Gleich drei Versionen des Trojaners Autorun im März aufgetaucht

Kaspersky Lab präsentiert für März 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden.

Position Positionsänderung Name Anzahl infizierter Computer
1   0 Net-Worm.Win32.Kido.ir   332833  
2   0 Virus.Win32.Sality.aa   211229  
3   0 Net-Worm.Win32.Kido.ih   186685  
4   0 Net-Worm.Win32.Kido.iq   181825  
5   0 Worm.Win32.FlyStudio.cu   121027  
6   0 Trojan-Downloader.Win32.VB.eql   68580  
7   New Trojan.Win32.AutoRun.abj   66331  
8   1 Virus.Win32.Virut.ce   61003  
9   1 Packed.Win32.Krap.l   55823  
10   -2 Worm.Win32.AutoIt.tc   55065  
11   4 Worm.Win32.Mabezat.b   49521  
12   -5 Exploit.JS.Aurora.a   43776  
13   New Packed.Win32.Krap.as   40912  
14   New Trojan.Win32.AutoRun.aay   40754  
15   3 Trojan-Dropper.Win32.Flystud.yo   40190  
16   -4 Virus.Win32.Induc.a   38683  
17   -4 not-a-virus:AdWare.Win32.RK.aw   38547  
18   New Trojan.Win32.AutoRun.abd   37037  
19   -5 not-a-virus:AdWare.Win32.Boran.z   36996  
20   0 not-a-virus:AdWare.Win32.FunWeb.q   34177  

Die Zusammensetzung unserer ersten Hitliste weist im März keine einschneidenden Veränderungen auf.

Zu den wichtigsten Neuerungen gehört das Auftauchen von gleich drei Versionen des Trojaners Autorun. Wie schon vor zwei Monaten, handelt es sich hierbei um autorun.inf-Dateien, mit deren Hilfe über mobile Datenträger die Schädlinge P2P-Worm.Win32.Palevo und Trojan-GameThief.Win32.Magania verbreitet werden.

Wieder einmal schaffte ein neuer Packed-Vertreter den Sprung in die aktuelle Top 20. In diesem Fall verbergen sich unter dem Namen Packed.Win32.Krap.as (Platz 13) gefälschte Antiviren-Programme. In jüngster Zeit werden speziell entwickelte Packer für ausführbare Dateien vermehrt eingesetzt. Regelmäßig werden neue Methoden zum Packen und Verbergen der tatsächlichen Funktion der Schädlinge entwickelt, was durch den praktisch monatlichen Wechsel von Modifikationen der Familie Krap und anderer bestätigt wird.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name Anzahl der Downloadversuche
1   0 Trojan-Downloader.JS.Gumblar.x   178965  
2   New Exploit.JS.CVE-2010-0806.i   148721  
3   -1 Trojan.JS.Redirector.l   126277  
4   2 Trojan-Clicker.JS.Iframe.ea   102226  
5   4 Exploit.JS.Aurora.a   88196  
6   4 Trojan.JS.Agent.aui   80654  
7   -3 not-a-virus:AdWare.Win32.Boran.z   75911  
8   New Trojan.HTML.Fraud.aj   68809  
9   New Packed.Win32.Krap.as   64329  
10   New Exploit.JS.CVE-2010-0806.b   50763  
11   New Trojan.JS.FakeUpdate.ab   49412  
12   New Trojan.HTML.Fraud.aq   48927  
13   3 Packed.Win32.Krap.ai   47601  
14   Return Trojan-Downloader.JS.Twetti.a   46858  
15   New Exploit.JS.Pdfka.bub   45762  
16   New Trojan-Downloader.JS.Iframe.byo   44848  
17   New Trojan.JS.FakeUpdate.aa   42352  
18   Return not-a-virus:AdWare.Win32.Shopper.l   41888  
19   New Trojan-Clicker.HTML.IFrame.fh   38266  
20   New Packed.Win32.Krap.ao   36123  

Das Ranking liefert wieder einmal viele interessante Erkenntnisse.

Beginnen wir mit einer absolut neuen Sicherheitslücke CVE-2010-0806 im Internet Explorer, für die ein Exploit weite Verbreitung fand, nachdem die Schwachstelle etwas zu genau beschrieben wurde. Dementsprechend finden sich in unseren zweiten Top 20 zwei unterschiedliche Varianten, und zwar Exploit.JS.CVE-2010-0806.i und Exploit.JS.CVE-2010-0806.b.

Aktuell beobachtet Kaspersky Lab eine neue Welle von Gumblar-Epidemien. Neben einer alten Version des Downloaders, die als Gumblar.x erkannt wird und die Spitzenposition in der Hitliste belegt, erschien im März auch eine aktualisierte Version, die bereits als HEUR:Trojan-Downloader.Script.Generic erkannt wird.

Der Exploit Aurora.a, über den wir ebenfalls bereits im Februar berichteten, wird von den Cyberkriminellen weiterhin oft und gern eingesetzt. Die Folge: Aurora.a stieg von Platz 9 auf die 5. Position.

Der interessante Downloader Twetti.a (14. Platz im Ranking), über den wir im Dezember vergangenen Jahres berichteten, kehrte nach zweimonatiger Pause wieder in die Monatsstatistik zurück. Ähnlich wie im Fall Gumblar nahmen sich die Online-Betrüger eine kleine Auszeit, um gleich darauf erneut die Infizierung von unzähligen Webressourcen mit diesem Schädling zu provozieren.

Auch der Exploit.JS.Pdfka.bub (Platz 15) landete nicht von ungefähr in unseren Top 20: Diese schädliche PDF-Datei dient als Komponente einer Drive-by-Attacke, deren Ausgangspunkt Twetti.a ist.

Das Fazit des Monats unterscheidet sich kaum von dem der vergangenen Monate: Die Anwender werden über das Netz unter Ausnutzung von regelmäßig auftauchenden Schwachstellen in populärer Software angegriffen. Glücklicherweise werden die meisten Sicherheitslücken umgehend von den Herstellern ausgebessert. Leider installieren aber bei weitem nicht alle Anwender rechtzeitig die entsprechenden Patches. In jüngster Zeit nutzen die Schädlinge bei den Angriffen vermehrt die Gutgläubigkeit und Unerfahrenheit der Nutzer. Unter Schadprogrammen dieser Art erfreuten sich im März die bereits erwähnten gefälschten AV-Programme sowie Blocker großer Beliebtheit unter den Cyberkriminellen.

Zum Abschluss noch eine Grafik über die Länder, in denen die meisten Infizierungsversuche über das Internet registriert wurden:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.