Kaspersky Lab Top 20 der Schadprogramme im März 2011

Im März 2011 wurden Internetanwender mit unterschiedlichen auf die Japan-Katastrophe bezogenen Social-Engineering-Tricks in die Falle gelockt, Android-Nutzer mit schädlichen Apps belästigt und mittels Java-Exploits Drive-by-Downloads durchgeführt. Dies geht aus den Top 20 der Schadprogramme im März von Kaspersky Lab hervor.

Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im März 2011 wehrten die Kaspersky-Heimanwenderlösungen 241.151.171 Netzattacken ab, blockierten 85.853. 567 Infizierungsversuche über das Web und neutralisierten insgesamt 219.843.736 Schadprogramme. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme im Internet. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Computer am häufigsten infiziert waren.

Japan-Katastrophe missbraucht

Während im März die ganze Welt mit Bangen auf die Ereignisse und Entwicklungen in Japan und vor allem das beschädigte Atomkraftwerk Fukushima 1 blickte, missbrauchten Cyberkriminelle die Katastrophe für ihre Zwecke. Sie versendeten Katastrophennachrichten mit schädlichen Links, richteten infizierte Webseiten über die Katastrophe ein und verschickten „nigerianische“ E-Mails, in denen zu dubiosen Spenden aufgerufen wurde.

So wurden beispielsweise E-Mails mit angeblichen Links zu den neuesten Entwicklungen in Japan verschickt, bei denen nach dem Anklicken des Links ein Drive-by-Download mit Hilfe eines Exploit-Packs gestartet wurde. War der Angriff erfolgreich, wurde der Schädling Trojan-Downloader.Win32.CodecPack geladen. Jedem Vertreter dieser Familie sind drei Steuerungszentralen zugeteilt, mit denen er Verbindung aufnimmt. Außerdem erhält er von ihnen eine Liste schädlicher Dateien, die auf den Computer geladen und anschließend gestartet werden.

Kaspersky-Experten entdeckten weiterhin eine schädliche Webseite, auf der der Download eines Videos zu den Japan-Ereignissen angeboten wurde. Doch statt eines Films wurde eine Backdoor heruntergeladen.

Schädliche Apps im Android-Market

Im März verbreiteten Cyberkriminelle Android-Schädlinge, indem sie diese als legale Apps für den offiziellen Android-Market tarnten. Anfang März entdeckten IT-Sicherheitsexperten im Android-Market 21 infizierte Versionen legaler Anwendungen, die über 50.000 mal heruntergeladen wurden. Sie enthielten die Root-Exploits „rage against the cage“ und „exploid“, die dem Schadprogramm Root-Zugriff auf Android-Smartphones ermöglichen, wodurch der vollständige Zugriff auf das Gerät-Betriebssystem gewährleistet wird. Im schädlichen APK-Archiv befanden sich neben den Root-Exploits zwei weitere schädliche Komponenten. Eine von ihnen schickte nach Erhalt des Root-Rechts mit Hilfe der POST-Methode eine spezielle XML-Datei an einen entfernten Server, die die IMEI und IMSI des Telefons enthielt. Diese Datei verbreitete zudem weitere Informationen über das infizierte Gerät und nahm daraufhin Befehle vom Server entgegen. Ein anderer Schädling verfügte über die Funktionalität eines Trojan-Downloaders. Bisher konnten wir allerdings noch nicht an die zu ladenden Dateien kommen.

Mehr über Botnetz „Rustock”

Eins der wichtigsten Ereignisse in der Welt der Computersicherheit im Monat März war die Schließung des Botnetzes Rustock. Das von Rustock aufgebaute Zombienetz zählte einige hunderttausend infizierte Computer und wurde zum Spamversand eingesetzt. Die Schließung des Zombienetzes wurde von der Firma Microsoft und US-amerikanischen Behörden organisiert. Am 17. März erklärte Microsoft, dass alle Steuerungsserver des Botnetzes offline genommen wurden. Auf allen Servern der Botnetzsteuerungszentren, die von Microsoft geschlossen worden waren, wurde ein Redirect auf microsoftinternetsafety.net eingerichtet.

Den Kaspersky-Daten zufolge wurden die letzten Rustock-Exemplare von den Steuerungszentren am 16. März auf die Computer geladen. Der Spamversandbefehl wurde am 17. März zum letzten Mal erteilt. Danach erreichten die Bots keine Befehle mehr. Zudem wurde nach dem 16. März nicht ein einziger Downloader zur Rustock-Installation entdeckt.

Bedeutet das, dass eines der bekanntesten Botnetze nun tatsächlich am Ende ist? Oder warten die Inhaber der blockierten Botnetze einfach in ihren Verstecken auf ruhigere Zeiten, in denen es wieder gefahrlos möglich sein wird, die verlorenen Kapazitäten wiederherzustellen? Antworten auf diese Fragen werden wir mit der Zeit erhalten.

Die erste Hitliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.

Current rank Delta Verdict
1   4 AdWare.Win32.FunWeb.gq  
2   New Hoax.Win32.ArchSMS.pxm  
3   3 AdWare.Win32.HotBar.dh  
4   8 Trojan.HTML.Iframe.dl  
5   New Hoax.HTML.OdKlas.a  
6   New Trojan.JS.Popupper.aw  
7   1 Exploit.JS.Pdfka.ddt  
8   -8 Trojan.JS.Agent.btv  
9   -9 Trojan-Downloader.JS.Agent.fun  
10 -10 Trojan-Downloader.Java.OpenStream.bi
11   -7 Exploit.HTML.CVE-2010-1885.ad  
12   New Trojan.JS.Agent.uo  
13   New Trojan-Downloader.JS.Iframe.cdh  
14   New Packed.Win32.Katusha.o  
15   New Exploit.Java.CVE-2010-0840.d  
16   1 Trojan.JS.Agent.bhr  
17   New Trojan-Clicker.JS.Agent.om  
18   New Trojan.JS.Fraud.bl  
19   New Exploit.Java.CVE-2010-0840.c  
20   New Trojan-Clicker.HTML.Iframe.aky  

Die dringende Empfehlung der IT-Sicherheitsunternehmen, Software regelmäßig zu aktualisieren, hat nach wie vor Gültigkeit, denn Exploits gehören noch immer zu den Lieblingswerkzeugen der Cyberkriminellen.

Exploits für Drive-by-Downloads

Im März war die Zahl der Java-Exploits sehr hoch – sie machten etwa 14 Prozent aller entdeckten Exploits aus. In den Top 20 der Internetschadprogramme konnten sich drei Java-Exploits positionieren. Zwei davon – Exploit.Java.CVE-2010-0840.d (15. Platz) und Exploit.Java.CVE-2010-0840.c (19. Platz) – sind neue Exploits zur Java-Sicherheitslücke CVE-2010-0840. Die Entwickler der Schadsoftware nutzen diese Exploits aktiv aus, um sie im Rahmen der Drive-by-Downloads einzusetzen und so deren Entdeckung zu vermeiden.

Auf der Grafik, die die Detektierungsdynamik von Exploits der Familie Exploit.Java.CVE-2010-0840 zeigt, ist das deutlich zu sehen.

 
Detektierungsdynamik der Familie Exploit.Java.CVE-2010-0840

Die Höhepunkte auf der Grafik stellen die Detektierungsperioden von Exploits dar, die im Rahmen von Drive-by-Downloads verwendet werden. Die Tiefpunkte geben die Zeitpunkte des Erscheinens neuer Modifikationen des Exploits an.

Exploit zu Schwachstelle im Adobe Flash Player

Die Virenschreiber reagieren beneidenswert schnell auf das Bekanntwerden neuer Sicherheitslücken. Als Beispiel dafür dient das Exploit zu einer Schwachstelle im Adobe Flash Player, dessen Entdeckung das Unternehmen Adobe am 14. März bekannt gab. Die Sicherheitslücke befindet sich in authplay.dll und wurde als kritisch eingestuft. Ihre Ausnutzung gibt Kriminellen die Möglichkeit, Computer unter ihre Kontrolle zu bringen. Bereits am 15. März entdeckte Kaspersky Lab ein Exploit zu dieser Schwachstelle. Es handelt sich dabei um eine Excel-Datei, die eine schädliche SWF-Datei enthält und als Trojan-Dropper.SWF.CVE-2011-0609.a detektiert wird. Am 25. März entdeckten wir eine weitere Variante des Exploits – eine HTML-Seite, die ein JavaScript mit Shellcode und den Aufruf einer schädlichen Flash-Datei enthält. Der Shellcode übernimmt die Steuerung nach dem Aufruf der SWF-Datei, die eine Sicherheitslücke ausnutzt. Die schädlichen HTML- und SWF-Dateien werden entsprechend als Exploit.JS.CVE-2011-0609 und Exploit.SWF.CVE-2011-0609 identifiziert. Diese Geschichte nahm ein gutes Ende: Die Sicherheitslücke wurde sehr schnell geschlossen. Die Firma Adobe berichtete am 22. März von der Korrektur des Fehlers.

Im Folgenden ist die zweite Hitliste abgebildet. Sie zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden. Wie im Februar bleibt ein alter Bekannter an der Spitze: der Netzwerkwurm Kido/Conficker. Wie der aktuelle Stand bei diesem gefährlichen Wurm ist, erläutert Kaspersky-Analyst Tillmann Werner in einem aktuellen Webcast: www.securelist.com/en/blog.

Current rank Delta Verdict
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   1 Net-Worm.Win32.Kido.ih  
4   New Hoax.Win32.ArchSMS.pxm  
5   0 Virus.Win32.Sality.bh  
6   -3 HackTool.Win32.Kiser.zv  
7   -1 Hoax.Win32.Screensaver.b  
8   -1 AdWare.Win32.HotBar.dh  
9   8 Trojan.Win32.Starter.yy  
10   1 Packed.Win32.Katusha.o  
11   1 Worm.Win32.FlyStudio.cu  
12   -2 HackTool.Win32.Kiser.il  
13   -4 Trojan.JS.Agent.bhr  
14   2 Trojan-Downloader.Win32.Geral.cnh  
15   New Porn-Tool.Win32.StripDance.d  
16   New Exploit.JS.Agent.bbk  
17   New Trojan.Win32.AutoRun.azq  
18   -5 Trojan-Downloader.Win32.VB.eql  
19   -5 Worm.Win32.Mabezat.b  
20   -5 Packed.Win32.Klone.bq  

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.