Malware-Report von Kaspersky Lab und Top 20 der Schadprogramme im April 2011

Im Laufe des Monats wurden von Kaspersky Lab auf den Anwendercomputern

  • 221.305.841 Netzattacken abgewehrt,
  • 73.211.764 Infizierungsversuche über das Internet blockiert,
  • 189.999.451 Schadprogramme zur lokalen Infizierung entdeckt und unschädlich gemacht,
  • 86.630.158 heuristische Verdikte gezählt.

Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security.

DDoS-Attacken auf LiveJournal

Die DDoS-Attacken auf die Blogging-Webseite LiveJournal, die Ende März begannen und bis in den April hinein fortgesetzt wurden, waren in Russland durchaus spürbar. Eines der für die Attacken verantwortlichen Botnetze steht unter unserer Beobachtung, so dass wir einige Angriffsdetails recht genau verfolgen konnten.

Bis Anfang April erhielten die zu diesem Botnetz gehörenden Computer praktisch jeden Tag ein bis zwei Links, die als Zielscheibe der DDoS-Attacke dienten. Am 4. April allerdings empfingen alle Bots eine Liste mit 36 Links. Unter den Angriffszielen befanden sich auch die Webseiten von LiveJournal: http://livejournal.com und http://livejournal.ru. Die restlichen Links auf der Liste führten zu populären Webseiten von russischen Bloggern. Die angegriffenen Seiten waren am 30. März sowie am 4. und 6. April wiederholt nicht erreichbar. Nach dem 6. April wurden die Attacken eingestellt.

Das von den Cyberkriminellen für diese Attacke genutzte Botnetz basiert auf dem populären Bot Optima, der seit Ende des Jahres 2010 zum Verkauf angeboten wird. Aufgrund einiger indirekter Hinweise kann man davon ausgehen, dass das Zombienetz, das die mit Optima infizierten Rechner vereint und an der DDoS-Attacke beteiligt war, zehntausende infizierte Computer umfasst. Wissenswert ist zudem, dass der Bot neben der Durchführung von DDoS-Attacken auch in der Lage ist, Passwörter zu verschiedenen populären Programmen zu stehlen und schädliche Dateien auf einen bereits infizierten Computer zu laden.

PDF-Exploits

Wieder einmal bemerkten wir im April eine erhöhte Aktivität von Exploits, die Sicherheitslücken in den Produkten von Adobe ausnutzen. Eines dieser Exploits – Exploit.JS.Pdfka.dmg – positionierte sich auf Platz 9 der 20 am weitesten verbreiteten Schadprogramme im Internet. Die Zahl der Anwender, die im April Attacken der verschiedenen Modifikationen von Exploit.JS.Pdfka ausgesetzt waren, geht bereits in die Hunderttausende. Die untenstehende Grafik illustriert die Ausbreitung dieses Schädlings.

Ausbreitungsgeografie der Familie Exploit.JS.Pdfka im April.
An erster Stelle liegt Russland, an zweiter die USA und an der dritten Position Deutschland

Die Cyberkriminellen wendeten dabei zum wiederholten Male dieselbe Taktik an: Sie platzieren auf einer gehackten legalen Webseite ein schädliches JavaScript, das eine kritische Sicherheitslücke in einem populären Programm wie Adobe oder Microsoft ausnutzt. Landet ein Anwender, der die unsichere Software benutzt, auf der Seite, so werden mit Hilfe des Exploits umgehend Schadprogramme unbemerkt vom Anwender auf den Rechner geladen. Dies ist das klassische Schema eines Drive-by-Downloads.

Im April schloss Adobe die jüngsten Sicherheitslücken, die bei Adobe Reader und Adobe Acrobat auftauchten. Die Sicherheitslücken wurden als „kritisch“ eingestuft. Wir empfehlen allen Anwendern nachdrücklich, diese Anwendungen zu aktualisieren. Die Patches für die konkreten Produktversionen finden Sie hier http://www.adobe.com/support/security/bulletins/apsb11-08.html.

Sicherheitslücke MS11-020

Auch Microsoft-Anwender standen im April im Visier von Cyberkriminellen. So veröffentlichte Microsoft 17 Bulletins, die Schwachstellen in unterschiedlichen Windows-Produkten schlossen. Unter den 63 Reparaturprogrammen, die von Microsoft veröffentlicht wurden, befindet sich auch ein Patch für die Sicherheitslücke MS11-020 (http://www.microsoft.com/technet/security/Bulletin/MS11-020.mspx). Diese gefährliche Lücke, die die Möglichkeit zur entfernten Ausführung von willkürlichem Code im Nullring bietet, wurde im SMB-Server entdeckt. Diese Sicherheitslücke kann unter Verwendung eines speziell zusammengestellten SMB-Pakets ausgenutzt werden, das an das verwundbare System geschickt wird. Der Netzwerkwurm Kido entstand nach der Entdeckung einer ähnlichen Schwachstelle. Daher sollten Anwender so schnell wie möglich ihre Programme aktualisieren.

SMS-Trojaner

Die aktive Verbreitung von SMS-Trojanern hat sich auch im April – hauptsächlich in Russland – fortgesetzt, wobei SMS-Spam nach wie vor zu den Hauptverbreitungsmethoden zählt. Im Verlauf des Monats erreichten uns immer wieder Anwenderberichte über Spam-SMS-Versendungen.

Einige Versendungen wiesen gemeinsame Merkmale auf:

  • Die Versendungen wurden in etwa gleichzeitig in Umlauf gebracht (um 4 oder 5 Uhr morgens Moskauer Zeit);
  • Die in russischer Sprache abgefassten Nachrichten waren in den meisten Fällen folgendermaßen aufgebaut:
    ‘Sie haben eine MMS erhalten . Ansehen unter http://******.do.am/имя_файла.jar’;

  • In den schädlichen Dateien wurde der Dateiname YaZ.jar oder 606.jar verwendet.


Beispiel einer Spam-SMS

Zum Zeitpunkt der Umsetzung aller von uns registrierten Versendungen wurden alle Dateien, zu denen die Links führten, von Kaspersky Lab als Trojan-SMS.J2ME.Smmer.f detektiert.

Allem Anschein nach wurden die schädlichen Webseiten, auf die die Links in den Spam-Versendungen verwiesen, mit Hilfe eines populären kostenlosen Online-Website-Constructors erstellt. Die Besitzer des Constructors haben unter anderem auch die Hosting-Dienste im Angebot, die die Cyberkriminellen zur Platzierung der schädlichen Seiten auf der Domain zweiter Ebene .do.am nutzten.

Schließung des Botnetzes Coreflood

Die Offensive gegen die Zombienetze wird fortgesetzt. Direkt nach der Schließung des Botnetzes Rustock, über die wir in unserem April-Report berichteten, wurden im April die Steuerungszentralen eines weiteren, nicht gerade kleinen (um die zwei Millionen Zombierechner) Botnetzes namens Coreflood geschlossen. Die meisten mit Bots infizierten Computer befanden sich in den USA.

In diesem Fall ging die Schließung vom Justizministerium der USA aus, das die Erlaubnis erhalten hatte, die Steuerung der Bots abzufangen. Nachdem die Kontrolle über das Botnetz übernommen worden war, erhielten alle Bots den Befehl, ihre Arbeit einzustellen.

Nicht zum ersten Mal haben sich staatliche Stellen aktiv an der Neutralisierung von Botnetzen beteiligt. Die Schließung des Botnetzes Rustock war das Ergebnis einer gemeinsamen Aktion von Microsoft und Bundesbehörden der USA. Das Botnetz Bredolab wurde von der niederländischen Polizei ausgeschaltet und sein mutmaßlicher Besitzer und Entwickler festgenommen.

Wir hoffen, dass die Anstrengungen der staatlichen Organe bei der Schließung von Botnetzen nicht nachlassen und wir in Zukunft noch häufig vom erfolgreichen Abschluss einer derartigen Operation hören werden.

PlayStation Network gehackt

Ende April gab Sony bekannt, dass das PlayStation Network (PSN) gehackt wurde. Sony bestätigte, dass Cyberkriminelle sich Zugriff auf persönliche Anwenderdaten –etwa Namen, Post- und E-Mail-Adressen, Geburts- und Logindaten – verschafft hatten. Das Unternehmen schloss zudem den Diebstahl von Kreditkarteninformationen nicht aus, obgleich dafür keine Beweise vorlagen.

Sony führt gemeinsam mit einem namentlich nicht genannten Unternehmen Ermittlungen zu dem Vorfall durch. Im PlayStation Network sind etwa 75 Millionen Accounts registriert, was den vorliegenden Fall zum größten Datenklau aller Zeiten macht.

Nach wie vor gibt es keine Informationen darüber, wann die Gamer das PSN wieder nutzen können. Den PSN-Nutzern wird dringend geraten, das Passwort für den Account des Game-Services sowie anderer Services zu ändern, insbesondere, falls mehrmals dasselbe Passwort benutzt wurde. Überdies sollten Kreditkarten-Abbuchungen genauestens verfolgt und die Karte bei Hinweisen auf Missbrauch sofort gesperrt werden.

Top 20 der Schadprogramme im Internet

Die erste Hitliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.

Position Positionsänderung Name
1   2 AdWare.Win32.HotBar.dh  
2   4 Trojan.JS.Popupper.aw  
3   Neu AdWare.Win32.Zwangi.fip  
4   Neu AdWare.Win32.Agent.uxx  
5   Neu AdWare.Win32.Gaba.eng  
6   Neu AdWare.Win32.FunWeb.jp  
7   Neu AdWare.Win32.FunWeb.kd  
8   Neu AdWare.Win32.Zwangi.fmz  
9   Neu Exploit.JS.Pdfka.dmg  
10   Neu Trojan.JS.Redirector.oy  
11   Neu Trojan-Ransom.Win32.Digitala.bpk  
12   0 Trojan.JS.Agent.uo  
13   0 Trojan-Downloader.JS.Iframe.cdh  
14   Neu AdWare.Win32.Gaba.enc  
15   -11 Trojan.HTML.Iframe.dl  
16   -14 Hoax.Win32.ArchSMS.pxm  
17   Neu Trojan-Downloader.Win32.Zlob.aces  
18   Neu Trojan-Ransom.JS.SMSer.hi  
19   Neu Trojan.JS.Iframe.ku  
20   Neu AdWare.Win32.FunWeb.jt  

Im Folgenden ist die zweite Hitliste abgebildet. Sie zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden.

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   1 Net-Worm.Win32.Kido.ih  
3   -1 Virus.Win32.Sality.aa  
4   Wieder dabei Virus.Win32.Virut.ce  
5   0 Virus.Win32.Sality.bh  
6   3 Trojan.Win32.Starter.yy  
7   -3 Hoax.Win32.ArchSMS.pxm  
8   -2 HackTool.Win32.Kiser.zv  
9   5 Trojan-Downloader.Win32.Geral.cnh  
10   2 HackTool.Win32.Kiser.il  
11   -4 Hoax.Win32.Screensaver.b  
12   -1 Worm.Win32.FlyStudio.cu  
13   -5 AdWare.Win32.HotBar.dh  
14   -1 Trojan.JS.Agent.bhr  
15   Neu AdWare.Win32.FunWeb.kd  
16   Neu Virus.Win32.Sality.ag  
17   1 Trojan-Downloader.Win32.VB.eql  
18   1 Worm.Win32.Mabezat.b  
19   -2 Trojan.Win32.AutoRun.azq  
20   Neu Virus.Win32.Nimnul.a  

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.