Kaspersky Lab Top 20 der Schadprogramme, Juli 2009: Kido/Conficker und Sality weiterhin mit großem Vorsprung

Kaspersky Lab präsentiert für den Juli seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position Positionveränderung Name Die Anzahl der infizierten Computer
1   0 Net-Worm.Win32.Kido.ih   51126  
2   0 Virus.Win32.Sality.aa   24984  
3   1 Trojan-Downloader.Win32.VB.eql   9472  
4   2 Trojan.Win32.Autoit.ci   8250  
5   0 Worm.Win32.AutoRun.dui   6514  
6   1 Virus.Win32.Virut.ce   5667  
7   3 Virus.Win32.Sality.z   5525  
8   1 Net-Worm.Win32.Kido.jq   5496  
9   -1 Worm.Win32.Mabezat.b   4675  
10   4 Net-Worm.Win32.Kido.ix   4055  
11   -8 Trojan-Dropper.Win32.Flystud.ko   3764  
12   5 Packed.Win32.Klone.bj   3677  
13   -1 Virus.Win32.Alman.b   3571  
14   1 Worm.Win32.AutoIt.i   3524  
15   -2 Packed.Win32.Black.a   3472  
16   -5 Trojan-Downloader.JS.LuckySploit.q   3335  
17   1 Email-Worm.Win32.Brontok.q   3007  
18   2 not-a-virus:AdWare.Win32.Shopper.v   2841  
19   0 Worm.Win32.AutoRun.rxx   2798  
20   New IM-Worm.Win32.Sohanad.gen   2719  

Im Juli gab es keine nennenswerten Veränderungen in den Top 20: Wie gehabt führten Kido und Sality das Feld mit beträchtlichem Abstand auf die Verfolger an.

Dabei war das Aufkommen der bekanntesten Schädlinge insgesamt ein wenig niedriger als gewöhnlich. Das könnte damit zusammenhängen, dass die Anwender im Hochsommer weniger Zeit vor dem Computer verbringen als zu anderen Jahreszeiten und daher auch weniger Schadprogramme auf ihren Rechnern landen.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Position Positionveränderung Name Die Anzahl der infizierten Seiten
1   0 Trojan-Downloader.JS.Gumblar.a   8538  
2   2 Trojan-Clicker.HTML.IFrame.kr   7805  
3   2 Trojan-Downloader.HTML.IFrame.sz   5213  
4   -1 Trojan-Downloader.JS.LuckySploit.q   4719  
5   New Trojan-Downloader.HTML.FraudLoad.a   4626  
6   0 Trojan-Downloader.JS.Major.c   3778  
7   New Trojan-GameThief.Win32.Magania.biht   2911  
8   New Trojan-Downloader.JS.ShellCode.i   2652  
9   -1 Trojan-Clicker.HTML.IFrame.mq   2576  
10   New Exploit.JS.DirektShow.o   2476  
11   -2 Trojan.JS.Agent.aat   2402  
12   New Exploit.JS.DirektShow.j   2367  
13   New Exploit.HTML.CodeBaseExec   2266  
14   0 Exploit.JS.Pdfka.gu   2194  
15   New Trojan-Downloader.VBS.Psyme.ga   2007  
16   New Exploit.JS.DirektShow.a   1988  
17   -10 Trojan-Downloader.Win32.Agent.cdam   1947  
18   -5 Trojan-Downloader.JS.Agent.czm   1815  
19   -17 Trojan-Downloader.JS.Iframe.ayt   1810  
20   New Trojan-Downloader.JS.Iframe.bew   1766  

Bereits beim ersten Blick auf die Tabelle springen gleich drei Vertreter des Skript-Exploits mit dem Namen DirektShow ins Auge. Der Grund: Da die meisten Internet-Anwender den Internet Explorer auf ihren Rechnern installiert haben, ist die Ausnutzung dieser Windows-Schwachstelle bei Cyberkriminellen sehr beliebt.

In jüngster Zeit zeichnet sich eine Tendenz zum Zerlegen schädlicher Skripts in verschiedene Teile ab. Cyberkriminelle nutzen zum Beispiel mit dem oben erwähnten DirektShow-Exploit die Sicherheitslücke msvidctl aus, indem sie auf ein weiteres Skript verlinken, aus dem der Shellcode mit eigener Schadfunktion geladen wird. Auf Platz acht liegt daher der weit verbreitete Shellcode Trojan-Downloader.JS.ShellCode.i. Diese Vorgehensweise ist für Cyberkriminelle sehr vorteilhaft, weil das Skript mit dem Shellcode jederzeit ausgewechselt werden kann und der Link unverändert bestehen bleibt. Dadurch werden auch die Analyse und das weitere Erkennen ähnlicher Schädlinge erschwert.

Zur einfacheren Verbreitung von betrügerischen Pseudo-AV-Programmen wird häufig ein und dieselbe Website-Schablone verwendet. Daher ist auch ein anderer Neuling in den Top 20 erwähnenswert: Trojan-Downloader.HTML.FraudLoad.a. Bei diesem Schädling handelt es sich um eine typische Website-Schablone. Erpresser-Trojaner werden bei Cyberkriminellen immer beliebter. Folglich tauchen Unmengen von Internetseiten auf, mit denen – unter dem Vorwand der Computer des Anwenders sei infiziert – häufig nicht nur lästige, sondern oft auch gefährliche Schädlinge platziert werden. Ein Skript, mit dessen Hilfe Schadprogramme von Webseiten geladen werden, ist Trojan-Downloader.JS.Iframe.bew – der Letztplatzierte in der Juli-Statistik.

Insgesamt spiegelt das zweite Top-20-Ranking die aktuelle Bedrohungslage im Internet sehr gut wider. In erster Linie konzentrieren sich Cyberkriminelle auf die Suche nach neuen Sicherheitslücken in populären Softwareprodukten, mit dem Ziel, Anwendercomputer mit einem – und oft auch mehreren – Schadprogrammen zu infizieren. Zudem versuchen die Online-Betrüger ihr Vorgehen weitestgehend zu tarnen, damit betroffene Anwender nicht mitbekommen, dass ihr Computer infiziert ist. Letzten Endes sind alle Internet-Anwender, ob erfahren oder unerfahren, den Gefahren des World Wide Web ausgesetzt, wenn sie ihr Betriebssystem und ihr Antiviren-Programm nicht regelmäßig aktualisieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.