Neue Schädlinge machen Kido/Conficker Konkurrenz

Kaspersky Lab präsentiert für den August seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position Positionveränderung Name Die Anzahl der infizierten Computer
1   0 Net-Worm.Win32.Kido.ih   48281  
2   0 Virus.Win32.Sality.aa   23156  
3   New not-a-virus:AdWare.Win32.Boran.z   16872  
4   -1 Trojan-Downloader.Win32.VB.eql   8030  
5   -1 Trojan.Win32.Autoit.ci   7846  
6   0 Virus.Win32.Virut.ce   6248  
7   -2 Worm.Win32.AutoRun.dui   5516  
8   0 Net-Worm.Win32.Kido.jq   5446  
9   -2 Virus.Win32.Sality.z   5157  
10   New Virus.Win32.Induc.a   4476  
11   -2 Worm.Win32.Mabezat.b   3982  
12   -2 Net-Worm.Win32.Kido.ix   3579  
13   -1 Packed.Win32.Klone.bj   3579  
14   New Trojan.Win32.Swizzor.b   3327  
15   New Packed.Win32.Katusha.b   3139  
16   -2 Worm.Win32.AutoIt.i   3076  
17   1 not-a-virus:AdWare.Win32.Shopper.v   2947  
18   New Trojan-Dropper.Win32.Flystud.yo   2745  
19   -2 Email-Worm.Win32.Brontok.q   2706  
20   New P2P-Worm.Win32.Palevo.jaj   2664  

Unsere ständigen Spitzenreiter – Net-Worm.Win32.Kido.ih und Virus.Win32.Sality.aa – konnten auch im August ihre Positionen auf den Plätzen eins und zwei behaupten. Allerdings gab es im vergangenen Monat gleich sechs Neueinsteiger – darunter zwei durchaus interessante: Auf dem dritten Platz befindet sich der Neuling not-a-virus:AdWare.Win32.Boran.z., eine Komponente der in China verbreiteten Baidu Toolbar für den Internet Explorer. Hier kommen verschiedene Rootkit-Technologien zum Einsatz, die dem Anwender das Entfernen dieser Toolbar mit herkömmlichen Mitteln erschwert.

Besonders erwähnenswert ist auch Virus.Win32.Induc.a. Um sich zu verbreiten, nutzt dieser Virus eine zweistufige Erstellung von ausführbaren Dateien, die dann in einer Delphi-Umgebung umgesetzt werden: Der Quellcode der entwickelten Anwendungen wird zunächst in dcu-Modulen kompiliert, aus denen dann die ausführbaren Dateien erzeugt werden. Da in diesem Fall die meisten Programme bereits während der Kompilierung mit dem Virus infiziert wurden, konnte sich Virus.Win32.Induc.a. sofort auf dem 10. Platz einreihen.

Insgesamt betrachtet war die wichtigste Veränderung der Neueinstieg von Virus.Win32.Induc, der ein innovatives Verfahren zur Infizierung von Anwendercomputern mit sich bringt.

Davon abgesehen ist die Zusammensetzung der ersten Hitliste recht stabil, insbesondere im Vergleich zu unserer zweiten Top 20-Liste:

Position Positionveränderung Name Die Anzahl der infizierten Seiten
1   New not-a-virus:AdWare.Win32.Boran.z   16760  
2   1 Trojan-Downloader.HTML.IFrame.sz   5228  
3   New Trojan.JS.Redirector.l   4693  
4   -3 Trojan-Downloader.JS.Gumblar.a   4608  
5   New Trojan-Clicker.HTML.Agent.w   4564  
6   New Exploit.JS.DirektShow.k   4475  
7   0 Trojan-GameThief.Win32.Magania.biht   4416  
8   -4 Trojan-Downloader.JS.LuckySploit.q   3416  
9   -7 Trojan-Clicker.HTML.IFrame.kr   3323  
10   -4 Trojan-Downloader.JS.Major.c   2688  
11   New Exploit.JS.Sheat.c   2684  
12   New Trojan-Downloader.JS.FraudLoad.d   2553  
13   -4 Trojan-Clicker.HTML.IFrame.mq   2367  
14   -3 Trojan.JS.Agent.aat   2246  
15   -3 Exploit.JS.DirektShow.j   2128  
16   New Trojan-Downloader.JS.IstBar.bh   1973  
17   New Trojan-Downloader.JS.Iframe.bmu   1933  
18   New Exploit.JS.DirektShow.l   1838  
19   New Exploit.JS.DirektShow.q   1753  
20   New Trojan-Downloader.Win32.Agent.ckwd   1504  

Die zweiten Top 20 für den Monat August bestehen zu über 50 Prozent aus Schadcode-Neueinsteigern. Platz eins belegt der bereits oben erwähnte not-a-virus:AdWare.Win32.Boran.z.

Im vergangenen Monat berichteten wir bereits über eine Schwachstelle im Internet Explorer. Das dazugehörige Exploit wird von Kaspersky Lab als Exploit.JS.DirektShow identifiziert. Im Juli schafften es gleich drei Modifikationen dieses Exploits in unsere Hitliste, und zwar die Versionen .a, .j und .o. Im August entdeckte Kaspersky Lab sogar vier unterschiedliche Typen dieses Schädlings, und zwar: k., j., l. und q. Der Grund: Die Schwachstelle ist bei den Cyberkriminellen nach wie vor sehr populär. Vermutlich gehen die Online-Verbrecher davon aus, dass viele Anwender es bisher versäumt haben, den entsprechenden Patch zu installieren und versuchen daher weiterhin Systeme über dieses Leck anzugreifen.

Im Internet existieren zahlreiche Webseiten, über die gefälschte Antivirus-Programme verbreitet werden. Eines der Skripte, die hierfür missbraucht werden, wird von Kaspersky als Trojan-Downloader.JS.FraudLoad.d identifiziert und landete auf dem 12. Platz unserer zweiten Top-20-Liste. Besucht man eine Seite, auf der dieses Skript platziert ist, so erhält man eine Mitteilung darüber, dass der Computer angeblich mit einer Vielzahl von Schadprogrammen infiziert ist. Das Angebot für eine – gefälschte – Antivirus-Software lässt dann nicht mehr lange auf sich warten. Stimmt der Anwender diesem Angebot zu, wird das falsche Antiviren-Programm, und damit oft auch weiterer Schadcode, auf den Computer geladen.

Fazit: Wie bereits im Juli festgestellt, setzt sich die Tendenz fort, dass Online-Kriminelle nach wie vor sehr aktiv Schwachstellen in populären Software-Produkten attackieren. Auch gefälschte Antiviren-Programme und einfache iframe-Klicker sind in der Cyberszene nach wie vor sehr beliebt und verbreiten sich daher überaus dynamisch.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.