Cyberkriminelle setzen auf Exploits populärer Programme

Kaspersky Lab präsentiert für April 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des KLoud Security Network (KSN – früher: Kaspersky Security Network) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden.

Position Positionsänderung Name Anzahl infizierter Computer
1   0 Net-Worm.Win32.Kido.ir   330025  
2   0 Virus.Win32.Sality.aa   208219  
3   0 Net-Worm.Win32.Kido.ih   183527  
4   0 Net-Worm.Win32.Kido.iq   172517  
5   0 Worm.Win32.FlyStudio.cu   125714  
6   2 Virus.Win32.Virut.ce   70307  
7   New Exploit.JS.CVE-2010-0806.i   68172  
8   -2 Trojan-Downloader.Win32.VB.eql   64753  
9   2 Worm.Win32.Mabezat.b   51863  
10   5 Trojan-Dropper.Win32.Flystud.yo   50847  
11   -1 Worm.Win32.AutoIt.tc   49622  
12   New Exploit.JS.CVE-2010-0806.e   45070  
13   -4 Packed.Win32.Krap.l   44942  
14   New Trojan.JS.Agent.bhr   36795  
15   2 not-a-virus:AdWare.Win32.RK.aw   36408  
16   Return Trojan.Win32.Autoit.ci   35877  
17   -1 Virus.Win32.Induc.a   31846  
18   New Trojan.JS.Zapchast.dj   30167  
19   Return Packed.Win32.Black.a   29910  
20   Return Worm.Win32.AutoRun.dui   28343  

In der ersten Hitliste belegen Kido und Sality schon fast traditionell die Spitzenpositionen. Doch im April gab es vier Neuerscheinungen: Auf dem siebten und zwölften Platz positionierten sich zwei Modifikationen des Exploits CVE-2010-0806, über den wir bereits in unserer letzten Monatsstatistik berichteten. Rang 14 und 18 belegen zwei Trojaner, die – wie sich herausstellte – auch in unmittelbarem Zusammenhang mit der Ausnutzung der Sicherheitslücke CVE-2010-0806 stehen. In der Regel ist der Exploit selbst verschlüsselt oder versteckt und in mehrere Teile zerlegt. Im Browser des Anwenders, der eine infizierte Website öffnet, werden die Teile des Exploits in einer bestimmten Reihenfolge geladen. Dann lädt sich der Teil des Codes, der das Exploit entpackt und es anschließend startet. Bei den zwei neuen Trojanern handelt es sich um Bestandteile einer der Modifikationen von CVE-2010-0806.

Zur Erinnerung: Diese Sicherheitslücke im Internet Explorer wurde im März entdeckt und Cyberkriminelle begannen die entsprechenden Exploits aktiv einzusetzen. Noch im März wurde es 200.000 Mal heruntergeladen. Im April wurden zwei Modifikationen dieses Exploits auf insgesamt mehr als 110.000 Computern unschädlich gemacht. Auf die rasante Ausbreitung des Exploits werden wir im Folgenden noch genauer eingehen.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name Anzahl der Downloadversuche
1   1 Exploit.JS.CVE-2010-0806.i   201152  
2   New Exploit.JS.Pdfka.cab   117529  
3   7 Exploit.JS.CVE-2010-0806.b   110665  
4   New not-a-virus:AdWare.Win32.FunWeb.q   99628  
5   New Trojan-Downloader.JS.Twetti.с   89596  
6   New Trojan-Downloader.JS.Iframe.bup   85973  
7   New Trojan.JS.Agent.bhl   76648  
8   Return Trojan-Clicker.JS.Agent.ma   76415  
9   New Trojan-Clicker.JS.Iframe.ev   74324  
10   New Exploit.JS.Pdfka.byp   69606  
11   -8 Trojan.JS.Redirector.l   68361  
12   New Trojan-Dropper.Win32.VB.amlh   60318  
13   New Exploit.JS.Pdfka.byq   60184  
14   -10 Trojan-Clicker.JS.Iframe.ea   57922  
15   -8 not-a-virus:AdWare.Win32.Boran.z   56660  
16   New Exploit.JS.CVE-2010-0806.e   53989  
17   -11 Trojan.JS.Agent.aui   52703  
18   0 not-a-virus:AdWare.Win32.Shopper.l   50252  
19   New Packed.Win32.Krap.gy   46489  
20   New Trojan.HTML.Fraud.am   42592  

Die zweite Hitliste ist im Vergleich zum ersten Ranking traditionell eher unbeständig.

Der Spitzenreiter der letzten zwei Monate, Gumblar.x, taucht im April nicht mehr in den Top 20 auf: Seine Aktivität ist ganz plötzlich stark zurückgegangen. Wie bereits in den Monaten zuvor, nahm die Gumblar-Epidemie sehr schnell Fahrt auf und erreichte im Februar mit über 450.000 mit Gumblar infizierten Webressourcen ihren Höhepunkt, um dann zwei Monate später wieder völlig zu versickern. Dieses Verhalten erinnert an die Situation im Februar. Noch lässt sich nicht vorhersagen, wann und ob überhaupt die nächste Welle der Epidemie über uns zusammenschlägt, doch wir werden die Entwicklung der Ereignisse weiterhin aufmerksam verfolgen.

Der Exploit CVE-2010-0806 – Spieler im Visier

Der Exploit CVE-2010-0806 breitete sich im April rasant aus. Er lädt in der Regel kleine Download-Programme auf die Opfercomputer, die zu Familien wie Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis gehören. Diese Trojaner wiederum laden auf die infizierten Rechner weitere Schadprogramme. In den meisten Fällen handelt es sich dabei um verschiedene Modifikationen von Trojan-GameThief.Win32.Magania, Trojan-GameThief.Win32.WOW und Backdoor.Win32.Torr. Daher geht Kaspersky Lab davon aus, dass es die Cyberkriminellen auf vertrauliche Anwenderdaten abgesehen hatten, die den Zugriff auf populäre Online-Games ermöglichen. Die Gesamtzahl von Downloadversuchen der drei Exploit-Modifikationen, die im April ihr Unwesen trieben, lag bei über 350.000.

Alte Sicherheitslücken – neue Schädlinge

Unter den Neueinsteigern im April finden sich noch drei weitere Exploits (Rang 2, 10 und 13), und zwar zu Schwachstellen in den Produkten Adobe Reader und Acrobat. Bemerkenswert ist, dass die Sicherheitslücken, die von den drei PDF-Exploits ausgenutzt werden, schon relativ alt sind und bereits im Jahr 2009 entdeckt wurden. Bei den Exploits handelt es sich um PDF-Dokumente mit Java-Script-Befehlen. Verschiedene Trojan-Downloader, die von den Exploits geladen werden, laden ihrerseits eine Vielzahl von anderen Schadprogrammen auf den Computer des Opfers. Unter den Schädlingen, die mit Hilfe des Exploits Pdfka.cab (Platz 2) auf die infizierten Computer geladen werden, wurden auch Modifikationen der Familie PSWTool.Win32.MailPassView entdeckt. Programme dieser Familie werden zum Diebstahl von Logins und Passwörtern für E-Mail-Accounts verwendet.

Fazit: Auch im April ist wie in den Vormonaten eine Tendenz erkennbar. Die Cyberkriminellen setzen intensiv Exploits ein, deren Quellcodes weit verbreitet sind. In den meisten Fällen ist das Ziel solcher Angriffe der Diebstahl von vertraulichen Anwenderdaten. Die Betrüger versuchen so, Zugriff auf E-Mail-Accounts, Online-Games und verschiedene Websites zu erlangen. Die Zahl solcher Versuche ging im April in die Hunderttausende. Die gestohlenen Daten können verkauft und/oder zur Verbreitung von Schadprogrammen genutzt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.