadcode über http://*********/putty.exe heruntergeladen, unter %temp%\natmasla2.exe auf dem System gespeichert und danach ausgeführt. Während dieses Vorgangs öffnet sich ein Eingabeaufforderungsfenster.

1

Bei Cryptowall handelt es sich um eine Weiterentwicklung von Cryptolocker, einer dateiverschlüsselnden Ransomware, die bereits bekannt dafür ist, ihre Schadroutinen als harmlose Anwendung oder Datei zu tarnen. Diese Schadroutinen verschlüsseln dann die Dateien auf infizierten Computern, um Lösegeld für deren Entschlüsselung zu verlangen.

Kaum eine Malware-Kategorie stellt Sicherheitsfirmen vor so große Herausforderungen wie Ransomware, denn sie müssen immer aggressivere Heuristiken entwickeln, damit interne Daten auch in Zukunft vertraulich bleiben. Hier erfahren Sie, wie sich Unternehmen besser vor Angriffen mit Ransomware schützen können.

Die fraglichen E-Mails wurden am 18. Februar gezielt an einige hundert Nutzer verschickt. Die Spam-Server scheinen ihren Ursprung in Vietnam, Indien, Australien, den USA, Rumänien und Spanien zu haben. Eine Analyse der Domain-Namen der Empfänger hat zudem gezeigt, dass die Angreifer es offenbar auf Nutzer aus aller Welt abgesehen haben – auch auf Deutschland.

Bitdefender erkennt die Malware als Trojan.GenericKD.2170937.

Wie lässt sich eine Infektion mit Cryptowall verhindern?

Die Virenforscher von Bitdefender haben eine Liste mit Empfehlungen zusammengestellt, die eine Infektion mit Cryptowall verhindern sollen, darunter auch das Anlegen von Sicherheitskopien auf externen Speichermedien. Hier gibt es dazu weitere Informationen. Um noch mehr Schutz zu bieten, hat Bitdefender zudem den Cryptowall Immunizer entwickelt. Dieses Tool hilft Nutzern dabei, ihre Computer zu immunisieren und jeden Verschlüsselungsversuch erfolgreich abzuwehren. Bitdefender rät zudem dazu, den Virenschutz immer aktiviert zu lassen und dieses Tool als zusätzlichen Schutz einzusetzen.

Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören “Produkt des Jahres 2012” von AV-Comparatives, “Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen  den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.

Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.

Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien

Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 – 496 792
E-Mail: ataflan@bitdefender.com

Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte

Lohbachstrasse 12,
D – 58239 Schwerte

PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München

Ansprechpartner:
Michaela Eichner

Tel.: +49 (0)89 – 589787-14
E-Mail: bitdefender@ffpr.de




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .