Alarm: Emotet-Trojaner ist zurück und gefährlicher als je zuvor
Das Security Lab von Hornetsecurity hat nach fast drei Monaten Ruhezeit eine neue Version des Trojaners entdeckt. Die aktuelle Variante nutzt sehr große Dateien, um Sicherheitsscans zu umgehen und sich in IT-Systeme einzuschleusen.
Üblicherweise scannt Sicherheitssoftware nur die ersten Bytes von großen Dateien oder lässt sie ohne eigenen Scan ins System. So können die Hacker die Sicherheitssysteme austricksen und ihr Schadprogramm erfolgreich installieren. Es ist wichtig, aufmerksam zu bleiben und geeignete Schutzmaßnahmen zu ergreifen, um sich vor dieser Bedrohung zu schützen.
Der Schadcode wird in Spam-E-Mails verbreitet und enthält eine 600 KByte große ZIP-Datei mit riesigen Word-Dokumenten von über 500 MByte. Öffnet ein ahnungsloser Empfänger eines der Dokumente, lädt sich sofort eine bösartige Payload im .dll-Format herunter, die ebenfalls mehr als 500 MByte groß ist. Obwohl die neue Emotet-Version noch nicht weit verbreitet ist, geht das Security Lab von Hornetsecurity davon aus, dass sie sich schnell verbreiten wird und einen großen Schaden verursachen kann. Selbst seriös wirkende E-Mails können den Trojaner enthalten und von Endbenutzern, die sie eigenmächtig wieder freigeben, aus der Quarantäne befreit werden.
Emotet ist nicht einfach zu identifizieren und abzufangen, da es herkömmliche Antivirenprodukte täuscht: Als polymorpher Virus verändert sich der Code bei jedem neuen Abruf leicht, um der Erkennung durch signaturbasierte Virenscanner zu entgehen. Darüber hinaus erkennt der Virus, wenn er in einer virtuellen Maschine ausgeführt wird. Sobald eine Sandkastenumgebung registriert wird, fällt das Programm in eine Art Stand-By-Modus und führt in diesem Moment keine schadhaften Aktionen aus.
IT-Administratoren sollten daher unverzüglich handeln und ihre Mitarbeiter vor dieser Bedrohung warnen. Außerdem müssen sie sicherstellen, dass diese Art von Malware konsequent blockiert wird, da ansonsten der Erfolg des Unternehmens gefährdet ist.
