Malware "Urausy" narrt User mit gefakten Zahlungsaufforderungen
Meldung von: Sprengel & Partner GmbH - 20.06.2013 09:55 Uhr
Den verantwortlichen Pressekontakt, für den Inhalt der Meldung, finden Sie unter der Meldung bei Pressekontakt.
Den verantwortlichen Pressekontakt, für den Inhalt der Meldung, finden Sie unter der Meldung bei Pressekontakt.
AlienVault Labs-Team analysiert Ransomware-Familie
München/San Mateo, 20. Juni 2013 - Kürzlich hat Security-Experte AlienVault die Urausy-Familie in seinem Labs genauer unter die Lupe genommen. Die Schädlinge zählen zur Ransomware: Schadprogramme, die Zugriffe auf oder die Nutzung von Daten sowie des gesamten Computers verhindern. Sie verbreiten sich über Exploit-Kits wie Blackhole, die Schwachstellen in Webbrowsern, Flash oder Java ausnutzen. Über diese Lecks installieren sie bösartige Software auf kompromittierten Rechnern. Infizierte Computer sperren plötzlich den Bildschirm und verlangen eine Geldstrafe einer angeblich rechtmäßigen Strafverfolgungsbehörde an. Erst nach Zahlung solle der Rechner wieder ordnungsgemäß arbeiten.
Hinter diesem Angreifer steckt eine Scam-Attacke. Die AlienVault-Experten weisen darauf hin, dass Strafverfolgungsbehörden zum einen niemals den Computer auf diese Weise sperren würden und zum anderen keinesfalls Geld verlangen. Ist der Rechner erst einmal infiziert, führt sich die Malware automatisch aus. Dabei ist sie so geschrieben, dass sie vor der Entdeckung durch Antiviren-Software geschützt ist. Außerdem verfügt der Schädling über mehrere Anti-Analyse-Tricks, um Debugging (Fehlersuche) und Ausführung in Sandbox-Umgebungen zu verhindern. Dazu prüft der Urausy-Threat, ob er unter den wachsamen Augen eines Debuggers läuft und kann ggf. seine Verhaltensweise verändern.
Kontrolle über die gesamte UI
Sobald sie gestartet wurde, injiziert sich die Malware in den Windows-Prozess svchost, kopiert sich in "C:Documents and SettingsAdministratorApplication Dataskype.dat" und richtet eine .ini- Datei in "C:Documents and SettingsAdministratorApplication Dataskype.ini" ein. Dadurch wird das Schadprogramm direkt beim Systemstart geladen. Danach verhält die Malware sich zunächst ruhig, um der Erkennung zu entgehen. Schließlich zeigt der Schädling den gesperrten Bildschirm an, was er mittels "CreateDesktopW" und "CreateWindowEx" schafft. Sie verschaffen ihm Kontrolle über die komplette Benutzeroberfläche.
Betroffenen Usern stellt AlienVault eine YARA-Regel zum Download bereit, um gegen infizierte Speicherprozesse vorzugehen. Sie steht unter https://github.com/jaimeblasco/AlienvaultLabs/blob/master/malware_analysis/Urausy/urausy_skypedat.yar zum kostenfreien Download bereit. Darüber hinaus schützt die von AlienVault entwickelte Unified Security Management-Plattform AV-USM™ vor diesen und weiteren Schädlingen aus dem Bereich Ransomware.
Weitere Informationen zu Urausy stehen im Blog der AlienVault Labs bereit.
Gesperrter Bildschirm, ausgelöst durch eine spanische Urausy-Version im Juni 2013
Hinter diesem Angreifer steckt eine Scam-Attacke. Die AlienVault-Experten weisen darauf hin, dass Strafverfolgungsbehörden zum einen niemals den Computer auf diese Weise sperren würden und zum anderen keinesfalls Geld verlangen. Ist der Rechner erst einmal infiziert, führt sich die Malware automatisch aus. Dabei ist sie so geschrieben, dass sie vor der Entdeckung durch Antiviren-Software geschützt ist. Außerdem verfügt der Schädling über mehrere Anti-Analyse-Tricks, um Debugging (Fehlersuche) und Ausführung in Sandbox-Umgebungen zu verhindern. Dazu prüft der Urausy-Threat, ob er unter den wachsamen Augen eines Debuggers läuft und kann ggf. seine Verhaltensweise verändern.
Kontrolle über die gesamte UI
Sobald sie gestartet wurde, injiziert sich die Malware in den Windows-Prozess svchost, kopiert sich in "C:Documents and SettingsAdministratorApplication Dataskype.dat" und richtet eine .ini- Datei in "C:Documents and SettingsAdministratorApplication Dataskype.ini" ein. Dadurch wird das Schadprogramm direkt beim Systemstart geladen. Danach verhält die Malware sich zunächst ruhig, um der Erkennung zu entgehen. Schließlich zeigt der Schädling den gesperrten Bildschirm an, was er mittels "CreateDesktopW" und "CreateWindowEx" schafft. Sie verschaffen ihm Kontrolle über die komplette Benutzeroberfläche.
Betroffenen Usern stellt AlienVault eine YARA-Regel zum Download bereit, um gegen infizierte Speicherprozesse vorzugehen. Sie steht unter https://github.com/jaimeblasco/AlienvaultLabs/blob/master/malware_analysis/Urausy/urausy_skypedat.yar zum kostenfreien Download bereit. Darüber hinaus schützt die von AlienVault entwickelte Unified Security Management-Plattform AV-USM™ vor diesen und weiteren Schädlingen aus dem Bereich Ransomware.
Weitere Informationen zu Urausy stehen im Blog der AlienVault Labs bereit.
Firmenkontakt:AlienVault Deutschland GmbH
Oliver Bareiss
Gutenbergstraße 6
85737 Ismaning
E-Mail: obareiss@alienvault.com
Telefon: +49 (0) 89-32 60 70 91
Homepage: http://www.alienvault.com
Firmenbeschreibung:Ãœber AlienVault:
Die Unified Security ManagementTM-Plattform AV-USM™ von AlienVault ebnet Unternehmen mit eingeschränktem Security-Personal und Budget einen schnellen und kostengünstigen Weg, Anforderungen an Compliance und Threat Management zu erfüllen. Da alle essenziellen Kontrollfunktionen bereits integriert sind, verschafft die AV-USM gerade kleinen Security-Teams eine Enterprise-Class-mäßige Security-Umgebung. AlienVault"s Open Threat ExchangeTM, ein System für den Austausch zum Thema Threat Intelligence zwischen OSSIM-Nutzern und AlienVault-Kunden, stellt dabei sicher, dass AV-USM den Bedrohungen stets einen Schritt voraus ist. AlienVault ist ein Privatunternehmen mit Hauptsitz in Silicon Valley (Kalifornien/USA) und wird von Kleiner Perkins Caufield & Byers, Sigma, Trident Capital und Adara Venture Partners unterstützt. Die Märkte in Deutschland, Österreich und der Schweiz werden von der AlienVault Deutschland GmbH mit Sitz in Ismaning betreut. Für weitere Informationen besuchen Sie www.alienvault.com oder folgen Sie uns auf Twitter.
Pressekontakt:Sprengel & Partner GmbH
Fabian Sprengel
Nisterstrasse 3
56472 Nisterau
E-Mail: bo@sprengel-pr.com
Telefon: 02661-912600
Homepage: http://www.sprengel-pr.com