News

„November Rain“: Es hagelt Drive-by-Downloads

Der November 2010 war geprägt von Drive-by-Download-Attacken. Das gefährliche dabei: Anwender infizieren ihre Computer beim bloßen Besuch einer seriösen, aber infizierten Webseite. Hier reicht es bereits, wenn ein Redirector-Skript von Cyberkriminellen platziert wurde. Eines der bekanntesten Beispiele der letzten Zeit ist Trojan-Downloader.JS.Pegel. Mit Hilfe eines Redirectors wird der Anwender auf den Skript-Downloader umgeleitet, der seinerseits Exploits ausführt. Die Exploits wiederum laden in der Regel eine ausführbare Schaddatei auf den Сomputer des Anwenders und starten diese – in den meisten Fällen handelt es sich dabei um eine Backdoor. Im November-Ranking sind zehn Exploits, drei Redirector-Versionen und ein Skript-Downloader, die alle bei Drive-by-Download-Attacken eingesetzt werden, vertreten.

Dies geht aus den Malware-Statistiken von Kaspersky Lab für November 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position Name
1   Trojan-Downloader.Java.OpenConnection.bu  
2   Trojan-Downloader.JS.Agent.frs  
3   Exploit.Java.CVE-2010-0886.a  
4   Trojan.HTML.Iframe.dl  
5   Trojan.JS.Agent.bhr  
6   Exploit.JS.Agent.bab  
7   Trojan.JS.Agent.bmx  
8   Trojan.HTML.Agent.di  
9   Trojan.JS.Iframe.pg  
10   Trojan.JS.Redirector.nz  
11   Trojan.JS.Popupper.aw  
12   Trojan-Downloader.Java.Agent.il  
13   AdWare.Win32.FunWeb.q  
14   Trojan-Downloader.Win32.Zlob.aces  
15   AdWare.Win32.FunWeb.ci  
16   Exploit.JS.CVE-2010-0806.b  
17   Exploit.JS.CVE-2010-0806.i  
18   Exploit.SWF.Agent.du  
19   Trojan.JS.Redirector.lc  
20   Trojan-Downloader.Java.Agent.hx  

Mit einem Redirector beginnt die Infizierungskette im Rahmen von Drive-by-Download-Attacken. Unter den Führungspositionen der im Internet gefundenen Schadprogramme befanden sich im November Trojan.HTML.IFrame.dl (4. Platz), Trojan.JS.IFrame.pg (9. Platz), Trojan.JS.Redirector.lc (19. Platz) sowie außerhalb der Top 20 Trojan.JS.Redirector.np (25. Platz) und Trojan-Downloader.JS.Iframe.bzn (29. Platz).

Den zweiten Platz im Rating der im Internet entdeckten schädlichen Objekte belegte der Skript-Downloader Trojan-Downloader.JS.Agent.frs, auf den Anwender beim Besuch einer Seite mit integriertem Redirector weitergeleitet wurden. So wird mit Hilfe von Exploits, die Sicherheitslücken in Java, PDF oder JavaScript ausnutzen, versucht, gefährliche Backdoors wie Backdoor.Win32.Shiz und Backdoor.Win32.Blakken (Black Energy 2) zu laden und auszuführen. Dem größten Infizierungsrisiko mit Trojan-Downloader.JS.Agent.frs waren Anwender in Russland, den USA, Frankreich und Großbritannien ausgesetzt.

Neuer Trend: Java-Downloader und -Exploits

Die Verbreitung von Schadprogrammen, die in der Multiplattform-Programmiersprache Java geschrieben sind, nimmt zunehmend an Fahrt auf. Waren solche Schädlinge vor einem Jahr praktisch gar nicht existent, steigt ihre Zahl derzeit stark an. Innerhalb der vergangenen zwei Monate hat auch die Zahl der Schädlinge aus der Familie Trojan-Downloader.Java.OpenConnection entscheidend zugenommen. Diese Programme erfüllen im Rahmen von Drive-by-Attacken die gleiche Funktion wie Exploits, nur dass zum Download von Malware aus dem Internet auf den Anwendercomputer keine Sicherheitslücken ausgenutzt werden, sondern die „OpenConnection“-Methode verwendet wird.

Dieser Trend zeigt sich auch in unseren Top 20. Denn die Spitzenposition im November belegte mit großem Abstand zu den folgenden Plätzen der Schädling Trojan-Downloader.Java.OpenConnection.bu. Zwei weitere Programme, die „OpenConnection“ verwenden, identifizierte Kaspersky Lab auf den Positionen 21 und 26. Die Verteilung von Downloadern in Java nach Ländern ist analog zu der entsprechenden Verteilung von Trojan-Downloader.JS.Agent.frs. Das zeigt, dass die Kriminellen Java-Downloader und Skript-Downloader bei Drive-by-Attacken zusammen einsetzen.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Name
1   Net-Worm.Win32.Kido.ir  
2   Net-Worm.Win32.Kido.ih  
3   Virus.Win32.Sality.aa  
4   Trojan.JS.Agent.bhr  
5   Virus.Win32.Virut.ce  
6   Worm.Win32.FlyStudio.cu  
7   Virus.Win32.Sality.bh  
8   Packed.Win32.Katusha.o  
9   Exploit.JS.Agent.bab  
10   Worm.Win32.Autoit.xl  
11   Trojan-Downloader.Win32.VB.eql  
12   Exploit.Win32.CVE-2010-2568.b  
13   Exploit.Win32.CVE-2010-2568.d  
14   Trojan-Downloader.Win32.Geral.cnh  
15   Worm.Win32.Mabezat.b  
16   Packed.Win32.Klone.bq  
17   Trojan.JS.Agent.bmx  
18   AdWare.Win32.FunWeb.gq  
19   Worm.Win32.VBNA.b  
20   Trojan-Dropper.Win32.Flystud.yo  

Malware-Programme wie Virus.Win32.Sality.aa (3. Platz), Virus.Win32.Sality.bh (7. Platz) und Virus.Win32.Virut.ce (5. Platz) belegten Spitzenpositionen in unserer zweiten Top-20-Tabelle. Eines ihrer besonderen Merkmale besteht darin, dass sie in der Lage sind, ausführbare Dateien zu infizieren, wodurch sie noch effizienter werden.

In den zweiten Top 20 sind auch Schädlinge vertreten, die bereits abgedichtete Sicherheitslücken ausnutzen. In erster Linie ist hier Kido zu nennen, der die ersten zwei Plätze belegt. Exploits, die die Sicherheitslücke CVE-2010-2568 in Shortcuts ausnutzen, sind ebenfalls noch aktuell (Platz 12 und 13). Sie finden vermehrt Anwendung bei der Verbreitung von Stuxnet und anderen schädlichen Programmen. Kaspersky Lab rät Internetanwendern daher, umgehend alle verfügbaren Updates des Betriebssystems und der auf dem Rechner laufenden Programme zu installieren.

Die komplette Version des Malware-Reports für November von Kaspersky Lab ist in englischer Sprache abrufbar unter: www.securelist.com/en/analysis.

„November Rain“: Es hagelt Drive-by-Downloads

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach