Gumblar. x nach fast vollständigem Erliegen erneut wieder an der Spitze der Top 20

Kaspersky Lab präsentiert für Februar 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware):

Position Positionsänderung Name Anzahl infizierter Computer
1   0 Net-Worm.Win32.Kido.ir   274729  
2   1 Virus.Win32.Sality.aa   179218  
3   1 Net-Worm.Win32.Kido.ih   163467  
4   -2 Net-Worm.Win32.Kido.iq   121130  
5   0 Worm.Win32.FlyStudio.cu   85345  
6   3 Trojan-Downloader.Win32.VB.eql   56998  
7   New Exploit.JS.Aurora.a   49090  
8   9 Worm.Win32.AutoIt.tc   48418  
9   1 Virus.Win32.Virut.ce   47842  
10   4 Packed.Win32.Krap.l   47375  
11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   0 Virus.Win32.Induc.a   40257  
13   New not-a-virus:AdWare.Win32.RK.aw   39608  
14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   1 Worm.Win32.Mabezat.b   38905  
16   New Trojan.JS.Agent.bau   34842  
17   3 Packed.Win32.Black.a   32439  
18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   Return Worm.Win32.AutoRun.dui   32077  
20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

Nach der Anzahl der Infizierungen zu urteilen, ist die Kido-Epidemie leicht rückläufig, denn die Top 5 der Schadprogramme blieben unverändert. Auf Platz 7 landete ein schwer beschäftigter Vertreter der Gattung Exploit – ein Programm also, das Sicherheitslücken in Softwareprodukten ausnutzt – und zwar Exploit.JS.Aurora.a, auf den wir aber im Abschnitt „Schadprogramme im Internet“ noch näher eingehen werden. Neu im Ranking waren im Februar zwei AdWare-Programme.

Ein besonders gutes Beispiel für ein weitverbreitetes Werbeprogramm ist FunWeb.q auf Platz 20 unserer Hitliste. Dieses Programm ist eine Toolbar für gängige Browser und gewährleistet dem Anwender schnellen Zugriff auf die Inhalte gewisser Websites (meist mit medizinischen Inhalten). Zur Darstellung der Werbung verändert es die Ansicht der Seite, die der Anwender besucht.

Bei not-a-virus:AdWare.Win32.RK.aw auf Platz 13 ist der Fall etwas komplizierter. Es handelt sich hierbei um die Anwendung Relevant Knowledge, die zusammen mit verschiedenen anderen Software-Produkten verbreitet und installiert wird. In der Benutzervereinbarung wird darauf hingewiesen, dass dieses Programm automatisch persönliche Anwenderdaten sammelt, jede Aktivität des Benutzers – insbesondere im Internet – verfolgt und diese dann auf seinen Servern speichert. Dies dient angeblich nur höheren Zielen („zur Gestaltung der Zukunft des Internets“), und es wird versichert, dass die Daten sorgfältig geschützt würden. Ob man diesen Versprechungen glauben möchte oder nicht, muss dann jeder Anwender für sich entscheiden.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name Anzahl der Downloadversuche
1   Return Trojan-Downloader.JS.Gumblar.x   453985  
2   -1 Trojan.JS.Redirector.l   346637  
3   New Trojan-Downloader.JS.Pegel.b   198348  
4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
6   New Trojan-Clicker.JS.Iframe.ea   77067  
7   New Trojan.JS.Popupper.ap   77015  
8   3 Trojan.JS.Popupper.t   64506  
9   New Exploit.JS.Aurora.a   54102  
10   New Trojan.JS.Agent.aui   53415  
11   New Trojan-Downloader.JS.Pegel.l   51019  
12   New Trojan-Downloader.Java.Agent.an   47765  
13   New Trojan-Clicker.JS.Agent.ma   45525  
14   New Trojan-Downloader.Java.Agent.ab   42830  
15   New Trojan-Downloader.JS.Pegel.f   41526  
16   Return Packed.Win32.Krap.ai   38567  
17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
18   New Exploit.JS.Agent.awd   35024  
19   New Trojan-Downloader.JS.Pegel.k   34665  
20   New Packed.Win32.Krap.an   33538  

Die Schadprogramm-Situation im Internet war im Februar überaus interessant. Gumblar.x steht erneut an der Spitze der Top 20 – nachdem die Epidemie dieses Schädlings im Januar fast vollständig zum Erliegen gekommen war, nahm sie im Februar wieder volle Fahrt auf. Das zeigt, dass die nächste Gumblar-Attacke, über die wir vor einem Monat spekulierten, nicht lange auf sich warten ließ. Im Gegensatz zur vorhergehenden Attacke haben die Cyberkriminellen dieses Mal allerdings keine Veränderungen vorgenommen – sie haben einfach neue Daten für den Zugriff auf die Websites der Anwender gewählt, um sie so massenhaft zu infizieren. Ungeachtet dessen werden wir die Entwicklung der Ereignisse aufmerksam verfolgen und alle Veränderungen registrieren.


Abb. 1. Anzahl der von Gumblar.x infizierten Websites

Desweiteren hat sich das Ausmaß der Pegel-Epidemie im Vergleich zum Januar versechsfacht: Unter den Neueinsteigern im Ranking befinden sich gleich vier Vertreter dieser Familie, von denen einer direkt den Sprung auf die dritte Position schaffte. Dieser Downloader ist Gumblar ähnlich, denn er infiziert ebenfalls legitime Websites. Ruft der Anwender eine infizierte Seite auf, wird er von dem integrierten Skript auf die Ressource der Kriminellen umgeleitet. Um bei dem Anwender möglichst wenig Misstrauen zu erwecken, verwenden die Online-Betrüger in den Adressen der schädlichen Sites Namen populärer Websites, wie z.B.:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Über Links ist ein weiteres Skript eingerichtet, das mit verschiedenen Mitteln versucht, die ausführbare Hauptdatei zu laden. Die dabei verwendeten Methoden sind bekannt – die Ausnutzung von Schwachstellen in den großen Software-Produkten Internet Explorer (CVE-2006-0003) und Adobe Reader (CVE-2007-5659, CVE-2009-0927) sowie der Download mit Hilfe eines speziellen Java-Applets.

Die ausführbare Hauptdatei ist dann immer der berüchtigte Backdoor.Win32.Bredolab, der mit verschiedenen schädlichen Packern bestückt ist (von denen einige als Packed.Win32.Krap.ar und Packed.Win32.Krap.ao erkannt werden). Es sei hier daran erinnert, dass er neben seiner Hauptfunktionalität – der Fernsteuerung des Anwendercomputers – auch in der Lage ist, andere schädliche Dateien zu laden.

Auf dem 9. Platz schließlich befindet sich Exploit.JS.Aurora.a, dem wir – wie oben angekündigt – an dieser Stelle einige Zeilen widmen. Aurora.a ist ein Exploit für die Sicherheitslücke CVE-2010-0249, die nach einer großangelegten Attacke im Januar gleich in mehreren Versionen des Internet Explorers entdeckt wurde.

Die Attacke, über die ausnahmslos alle IT-Fachpublikationen berichteten, nimmt Großkonzerne (wie etwa Google und Adobe) ins Visier und wurde “Aurora” getauft – nach dem Verzeichnis, das eine der ausführbaren Hauptdateien verwendet. Ziel der Attacke ist das Abschöpfen von persönlichen Informationen der Anwender sowie des intellektuellen Eigentums der Unternehmen, wie etwa Quellcodes von Projekten. Die Umsetzung erfolgt mit Hilfe von E-Mails, die einen Link auf die schädliche Website mit dem Exploit enthalten, welches dann die ausführbare Hauptdatei auf den Computer des Anwenders lädt, ohne dass dieser es bemerkt.

Abb. 2. Fragment einer Variante von Exploit.JS.Aurora.a

Bemerkenswert ist, dass Mitarbeiter von Microsoft einige Monate vor Beginn der Attacke von der Sicherheitslücke wussten, sie aber erst einen Monat nach ihrer Entdeckung ausbesserten. Man kann sich denken, dass im Laufe dieses Monats der Quellcode des Expoits öffentlich wurde und nur die faulsten unter den Cyberbetrügern darauf verzichteten, ihn in ihren Attacken einzusetzen – in unseren Datenbanken befinden sich bereits mehr als hundert verschiedene Ausnutzungs-Varianten dieser Schwachstelle.

Nach wie vor geht die größte Gefahr für den Anwender von Sicherheitslücken in populären Software-Produkten aus. Bedenkt man, dass die Cyberkriminellen versuchen, Schwachstellen auszunutzen, die bereits vor Jahren entdeckt wurden, so kommt man zu dem Schluss, dass diese Sicherheitslücken immer noch aktuell sind. Selbst wenn man alle Updates für große Programmpakete rechtzeitig installiert, kann man leider nicht hundertprozentig davon ausgehen, dass der Computer sicher ist, da die Hersteller dieser Software die entsprechenden Patches für die erkannten Schwachstellen nicht immer rechtzeitig veröffentlichen. Daher ist bei der Arbeit mit dem Computer größte Vorsicht geboten sowie der Gebrauch eines Antiviren-Programms mit den neusten Aktualisierungen dringend zu empfehlen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.