Online-Spieler weiterhin im Fadenkreuz der Cyberkriminellen

Kaspersky Lab präsentiert für den Dezember 2009 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden:

Position Positionsänderung Name Die Anzahl der infizierten Computer
1   0 Net-Worm.Win32.Kido.ir   265622  
2   0 Net-Worm.Win32.Kido.iq   211101  
3   0 Net-Worm.Win32.Kido.ih   145364  
4   0 Virus.Win32.Sality.aa   143166  
5   0 Worm.Win32.FlyStudio.cu   101743  
6   New not-a-virus:AdWare.Win32.GamezTar.a   63898  
7   -1 not-a-virus:AdWare.Win32.Boran.z   61156  
8   -1 Trojan-Downloader.Win32.VB.eql   61022  
9   -1 Trojan-Downloader.WMA.GetCodec.s   56364  
10   New Trojan.Win32.Swizzor.c   54811  
11   New Trojan-GameThief.Win32.Magania.cpct   42676  
12   -3 Virus.Win32.Virut.ce   45127  
13   -3 Virus.Win32.Induc.a   37132  
14   0 Trojan-Dropper.Win32.Flystud.yo   33614  
15   3 Packed.Win32.Krap.ag   31544  
16   -3 Packed.Win32.Black.a   31340  
17   0 Worm.Win32.Mabezat.b   31020  
18   -2 Packed.Win32.Klone.bj   28814  
19   -7 Packed.Win32.Black.d   28560  
20   -5 Worm.Win32.AutoRun.dui   28551  

In dieser Top-20-Liste gab es – wie so oft – kaum Veränderungen. Interessant ist aber das im November bereits aufgetauchte Programm Packed.Win32.Krap.ag, das im Dezember vom 18. auf den 15. Platz stieg. Hierbei handelt es sich um einen speziellen Packer von Schadprogrammen, die sich als gefälschte Antivirus-Programme entpuppen. Die von Kaspersky Lab entdeckten Krap-Schadprogramme dieser Art sind im Dezember ebenfalls weiter gestiegen. Dies zeigt, dass gefälschte Antivirus-Programme bei Cyberkriminellen nach wie vor sehr beliebt sind. Der Grund: Die Betrüger können diese Schadprogramme effektiv verbreiten und so große Gewinne erzielen.

Ein bemerkenswerter Neuling im Dezember ist das Werbeprogramm GamezTar.a, das sofort auf den sechsten Platz eingestiegen ist. Dieses Programm ist als Toolbar für populäre Browser getarnt, verspricht den schnellen Zugang zu Online-Spielen und bringt unerwünschte Werbebanner auf den Bildschirm. Zudem installiert es Anwendungen, die unabhängig vom Toolbar eigenständig arbeiten und Internetanwender zum Beispiel bei der Suche oder der Darstellung von Web-Inhalten beeinträchtigen. Diese Komponenten sind in der Regel mit dem EULA (End User License Agreement) GamezTar (http://www.gameztar.com/terms.do) verbunden. Da Internetnutzer allerdings eher auf den stärker auffallenden Button “click here, get free games” als auf den Schriftzug “terms of service” am unteren Rand des Bildschirms klicken, empfiehlt Kaspersky Lab, solche rechtlichen Hinweise immer zu lesen, sofern sie vorhanden sind.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name Die Anzahl der infizierten Seiten
1   0 Trojan-Downloader.JS.Gumblar.x   445881  
2   3 Trojan.JS.Redirector.l   178902  
3   New not-a-virus:AdWare.Win32.GamezTar.a   165678  
4   -2 Trojan-Downloader.HTML.IFrame.sz   134215  
5   New Trojan-Clicker.JS.Iframe.db   128093  
6   -2 not-a-virus:AdWare.Win32.Boran.z   109256  
7   New Trojan.JS.Iframe.ez   91737  
8   New Trojan.JS.Zapchast.bn   64756  
9   New Packed.JS.Agent.bn   60361  
10   New Packed.Win32.Krap.ai   43042  
11   8 Packed.Win32.Krap.ag   41731  
12   New Exploit.JS.Pdfka.asd   36044  
13   New Trojan.JS.Agent.axe   35309  
14   New Trojan-Downloader.JS.Shadraem.a   35187  
15   Return Trojan.JS.Popupper.f   33745  
16   New not-a-virus:AdWare.Win32.GamezTar.b   33266  
17   New Trojan-Downloader.JS.Twetti.a   30368  
18   New Trojan-Downloader.Win32.Lipler.iml   28634  
19   New Trojan-Downloader.JS.Kazmet.d   28374  
20   New Trojan.JS.Agent.axc   26198  

Im Gegensatz zur ersten Top-20-Liste gab es beim zweiten Ranking im Vergleich zum Vormonat zahlreiche Änderungen. Nur ein Viertel aller Schadprogramme konnte seinen Platz behaupten.

Auf Platz eins ist nach wie vor Gumblar.x. Allerdings werden die von Gumblar infizierten Webseiten von den Webmastern allmählich gesäubert. So entdeckte Kaspersky Lab im Dezember weniger Einzelversuche Gumblar zu installieren, nur ein Viertel im Vergleich zum November.

Das im ersten Ranking auftauchende Programm Krap.ag ist auch in der zweiten Rangliste aufgestiegen, und zwar um acht Plätze. Dabei gab es im Dezember anderthalb Mal mehr Versuche dieses Programm zu installieren als im Vormonat.

GamezTar.a taucht auch in der zweiten Rangliste auf. Das ist keine große Überraschung, wenn man dessen Fokussierung auf Online-Spiele berücksichtigt. Auf Platz 16 landete sogar eine weitere Modifikation dieses Schadprogramms – GamezTar.b.

Beim Neueinsteiger Trojan-Clicker.JS.Iframe.db (Platz 5) handelt es sich um ein Iframe-Installationsprogramm. Trojan.JS.Iframe.ez (neu auf Platz 7), Trojan.JS.Zapchast.bn (neu auf Platz 8), Packed.JS.Agent.bn (neu auf Platz 9), Trojan.JS.Agent.axe (neu auf Platz 13), Trojan-Downloader.JS.Shadraem.a (neu auf Platz 14) und Trojan-Downloader.JS.Kazmet.d (neu auf Platz 19) sind Skripte, die Schwachstellen in Adobe- und Microsoft-Anwendungen ausnutzen.

Interessant ist auch Trojan-Downloader.JS.Twetti.a auf Platz 17, mit dem eine Vielzahl offizieller Webseiten infiziert worden ist. Dabei sollte man vor allem den Funktions-Algorithmus dieses Installationsprogramms beachten: Nach der Entschlüsselung fanden sich in ihm weder ein Verweis auf eine auszuführende Hauptdatei noch Exploits oder Links auf Exploits! Bei der genaueren Analyse stellte sich dann heraus, dass das Skript die API-Schnittstelle des auch unter Cyberkriminellen populären sozialen Netzwerks Twitter verwendet.

Der Trojaner funktioniert demnach folgendermaßen: Zuerst wird eine Anfrage an die API-Schnittstelle gestellt, deren Ergebnis Daten zu so genannten „Trends“ sind – also den am meisten in Twitter veröffentlichten Themen. Anschließend wird aus den diesen Angaben ein scheinbar zufälliger Domain-Name gebildet und darauf verlinkt, natürlich wurde die Domain zuvor von den Cyberkriminellen registriert. Auf dieser Domain wird auch der Hauptteil des Schadcodes untergebracht, entweder über ein PDF-Exploit oder eine auszuführende Datei. So entstehen fast in Echtzeit schädliche Links über einen Mittelsmann, in diesem Fall über Twitter.

Das Fazit für den Dezember 2009 lautet: Die Angriffe werden immer ausgeklügelter und sind immer schwerer zu analysieren. Ihr Ziel ist es, über Betrug Gewinne zu erzielen. Virtuelle Bedrohungen stellen eine immer größere Gefahr dar, die sich für Internetanwender in Wirklichkeit als völlig real erweisen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.