Adobe-Nutzer im Fadenkreuz der Cyberkriminellen

Kaspersky Lab präsentiert für den September seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme ermittelt und zum anderen untersucht, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position Positionveränderung Name Die Anzahl der infizierten Computer
1   0 Net-Worm.Win32.Kido.ih   41033  
2   0 Virus.Win32.Sality.aa   18027  
3   0 not-a-virus:AdWare.Win32.Boran.z   12470  
4   Neu Net-Worm.Win32.Kido.ir   11384  
5   -1 Trojan-Downloader.Win32.VB.eql   6433  
6   -1 Trojan.Win32.Autoit.ci   6168  
7   3 Virus.Win32.Induc.a   5947  
8   -2 Virus.Win32.Virut.ce   5433  
9   Neu P2P-Worm.Win32.Palevo.jdb   5169  
10   -2 Net-Worm.Win32.Kido.jq   4288  
11   Neu Worm.Win32.FlyStudio.cu   4104  
12   -5 Worm.Win32.AutoRun.dui   4071  
13   -4 Virus.Win32.Sality.z   4056  
14   6 P2P-Worm.Win32.Palevo.jaj   3564  
15   -4 Worm.Win32.Mabezat.b   2911  
16   Neu Exploit.JS.Pdfka.ti   2823  
17   Neu Trojan-Downloader.WMA.Wimad.y   2544  
18   0 Trojan-Dropper.Win32.Flystud.yo   2513  
19   Neu P2P-Worm.Win32.Palevo.jcn   2480  
20   Neu Trojan.Win32.Refroso.bpk   2387  

Kido alias Conficker ist also nach wie vor aktiv. Neben dem Spitzenreiter der vergangenen Monate, Kido.ih, tauchte im September auch die Variante Kido.ir auf. Unter diesem Namen werden alle autorun.inf-Dateien erkannt, die Kido bei der Verbreitung über Wechseldatenträger erstellt.

Ein weiterer interessanter Neueinsteiger ist der Wurm Palevo. Im September tauchten gleich zwei neue Versionen dieses Schädlings in der Hitliste auf: Palevo.jdb und Palevo.jcn. Dabei verbesserte sich der Neueinsteiger des Vormonats – Palevo.jaj – von Platz 20 auf Position 14. Die starke Verbreitung der Palevo-Würmer mittels mobiler Datenträger zeigt, dass diese Verbreitungsart immer noch zu den effektivsten überhaupt gehört. Der Wurm FlyStudio.cu – auf Position 18 zu finden – verbreitet sich im Übrigen ebenfalls über Wechseldatenträger.

Unter den Neueinsteigern im September findet sich auch eine neue Version des bereits bekannten Multimedia-Downloaders Wimad: Trojan-Downloader.WMA.Wimad.y. Im Prinzip unterscheidet sich diese Version nicht von seinen Vorgängern: Beim Start erfolgt die Aufforderung zum Download der schädlichen Datei. In diesem Fall handelt es sich um not-a-virus:AdWare.Win32.PlayMP3z.a.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben.

Position Positionveränderung Name Anzahl der Downloadversuche
1   0 not-a-virus:AdWare.Win32.Boran.z   17624  
2   1 Trojan.JS.Redirector.l   16831  
3   -1 Trojan-Downloader.HTML.IFrame.sz   6586  
4   Neu Exploit.JS.Pdfka.ti   3834  
5   Neu Trojan-Clicker.HTML.Agent.aq   3424  
6   4 Trojan-Downloader.JS.Major.c   2970  
7   -3 Trojan-Downloader.JS.Gumblar.a   2583  
8   Neu Exploit.JS.ActiveX.as   2434  
9   -1 Trojan-Downloader.JS.LuckySploit.q   2224  
10   -3 Trojan-GameThief.Win32.Magania.biht   1627  
11   Neu Exploit.JS.Agent.ams   1502  
12   4 Trojan-Downloader.JS.IstBar.bh   1476  
13   Neu Trojan-Downloader.JS.Psyme.gh   1419  
14   Neu Exploit.JS.Pdfka.vn   1396  
15   Wiedereintritt Exploit.JS.DirektShow.a   1388  
16   -10 Exploit.JS.DirektShow.k   1286  
17   Wiedereintritt not-a-virus:AdWare.Win32.Shopper.l   1268  
18   Wiedereintritt not-a-virus:AdWare.Win32.Shopper.v   1247  
19   Neu Trojan-Clicker.JS.Agent.jb   1205  
20   Neu Exploit.JS.Sheat.f   1193  

Wie so oft, wartet das zweite Ranking mit vielen Überraschungen auf. Schon auf den ersten Blick stechen zwei Vertreter der Familie Exploit.JS.Pdfka ins Auge: Unter diesem Namen werden JavaScript-Dateien erkannt, die in PDF-Dokumenten enthalten sind und verschiedene Sicherheitslücken in den Adobe-Produkten ausnutzen (in diesem Fall im Adobe Reader).

Pdfka.ti nutzt eine populäre Schwachstelle aus, die schon seit zwei Jahren in der Funktion Collab.collectEmailInfo besteht (cve.mitre.org). Pdfka.vn missbraucht dagegen eine aktuellere Sicherheitslücke, und zwar in der Funktion getIcon desselben Collab-Objekts (cve.mitre.org).

Adobe-Schwachstellen, von denen in den vergangenen Jahren sehr viele entdeckt wurden, bleiben weiterhin ein beliebte Angriffsziel für Cyberkriminelle, unabhängig von der Produktversion. Der Grund: Dadurch dass viele Anwender ihre Adobe-Produkte nicht regelmäßig aktualisieren, sind zahlreiche Angriffe auf diese Programme auch von Erfolg gekrönt. An dieser Stelle sei nochmals erwähnt, dass Anwender ihre Programme regelmäßig aktualisieren sollten.

Fazit: Kaspersky Lab beobachtet eine Fortsetzung der Trends, die sich schon in den vergangenen Monaten abzeichneten. Die Anzahl von Web-Paketen schädlicher Programme, die alle nur erdenklichen Sicherheitslücken in komplexen Produkten ausnutzen, steigt weiter an und eröffnet Online-Kriminellen ein weites Feld für ihre Aktivitäten. Einfache iframe-Klicker, platziert auf legalen Webseiten, fördern deren Ausbreitung. Zugriff auf diese Webseiten erhalten die Cyberbetrüger, indem sie diese mit Schadcode infizieren und so an vertrauliche Anwenderdaten gelangen.

Länder, von denen aus die meisten Versuche gestartet wurden, um Internet-Anwender mit Schadcode zu infizieren:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.