Neues Botnetz, Drive-by-Download-Attacken und PDFs als Einfallstore für Malware

Kaspersky Lab entdeckte im Februar 2011 über 67.000 schädliche Packer, die den Netzwerkwurm Palevo schützen sollen. Dieser war verantwortlich für den Aufbau des Mariposa-Botnetzes, das von der spanischen Polizei im Jahr 2010 zerschlagen wurde. Die aktive Ausbreitung des gepackten Wurms lässt darauf schließen, dass Cyberkriminelle versuchen, ein neues Botnetz aufzubauen beziehungsweise das alte wiederherzustellen. Der Packer verfügt über eine interessante Besonderheit: Er fügt der Datei, die gepackt wird, willkürlich eine Vielzahl von Programm-Zeilen hinzu.


Fragment des gepackten Wurms Palevo

Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im Februar 2011 wehrten die Kaspersky Heimanwender-Lösungen 228.649.852 Netzattacken ab, blockierten 70.465.949 Infizierungsversuche über das Web und machten insgesamt 252.187.961 Schadprogramme unschädlich. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme im Internet, zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Computer am häufigsten infiziert waren.

Mobile Bedrohungen weiterhin im Kommen

Im Februar wurden gleich mehrere neue Schädlinge für die mobile Plattform Android entdeckt, wovon einer – Trojan-Spy.AndroidOS.Adrd.a – wie eine Backdoor funktioniert und vor allem in China auftritt. Er verbindet sich mit einem entfernten Server und schickt ihm die Identifizierungsdaten des Mobiltelefons zu. Das Steuerungszentrum sendet im Gegenzug Informationen, die vom Schadprogramm verwendet werden, um Anfragen an das Telefon-Suchsystem im Hintergrund umzusetzen.

Der zweite Schädling, der im Februar Nutzer des Betriebssystems Android attackierte, nennt sich Trojan-Spy.AndroidOS.Geinimi.a. Es handelt sich hierbei um eine überarbeitete Version der Familie Adrd, die nicht nur in China, sondern auch in Spanien, Brasilien und Russland sowie in den USA entdeckt wurde.

Auch Schadprogramme für die Plattform J2ME (Java 2 Micro Edition) sind bei Cyberkriminellen beliebt. So schaffte es der Schädling Trojan-SMS.J2ME.Agent.cd im Februar sogar auf Platz 19 der Top-Internet-Schädlinge. Seine Hauptfunktion besteht im SMS-Versand an eine kostenpflichtige Premium-Nummer. Er verbreitet sich hauptsächlich mit Hilfe von Links in Spam-E-Mails und ICQ-Messengern. Das Hauptverbreitungsgebiet dieses Schädlings liegt in Russland und Spanien.


Die erste Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben:

Position Positionsänderung Name
1   New Trojan-Downloader.HTML.Agent.sl  
2   18 Trojan-Downloader.Java.OpenConnection.cx  
3   New Trojan-Downloader.Java.OpenConnection.dd  
4   New Exploit.HTML.CVE-2010-1885.ad  
5   -1 AdWare.Win32.FunWeb.gq  
6   -5 AdWare.Win32.HotBar.dh  
7   New Trojan.Java.Agent.ak  
8   New Exploit.JS.Pdfka.ddt  
9   New Trojan-Downloader.Java.OpenConnection.dc  
10   New Trojan.JS.Iframe.rg  
11   -2 Trojan-Downloader.Java.OpenConnection.cg  
12   -7 Trojan.HTML.Iframe.dl  
13   New Exploit.JS.StyleSheeter.b  
14   -1 Trojan.JS.Fraud.ba  
15   -8 Trojan-Clicker.JS.Agent.op  
16   -8 Trojan.JS.Popupper.aw  
17   -7 Trojan.JS.Agent.bhr  
18   New Trojan-SMS.J2ME.Agent.cd  
19   -New Trojan.JS.Agent.bte  
20   -6 Exploit.JS.Agent.bab  

Im Februar gab es verstärkt Drive-by-Download-Attacken, bei denen sich Anwender allein über das Aufrufen einer legalen Webseite infizieren. Dabei entdeckten die Experten von Kaspersky Lab eine Malware-Verbreitungsart, bei der Cyberkriminelle so genannte Cascading Style Sheets (CSS) zur Speicherung von Dateninformationen über Skript-Downloader einsetzen. Dies erschwert die Erkennung schädlicher Skripte für viele Antiviren-Lösungen erheblich. Diese Methode kommt heute in den meisten Drive-by-Downloads zum Einsatz. Cyberkriminelle schützen auf diese Weise ihre zu ladenden Exploits vor Entdeckung.

Im Zuge eines Drive-by-Downloads wird von einer infizierten Webseite – in der Regel mit Hilfe eines IFrames – eine automatische Weiterleitung auf eine Seite durchgeführt, die CSS und einen schädlichen Skript-Downloader enthält. In den Top 20 der Internet-Schädlinge für Februar sind gleich drei solcher Programme vertreten: Trojan-Downloader.HTML.Agent.sl (1. Platz), Exploit.JS.StyleSheeter.b (13. Platz) und Trojan.JS.Agent.bte (19. Platz). Die Skript-Downloader auf den infizierten Webseiten starten zwei Typen von Exploits. Einer davon nutzt die Sicherheitslücke CVE-2010-1885 aus und wird von Kaspersky Lab als Exploit.HTML.CVE-2010-1885.ad identifiziert (4. Platz). Dieser Exploit wurde täglich auf durchschnittlich 10.000 verschiedenen Computern entdeckt.


Detektierungsdynamik von Exploit.HTML.CVE-2010-1885.ad (Anzahl einzelner Anwender): Februar 2011

Sicherheitslücken in PDF-Dokumenten nach wie vor gefährlich

Die statistischen Daten des Kaspersky Security Networks zeigen, dass bei 58.000 Nutzern Sicherheitslücken in PDF-Dateien entdeckt wurden. Die Ausnutzung von Schwachstellen in PDF-Dateien ist aktuell eine der beliebtesten Methoden, um Schädlinge auf Computern zu platzieren. Eines dieser PDF-Exploits – Exploit.JS.Pdfka.ddt – belegte im Februar den 8. Platz im Rating der Top-Schadprogramme im Internet.

Im Folgenden ist die zweite Hitliste abgebildet, die die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) repräsentiert. Dabei bleibt ein alter Bekannter an der Spitze: der Netzwerkwurm Kido/Conficker.

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   6 HackTool.Win32.Kiser.zv  
4   -1 Net-Worm.Win32.Kido.ih  
5   2 Virus.Win32.Sality.bh  
6   -2 Hoax.Win32.Screensaver.b  
7   -2 AdWare.Win32.HotBar.dh  
8   0 Virus.Win32.Virut.ce  
9   -3 Trojan.JS.Agent.bhr  
10   1 HackTool.Win32.Kiser.il  
11   -1 Packed.Win32.Katusha.o  
12   0 Worm.Win32.FlyStudio.cu  
13   2 Trojan-Downloader.Win32.VB.eql  
14   2 Worm.Win32.Mabezat.b  
15   3 Packed.Win32.Klone.bq  
16   -2 Trojan-Downloader.Win32.Geral.cnh  
17   New Trojan.Win32.Starter.yy  
18   New AdWare.Win32.FunWeb.gq  
19   Returned Worm.Win32.Autoit.xl  
20   New Trojan-Downloader.HTML.Agent.sl  

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.