„November Rain“: Es hagelt Drive-by-Downloads

Der November 2010 war geprägt von Drive-by-Download-Attacken. Das gefährliche dabei: Anwender infizieren ihre Computer beim bloßen Besuch einer seriösen, aber infizierten Webseite. Hier reicht es bereits, wenn ein Redirector-Skript von Cyberkriminellen platziert wurde. Eines der bekanntesten Beispiele der letzten Zeit ist Trojan-Downloader.JS.Pegel. Mit Hilfe eines Redirectors wird der Anwender auf den Skript-Downloader umgeleitet, der seinerseits Exploits ausführt. Die Exploits wiederum laden in der Regel eine ausführbare Schaddatei auf den Сomputer des Anwenders und starten diese – in den meisten Fällen handelt es sich dabei um eine Backdoor. Im November-Ranking sind zehn Exploits, drei Redirector-Versionen und ein Skript-Downloader, die alle bei Drive-by-Download-Attacken eingesetzt werden, vertreten.

Dies geht aus den Malware-Statistiken von Kaspersky Lab für November 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position Name
1   Trojan-Downloader.Java.OpenConnection.bu  
2   Trojan-Downloader.JS.Agent.frs  
3   Exploit.Java.CVE-2010-0886.a  
4   Trojan.HTML.Iframe.dl  
5   Trojan.JS.Agent.bhr  
6   Exploit.JS.Agent.bab  
7   Trojan.JS.Agent.bmx  
8   Trojan.HTML.Agent.di  
9   Trojan.JS.Iframe.pg  
10   Trojan.JS.Redirector.nz  
11   Trojan.JS.Popupper.aw  
12   Trojan-Downloader.Java.Agent.il  
13   AdWare.Win32.FunWeb.q  
14   Trojan-Downloader.Win32.Zlob.aces  
15   AdWare.Win32.FunWeb.ci  
16   Exploit.JS.CVE-2010-0806.b  
17   Exploit.JS.CVE-2010-0806.i  
18   Exploit.SWF.Agent.du  
19   Trojan.JS.Redirector.lc  
20   Trojan-Downloader.Java.Agent.hx  

Mit einem Redirector beginnt die Infizierungskette im Rahmen von Drive-by-Download-Attacken. Unter den Führungspositionen der im Internet gefundenen Schadprogramme befanden sich im November Trojan.HTML.IFrame.dl (4. Platz), Trojan.JS.IFrame.pg (9. Platz), Trojan.JS.Redirector.lc (19. Platz) sowie außerhalb der Top 20 Trojan.JS.Redirector.np (25. Platz) und Trojan-Downloader.JS.Iframe.bzn (29. Platz).

Den zweiten Platz im Rating der im Internet entdeckten schädlichen Objekte belegte der Skript-Downloader Trojan-Downloader.JS.Agent.frs, auf den Anwender beim Besuch einer Seite mit integriertem Redirector weitergeleitet wurden. So wird mit Hilfe von Exploits, die Sicherheitslücken in Java, PDF oder JavaScript ausnutzen, versucht, gefährliche Backdoors wie Backdoor.Win32.Shiz und Backdoor.Win32.Blakken (Black Energy 2) zu laden und auszuführen. Dem größten Infizierungsrisiko mit Trojan-Downloader.JS.Agent.frs waren Anwender in Russland, den USA, Frankreich und Großbritannien ausgesetzt.

Neuer Trend: Java-Downloader und -Exploits

Die Verbreitung von Schadprogrammen, die in der Multiplattform-Programmiersprache Java geschrieben sind, nimmt zunehmend an Fahrt auf. Waren solche Schädlinge vor einem Jahr praktisch gar nicht existent, steigt ihre Zahl derzeit stark an. Innerhalb der vergangenen zwei Monate hat auch die Zahl der Schädlinge aus der Familie Trojan-Downloader.Java.OpenConnection entscheidend zugenommen. Diese Programme erfüllen im Rahmen von Drive-by-Attacken die gleiche Funktion wie Exploits, nur dass zum Download von Malware aus dem Internet auf den Anwendercomputer keine Sicherheitslücken ausgenutzt werden, sondern die „OpenConnection“-Methode verwendet wird.

Dieser Trend zeigt sich auch in unseren Top 20. Denn die Spitzenposition im November belegte mit großem Abstand zu den folgenden Plätzen der Schädling Trojan-Downloader.Java.OpenConnection.bu. Zwei weitere Programme, die „OpenConnection“ verwenden, identifizierte Kaspersky Lab auf den Positionen 21 und 26. Die Verteilung von Downloadern in Java nach Ländern ist analog zu der entsprechenden Verteilung von Trojan-Downloader.JS.Agent.frs. Das zeigt, dass die Kriminellen Java-Downloader und Skript-Downloader bei Drive-by-Attacken zusammen einsetzen.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Name
1   Net-Worm.Win32.Kido.ir  
2   Net-Worm.Win32.Kido.ih  
3   Virus.Win32.Sality.aa  
4   Trojan.JS.Agent.bhr  
5   Virus.Win32.Virut.ce  
6   Worm.Win32.FlyStudio.cu  
7   Virus.Win32.Sality.bh  
8   Packed.Win32.Katusha.o  
9   Exploit.JS.Agent.bab  
10   Worm.Win32.Autoit.xl  
11   Trojan-Downloader.Win32.VB.eql  
12   Exploit.Win32.CVE-2010-2568.b  
13   Exploit.Win32.CVE-2010-2568.d  
14   Trojan-Downloader.Win32.Geral.cnh  
15   Worm.Win32.Mabezat.b  
16   Packed.Win32.Klone.bq  
17   Trojan.JS.Agent.bmx  
18   AdWare.Win32.FunWeb.gq  
19   Worm.Win32.VBNA.b  
20   Trojan-Dropper.Win32.Flystud.yo  

Malware-Programme wie Virus.Win32.Sality.aa (3. Platz), Virus.Win32.Sality.bh (7. Platz) und Virus.Win32.Virut.ce (5. Platz) belegten Spitzenpositionen in unserer zweiten Top-20-Tabelle. Eines ihrer besonderen Merkmale besteht darin, dass sie in der Lage sind, ausführbare Dateien zu infizieren, wodurch sie noch effizienter werden.

In den zweiten Top 20 sind auch Schädlinge vertreten, die bereits abgedichtete Sicherheitslücken ausnutzen. In erster Linie ist hier Kido zu nennen, der die ersten zwei Plätze belegt. Exploits, die die Sicherheitslücke CVE-2010-2568 in Shortcuts ausnutzen, sind ebenfalls noch aktuell (Platz 12 und 13). Sie finden vermehrt Anwendung bei der Verbreitung von Stuxnet und anderen schädlichen Programmen. Kaspersky Lab rät Internetanwendern daher, umgehend alle verfügbaren Updates des Betriebssystems und der auf dem Rechner laufenden Programme zu installieren.

Die komplette Version des Malware-Reports für November von Kaspersky Lab ist in englischer Sprache abrufbar unter: www.securelist.com/en/analysis.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.