Mutabaha Trojaner sucht sich gezielt Chrome-Nutzer

wp_mutabahaWer sich zu den regelmässigen Nutzern des Google Chrome Browsers zählt, sollte jetzt besonders aufpassen. Sollte sich der Browser plötzlich seltsam verhalten, bekannte Internetseiten komisch erscheinen bzw. unbekannte Internetseiten automatisch aufgerufen werden, könnten dies ein Zeichen sein, dass Sie zum Opfer des Trojaners Mutabaha geworden sind!

Laut den Experten von Dr. Web wird der Trojaner über einen initiierenden Dropper (z.B. über infizierte E-Mail Anhänge, infizierte Dateien aus unbekannten Quellen ) auf die Systeme gebracht. Nach Start des Droppers – hier in Form einer .bat (Batchdatei) – nimmt dieser Kontakt mit seinem Command und Controllserver auf und lädt den eigentlichen Trojaner “Trojan.Mutabaha.1” auf das System. Wird der Dropper nicht mehr benötigt, verwischt dieser seine Spuren und entfernt sich selbstständig vom System, bevor installierte Sicherheitssysteme etwas bemerken.

Laut den Experten von Dr. Web verwendet der Trojaner eine UAC-Bypass-Technik, welche diverse Befehle und Dateien auf dem Rechner ausführen kann, ohne dass die Benutzerkontensteuerung (Windows-UAC) einen Alarm auslöst!

Bildschirmfoto 2016-09-01 um 10.49.38

Die Infektion erscheint in der Form des Outfire, einer speziellen Form des Google Chrome Browsers. Während sich der Trojaner auf dem System installiert, verankert sich dieser in der Registrierung, startet diverse Systemdienste und erstellt mehrere Tasks um zukünftig Updates herunterzuladen und installieren zu können. Zudem werden Verknüpfungen des Chrome Browsers ausgetauscht, Teile des alten Browsers entfernt und Nutzerdaten des Opfers in den Outfire übernommen. Darüber hinaus duldet Outfire keine anderen Browser neben sich und entfernt deren Prozesse auf dem Rechner. Sobald der Nutzer über alte Verknüpfungen den Chrome bzw. einen anderen Browser aufrufen will, wird nun immer der Outfire mit einer fest voreingestellten Homepage und benutzerdefinierten Suchmaschine gestartet. Diverse Erweiterungen sorgen für die Einbettung von Werbung und Anzeigen auf besuchten Webseiten.

Was kann ich tun und worauf muß ich achten?

  1. Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge, geben Sie niemals auf hinter Links befindlichen Webseiten persönliche Daten weiter.
  2. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer einer Phising-Attacke geworden sind, Überprüfen Sie den Rechner auf evtl. Infektionen mit unseres kostenfrei bereitgestellten Entfernungstool und ändern von einem sauberen Rechner die Zugangsdaten
  3. Helfen Sie mit, den Kriminellen das Handwerk zu legen, melden Sie dubiose Spam-Mails bei der Internet-Beschwerdestelle.de.

Wie kann ich den Rechner schützen:

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!