Gumblar aktuell gefährlicher als Conficker/Kido

Kaspersky Lab präsentiert für den Oktober seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security [1]. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware):

Position Positionveränderung Name Die Anzahl der infizierten Computer
1   3 Net-Worm.Win32.Kido.ir   344745  
2   -1 Net-Worm.Win32.Kido.ih   126645  
3   0 not-a-virus:AdWare.Win32.Boran.z   114776  
4   -2 Virus.Win32.Sality.aa   87839  
5   6 Worm.Win32.FlyStudio.cu   70163  
6   -1 Trojan-Downloader.Win32.VB.eql   52012  
7   0 Virus.Win32.Induc.a   49251  
8   New Packed.Win32.Black.d   39666  
9   New Worm.Win32.AutoRun.awkp   35039  
10   -3 Virus.Win32.Virut.ce   33354  
11   Return Packed.Win32.Black.a   31530  
12   -1 Worm.Win32.AutoRun.dui   25370  
13   4 Trojan-Dropper.Win32.Flystud.yo   24038  
14   New Trojan-Dropper.Win32.Agent.bcyx   22471  
15   Return Packed.Win32.Klone.bj   21919  
16   Return Trojan.Win32.Swizzor.b   19496  
17   New Trojan-Downloader.WMA.GetCodec.s   18571  
18   -4 Worm.Win32.Mabezat.b   19708  
19   New Trojan-GameThief.Win32.Magania.cbrt   17610  
20   New Trojan-Dropper.Win32.Agent.ayqa   16909  

Der im September erstmals in Erscheinung getretene Net-Worm.Win32.Kido.ir belegt Platz eins und verdrängt damit den Dauerspitzenreiter Kido.ih. Zum „altbekannten“ Wurm Autorun.dui gesellt sich nun der ähnlich aufgebaute Autorun.awkp, der direkt auf Platz neun landete. Dahinter verbergen sich ebenfalls schädliche Dateien, die den automatischen Start von Schädlingen auf Wechseldatenträgern initiieren.

Im Oktober kehrten einige bereits bekannte Vertreter in die erste Hitliste zurück: Packed.Win32.Black.a, Packed.Win32.Klone.bj und Trojan.Win32.Swizzor.b. Neben Black.a schaffte es auch eine neue Version des Schädlings, nämlich Black.d, in die Liste der 20 am weitesten verbreiteten Schad- und Werbeprogramme. Zur Familie Packed.Win32.Black gehören Programme, die mit unlizenzierten Versionen legaler Tools zum Schutz ausführbarer Dateien gepackt wurden. In diesem Fall mit dem unter Cyberkriminellen beliebten Progamm ASProtect.

Bei dem Multimedia-Downloader GetCodec.s handelt es sich um einen direkten Verwandten von GetCodec.r, über den Kaspersky Lab bereits im Dezember 2009 berichtet hat (www.viruslist.com/de). Er verbreitet sich mit Hilfe des Wurms P2P-Worm.Win32.Nugg.

Die früher sehr populäre Schädlings-Familie Magania wurde im Oktober ebenfalls wieder aktiviert – im Juli gelang dem Trojan-GameThief.Win32.Magania.biht der Sprung in die Top 20 der im Internet am stärksten verbreiteten Schadprogramme. Im Oktober schaffte es jetzt die neue Version – Magania.cbrt – sowie der mit dieser Familie in Verbindung stehende Trojan-Dropper.Win32.Agent.ayqa in die Top 20.

Zwischenfazit: Im Oktober 2009 gab es eine starke Verbreitung von Schadprogrammen mit Hilfe digitaler Wechseldatenträger sowie eine zwar geringe, aber trotzdem spürbare Aktivierung von Game-Trojanern.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben:

Position Positionveränderung Name Anzahl der Downloadversuche
1   New Trojan-Downloader.JS.Gumblar.x   459779  
2   New Trojan-Downloader.JS.Gumblar.w   281057  
3   0 Trojan-Downloader.HTML.IFrame.sz   192063  
4   -3 not-a-virus:AdWare.Win32.Boran.z   171278  
5   -3 Trojan.JS.Redirector.l   157494  
6   -1 Trojan-Clicker.HTML.Agent.aq   118361  
7   New Trojan-Downloader.JS.Zapchast.m   112710  
8   Return Trojan.JS.Agent.aat   107132  
9   New Trojan-Downloader.JS.Small.oj   60425  
10   New Exploit.JS.Agent.apw   50939  
11   -7 Exploit.JS.Pdfka.ti   46303  
12   New Trojan.JS.Popupper.f   39204  
13   -1 Trojan-Downloader.JS.IstBar.bh   34944  
14   New Trojan.JS.Zapchast.an   30546  
15   -6 Trojan-Downloader.JS.LuckySploit.q   29105  
16   New Trojan-Downloader.JS.Agent.env   27405  
17   New Trojan-Dropper.Win32.Agent.ayqa   26994  
18   Return Trojan-Clicker.HTML.IFrame.mq   26057  
19   New Trojan-GameThief.Win32.Magania.bwsr   26032  
20   New Exploit.JS.Agent.anr   25517  

Wie so oft, gibt es bei der zweiten Hitliste viele Neueinsteiger. Die ersten beiden Plätze belegen neue Versionen des Trojan-Downloaders Gumblar, der bereits im Mai dieses Jahres für Aussehen sorgte. Obwohl diese erst Ende des Monats auftauchten, konnten sie sich direkt auf den Spitzenplätzen positionieren.

Die neuen Gumblar-Versionen verfügen im Vergleich zu ihren Vorgängern über ausgereifte Technologien zur Infizierung von Webseiten. In der ersten Version wurden legale Webseiten direkt mit einem Skript infiziert. Aktuell werden auf gehackten Seiten Links auf schädliche Skripte platziert, die auf anderen legalen infizierten Ressourcen liegen. Dies erschwert die Analyse und Desinfizierung enorm. Das Skript selbst versucht, verschiedene Sicherheitslücken im Adobe Acrobat/Reader, im Adobe Flash Player und in Microsoft Office auszunutzen, um das eigentliche Schadprogramm – Trojan-PSW.Win32.Kates.j – zu laden. Das Skript lädt Kates.j auf den Anwendercomputer herunter und verschiebt es sofort in Autostart-Ordner. Der eigentliche Zweck von Gumblar ist aber der Diebstahl vertraulicher Anwenderdaten, darunter die Zugangsdaten zu den Webseiten von Anwendern, um diese später infizieren zu können.

Die Aufteilung schädlicher Skripte in ihre Einzelteile erfreut sich bei Cyberkriminellen immer größerer Beliebtheit. Im Oktober war ein Viertel der 20 in der zweiten Hitliste vertretenen Schädlinge nach diesem Prinzip aufgebaut, und zwar: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.

Fazit: Die größte Gefahr ging im Oktober von Gumblar und die dadurch verursachte Masseninfizierung legaler Webseiten aus.

Zum Schluss noch einen Grafik mit den Ländern, in denen die meisten Versuche gestartet wurden, Anwender über das Web zu infizieren:

[1] Ab sofort fließen auch die Ergebnisse von Kaspersky Internet Security 2010 und Kaspersky Anti-Virus 2010 in die Wertung mit ein. Daher hat sich die Zusammensetzung der zwei Monatsstatistiken, die auf den von KSN zusammengetragenen Daten basieren, ein wenig verändert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.