Bei einem unserer Kunden entdeckten wir kürzlich über die Regel ‚Windows Defender Threat Detection Disabled_2‘, dass der Windows Defender an einem Rechner deaktiviert wurde. Wir informierten den Kunden umgehend über diesen Vorfall und empfahlen, den betroffenen Rechner auf Malware zu scannen. Daraufhin wurde der Windows Defender erneut im Betrieb genommen. Der Scan löste in unserer Leitstelle den Alarm ‚Antimalware platform detected potentially unwanted software‘ aus. User Blueteam analysierte umgehend den Vorfall und stieß dabei auf den Übeltäter: Trojaner Uwamson.
„Win32/Uwamson.A!ml“ ist ein besonders aggressiver Trojaner, der den Browser mit Adware, Spyware und Redirect-Viren infiltriert, um diesen zu kapern und die Online-Aktivitäten des Users zu überwachen. Sobald Win32/Uwamson.A!ml ein System infiltriert hat, kommen bestehende Verteidigungsmechanismen zum Erliegen, da der Trojaner Exploits nutzt, um große Mengen an Viren auf dem System einzuschleusen. Unter anderem übernimmt der Redirect-Virus den Webbrowser und leitet den User zu einer verdächtigen Domain um.
Die Hacker hinter diesem Angriff überwachen die Online-Aktivitäten, um vertrauliche Informationen wie z. B. Bank-Anmeldedaten zu sammeln, die für kommerzielle Zwecke verwendet werden können. Darüber hinaus beeinträchtigen diese Viren die Leistung des Systems und verursachen viele Probleme wie ständiges Abstürzen des Systems. Win32/Uwamson.A!ml öffnet sogar eine weitere Möglichkeit für Cyberkriminelle: Durch das Ändern von Registrierungsdaten und Sicherheitseinstellungen können sie sich einen unerlaubten Fernzugriff verschaffen, wodurch alle Dateien auf den betroffenen Geräten in Gefahr geraten.
Doch wie kam der Trojaner in das Unternehmensnetzwerk? – In unserem Fall hatte ein Mitarbeiter einen ungewöhnlichen Link geöffnet und die ZIP-Datei ‚FRST1501.zip‘ heruntergeladen. Der Rechner wurde vom Netzwerk entfernt und neu aufgesetzt, sodass sich dieser Trojaner nicht weiterverbreiten konnte.
Unsere Handlungsempfehlungen:
– Verwenden Sie den Windows Defender (http://windows.microsoft.com/en-us/windows/using-defender#1TC=windows-10) für Windows 10 und Windows 8.1, oder Microsoft Security Essentials (http://www.microsoft.com/security_essentials) für Windows 7 und Windows Vista, um diese Bedrohung zu erkennen und zu entfernen.
– Die Verwendung des Microsoft Sicherheitsscanners wird ebenfalls empfohlen: http://www.microsoft.com/security/scanner/
– Im Falle einer Infizierung eines Systems wird empfohlen, das betroffene System vom Netzwerk zu trennen und neu aufzusetzen.
-Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.