Neuer Betrugstrick: Cyberkriminelle verpacken ihre Malware

Kaspersky Lab präsentiert für den November seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security (Ab sofort fließen auch die Ergebnisse von Kaspersky Internet Security 2010 und Kaspersky Anti-Virus 2010 in die Wertung mit ein.). Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden:

Position Positionsänderung Name Die Anzahl der infizierten Computer
1   0 Net-Worm.Win32.Kido.ir   330305  
2   Neu Net-Worm.Win32.Kido.iq   174351  
3   -1 Net-Worm.Win32.Kido.ih   145332  
4   0 Virus.Win32.Sality.aa   128737  
5   0 Worm.Win32.FlyStudio.cu   93848  
6   -3 not-a-virus:AdWare.Win32.Boran.z   84825  
7   -1 Trojan-Downloader.Win32.VB.eql   63287  
8   9 Trojan-Downloader.WMA.GetCodec.s   48426  
9   1 Virus.Win32.Virut.ce   47812  
10   -3 Virus.Win32.Induc.a   46252  
11   -2 Worm.Win32.AutoRun.awkp   36453  
12   -4 Packed.Win32.Black.d   36422  
13   -2 Packed.Win32.Black.a   35094  
14   -1 Trojan-Dropper.Win32.Flystud.yo   34638  
15   -3 Worm.Win32.AutoRun.dui   32493  
16   -1 Packed.Win32.Klone.bj   31963  
17   1 Worm.Win32.Mabezat.b   29804  
18   Neu Packed.Win32.Krap.ag   26041  
19   Neu Trojan-GameThief.Win32.Magania.ckqi   25529  
20   Neu Trojan.Win32.Genome.bjgu   24730  

Insgesamt gab es in der ersten Hitliste im Vergleich zum Vormonat nur wenige Veränderungen, einige davon sind aber durchaus erwähnenswert.

So landete der Neueinsteiger Kido.iq direkt auf dem zweiten Platz. Dieses Schadprogramm funktioniert ähnlich wie der Erstplatzierte der vergangenen Monate, Kido.ir, der bereits im September den Sprung in die Hitliste schaffte.

Auch das Vorrücken des Multimedia-Downloaders GetCodec.s von Platz 17 auf acht ist überaus interessant, denn die Zahl der Computer, auf denen GetCodec entdeckt wurde, hat sich damit mehr als verdoppelt. GetCodec.s verbreitet sich in Verbindung mit dem Wurm P2P-Worm.Win32.Nugg, analog zu der Version GetCodec.r, über die Kaspersky Lab bereits im Dezember des vergangenen Jahres berichtet hat. Offensichtlich versuchen die Cyberkriminellen wieder einmal, den Wurm P2P-Worm.Win32.Nugg über das Filesharing-Netzwerk Gnutella (in diesem Fall über die populäre Anwendung LimeWire) zu verbreiten.

Ein weiterer erwähnenswerter Neuling ist Packed.Win32.Krap.ag, ein spezieller Packer von Schadprogrammen: Die Schädlinge sind gefälschte Antivirus-Programme, denen Kaspersky Lab kürzlich eine eigene Analyse gewidmet hat.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name Die Anzahl der infizierten Seiten
1   0 Trojan-Downloader.JS.Gumblar.x   1714509  
2   1 Trojan-Downloader.HTML.IFrame.sz   189881  
3   Neu Trojan-Clicker.JS.Iframe.be   170319  
4   0 not-a-virus:AdWare.Win32.Boran.z   136748  
5   0 Trojan.JS.Redirector.l   130271  
6   Neu Trojan.JS.Ramif.a   115163  
7   1 Trojan.JS.Agent.aat   55291  
8   -2 Trojan-Clicker.HTML.Agent.aq   47873  
9   Neu Trojan.HTML.Fraud.r   47473  
10   -8 Trojan-Downloader.JS.Gumblar.w   41977  
11   Neu Trojan.JS.Iframe.dy   35152  
12   -5 Trojan-Downloader.JS.Zapchast.m   31161  
13   Neu Trojan-Downloader.JS.IstBar.cy   30806  
14   Neu Trojan-Clicker.JS.Iframe.u   30553  
15   Wieder dabei Trojan-Downloader.JS.Psyme.gh   30078  
16   Neu Trojan-Downloader.HTML.FraudLoad.b   29466  
17   Neu Trojan-Clicker.HTML.IFrame.ajn   29455  
18   Neu Trojan.JS.PrygSkok.a   27804  
19   Neu Packed.Win32.Krap.ag   26770  
20   -5 Trojan-Downloader.JS.LuckySploit.q   26175  

Gumblar ist nach wie vor sehr aktiv. Er führt die zweite Hitliste der Internetschädlinge mit weitem Abstand an; die Anzahl der Versuche, dieses Schadprogramm auf Anwendercomputer zu laden, hat sich fast vervierfacht.

Gumblar-Attacken, über die wir schon vor einem Monat berichteten, haben sich im November fortgesetzt. Doch im Gegensatz zu dem Angriff vor einem halben Jahr wurden alle Angriffskomponenten im Laufe des Monats regelmäßig modifiziert.

Auch in unserer zweiten Hitliste tauchen gefälschte Antiviren-Programme auf. Sie werden unter anderem durch den Download von Webseiten auf Anwendercomputer verbreitet. Im November hat Kaspersky Lab die beliebtesten Webseiten, von denen gefälschte Antiviren-Software geladen wurde, als Trojan.HTML.Fraud.r und Trojan-Downloader.HTML.FraudLoad.b klassifiziert. Von diesen Seiten wurde unter anderem auch der bereits erwähnte Packed.Win32.Krap.ag auf die Anwendercomputer geladen, daher taucht dieser auch in der zweiten Hitliste auf.

Fazit

Das Bild des Monats November ist im Großen und Ganzen dasselbe wie in den Vormonaten. Aktuell werden die Schädlinge meist nach zwei Schemata verbreitet, und zwar:

  • „schädliches Skript + Exploit + ausführbare Datei“
  • „schädliches Skript + ausführbare Datei“

Auf diese Art wird Malware verbreitet, die vertrauliche Daten oder direkt Geld von den Anwendern stiehlt. Die besten Beispiele hierfür sind Trojan-PSW.Win32.Kates, dessen Download vor allem eine Gumblar-Attacke initiiert, oder Trojan-Spy.Win32.Zbot, ein weit verbreiteter Trojaner, der sich mittels Skript-Downloadern und verschiedenen Spam-Aktivitäten aktiv ausbreitet. Auch viele gefälschte Antiviren-Programme passen in dieses Verbreitungsschema.

Eine weitere Tendenz der vergangenen Monate, die sich auch im November fortgesetzt hat, ist die Verbreitung gefälschter Antiviren-Software unter Verwendung von Webseiten-Schablonen.

Die Cyberkriminellen haben im vergangenen Monat auch verstärkt (zumeist polymorphe) Packer eingesetzt, in der Hoffnung, ihre Schädlinge in gepackter Form vor Entdeckung zu schützen, ohne deren Funktionalität wesentlich verändern zu müssen.

Zum Schluss noch eine Grafik der Länder, in denen die meisten Versuche gestartet wurden, Anwender über das Web zu infizieren:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.