Der Malware-Herbst 2010: Verbesserte Infrastruktur für ZeuS und Angriffe auf Adobe-Nutzer

Anfang Oktober entdeckte Kaspersky Lab den Virus Virus.Win32.Murofet, der eng mit dem Bot ZeuS verbunden ist. Dieser Schädling zeigt einmal mehr, mit welchem Einfallsreichtum und Eifer die Entwickler des ZeuS-Botnetzes versuchen, ihr Zombie-Netzwerk auf der ganzen Welt zu verbreiten. Die Besonderheit dabei: Der Virus generiert mit Hilfe eines speziellen Algorithmus neue Links, die auf der aktuellen Zeit und dem aktuellen Datum des infizierten Computers basieren. Das funktioniert so: Der Schädling empfängt Jahr, Monat, Tag und Minute vom System. Daraufhin generiert er zwei Doppelwörter, auf deren Grundlage er eine md5-Prüfsumme errechnet und eine der möglichen Domain-Zonen .biz, .org, .com, .net, .info hinzufügt. Am Ende der Zeile ergänzt er “/forum” und verwendet anschließend den so entstandenen Link. Interessant ist, dass dieser Virus keine anderen ausführbaren Dateien infiziert und eng mit ZeuS verbunden ist. Über die generierten Links werden dann Downloader des Bots ZeuS auf dem Computer platziert.

Dies geht aus den Malware-Statistiken von Kaspersky Lab für Oktober 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   0 Net-Worm.Win32.Kido.ih  
4   0 Trojan.JS.Agent.bhr  
5   0 Exploit.JS.Agent.bab  
6   1 Virus.Win32.Virut.ce  
7   8 Packed.Win32.Katusha.o  
8   -2 Worm.Win32.FlyStudio.cu  
9   2 Virus.Win32.Sality.bh  
10   -1 Exploit.Win32.CVE-2010-2568.d  
11   1 Exploit.Win32.CVE-2010-2568.b  
12   -2 Trojan-Downloader.Win32.VB.eql  
13   0 Worm.Win32.Autoit.xl  
14   0 Worm.Win32.Mabezat.b  
15   5 Trojan-Downloader.Win32.Geral.cnh  
16   1 Worm.Win32.VBNA.b  
17   -1 Trojan-Dropper.Win32.Sality.cx  
18   New Trojan.Win32.Autoit.ci  
19   New Trojan-Dropper.Win32.Flystud.yo  
20   New Worm.Win32.VBNA.a  

Im vergangenen Monat gab es hier keine wesentlichen Veränderungen. An der Spitze stehen nach wie vor Kido, Sality, Virut sowie CVE-2010-2568. Erwähnenswert ist die Zunahme von Infizierungen mit dem schädlichen Packer Packed.Win32.Katusha.o (Platz sechs), der von Cyberkriminellen zum Schutz und zur Verbreitung von gefälschten Antiviren-Programmen eingesetzt wird. Der Wurm Worm.Win32.VBNA.a (Platz 20) funktioniert ähnliche wie Katusha, allerdings ist er in der anspruchsvolleren Sprache Visual Basic programmiert.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name
1   21 Trojan.JS.FakeUpdate.bp  
2   -1 Exploit.JS.Agent.bab  
3   8 Exploit.Java.CVE-2010-0886.a  
4   21 Hoax.Win32.ArchSMS.jxi  
5   1 Trojan.JS.Agent.bhr  
6   -2 AdWare.Win32.FunWeb.di  
7   21 Trojan.JS.Redirector.nj  
8   -3 AdWare.Win32.FunWeb.ds  
9   21 Trojan.JS.Agent.bmx  
10   3 AdWare.Win32.FunWeb.q  
11   -1 AdWare.Win32.FunWeb.fb  
12   21 Trojan-Downloader.Java.Agent.hx  
13   21 Exploit.JS.CVE-2010-0806.i  
14   1 Exploit.JS.CVE-2010-0806.b  
15   21 Trojan-Downloader.Java.Agent.hw  
16   21 Trojan.JS.Redirector.lc  
17   21 Exploit.Win32.CVE-2010-2883.a  
18   -6 Trojan-Downloader.Java.Agent.gr  
19   -3 AdWare.Win32.FunWeb.ci  
20   21 AdWare.Win32.FunWeb.ge  

Auch in unserem zweiten Ranking haben sich innerhalb des letzten Monats keine ernsthaften Veränderungen ergeben. Wie gehabt führen die Exploits für die Sicherheitslücke CVE-2010-0806 sowie Adware der Familie FunWeb die Top 20 der häufigsten Internet-Schädlinge an. Allerdings sind einige Schädlinge durchaus erwähnenswert:

Den ersten Platz belegte mit Trojan.JS.FakeUpdate.bp ein Skript aus der Familie FakeUpdate. Es wird auf Porno-Websites platziert und schlägt dem Anwender vor, ein Video mit entsprechendem Inhalt herunterzuladen. Will der Nutzer sich allerdings den Clip anschauen, erscheint ein verseuchtes Pop-Up-Fenster mit der Aufforderung, einen neuen Player zum Abspielen des Videos herunter zu laden.

Der Exploit mit der Bezeichnung Exploit.Win32.CVE-2010-2883.a, der die entsprechende Sicherheitslücke ausnutzt, wurde vor knapp einem Monat entdeckt und belegt in der Tabelle Rang 17. Die Cyberkriminellen haben diesen Exploit also offensichtlich umgehend in Ihr „Waffenarsenal“ aufgenommen. Die Lücke befindet sich in der verwundbaren Bibliothek cooltype.dll, die zum Adobe Reader gehört. Die Schwachstelle selbst besteht in der inkorrekten Bearbeitung einer speziell formatierten Font-Datei. Wirft man einen Blick auf die geografische Verbreitung von Exploit.Win32.CVE-2010-2883.a, so fällt auf, dass dieser Schädling am häufigsten in den USA, Großbritannien und Russland eingesetzt wurde. Offensichtlich gingen die Cyberkriminellen davon aus, dass es in diesen Ländern die meisten Computer mit ungepatchten Adobe Readern gibt.

Das schädliche Skript Trojan.JS.Redirector.nj (Platz sieben) wird auf verschiedenen Porno-Seiten platziert. Es gibt eine Mitteilung aus, in der der Anwender aufgefordert wird, eine SMS an eine Premium-Nummer zu senden, um die gewünschte Ressource nutzen zu können. Dabei ist das Skript so aufgebaut, dass zum Schließen der Seite der Task-Manager oder ein ähnliches Programm verwendet werden muss.

Analysen von Kaspersky Lab haben gezeigt, dass der Installer neben dem legalen Player Fusion Media Player 1.7 auch einen Trojaner enthält, der die Datei hosts modifiziert. Dieser Trojaner bringt die IP-Adresse des lokalen Rechners 127.0.0.1 in Übereinstimmung mit vielen populären Sites und installiert auf dem infizierten Computer einen Web-Server. Daraufhin erscheint bei dem Versuch, auf eine der abgefangenen Websites zu gelangen, im Browser des Anwenders eine Seite mit der Aufforderung, für die Ansicht des Porno-Clips zu bezahlen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.