Malware Kovter tarnt sich als Firefox-Update

wp_firefox_update2Die Malware “Kovter” gibt es bereits seit mehreren Jahren, verantwortlich für die Auslieferung diverser anderer Infektionen, wird die Malware ständig weiterentwickelt und verändert. So taucht in diesen Tagen wieder eine neue Variante des “Kovter” auf, die sich geschickt als legitimes Firefox-Update tarnt und per “Drive by Download” auf die Rechner der Anwender gelangt.

Das Böse an der Malware ist, das diese z.Z. von keinem Antiviren-Programm erkannt wird, da sie laut Forschern von Barkly ein valides Zertifikat trägt und so an den Sicherheitslösungen ungehindert vorbei kommt!

Die Malware wurde bereits vor drei Jahren von Experten aufgegriffen und gehört zur Familie der Klick-Betrug Malware. Als überarbeitete Version taucht letztes Jahr eine neue Variante des “Kovter” auf, welche sich jetzt dateilos in den Speicher des Systems lädt und somit unerkannt auf dem System die Fäden zieht kann.

Bildschirmfoto 2016-07-11 um 11.25.30

Bild: blog.barkly.com – Zertifikat

Verteilt wird “Kovter” über kompromittierte oder dubiose Webportale und gibt sich dabei per “Drive by Download” dem Besucher als legitimes Update für den Firefox zu erkennen, wobei der Schadcode automatisch auf das System geladen und ausgeführt wird. Mit einem signiertem Zertifikat von Comodo im Gepäck, braucht die Malware keine Blockaden zu fürchten und verankert sich per Prowershell-Script tief im System und verschafft sich diverse administrative Berechtigungen. Über Klickbetrug und diverse Remote-Installationen ist es der Malware, sowie den Kriminellen möglich, das komplette System zu übernehmen und zu manipulieren.

Mittlerweile wurde Comodo (Aussteller des CA Zertificate ) von den Experten von Barkly informiert, welche das Zertifikat zurück ziehen konnten.

Was kann der Anwender gegen diese Infektion tun?

Firefox hat eine automatische Update-Routine bzw. über den Menüpunkt “Hilfe! kann das Update automatisch über den Browser abgerufen werden. Laden Sie niemals  Updates von unbekannten Internetseiten bzw. ignorieren Sie per Pop-Up angezeigte Updateaufforderungen, die während des täglichen Surfens auf dem Bildschirm auftauchen!

Maßnahmen wie Sie den Rechner schützen können

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sienichtaufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.