Stürmischer Jahresbeginn: Über zweihundert Millionen Internetattacken

Kaspersky Lab identifizierte im ersten Monat des Jahres weltweit 213.915.256 Attacken auf Internetnutzer. Im Januar machten zudem ein SMS-Trojaner und ein E-Mail-Wurm, mit dem ein Botnetz aufgebaut werden soll, auf sich aufmerksam. Zwar sind sie noch nicht in den vordersten Rängen der Top-20-Listen zu finden. Allerdings lassen diese beiden Schadprogramme sehr gut erahnen, was uns in nächster Zeit an IT-Bedrohungen erwartet.

Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Neuer E-Mail-Wurm, neues Botnetz

Im Januar erschien ein neuer E-Mail-Wurm, Email-Worm.Win32.Hlux, der über elektronische Glückwunschkarten verbreitet wurde. Er taucht zwar (noch) nicht in unseren Top 20 auf, ist aber sehr gefährlich und komplex. Die infizierten E-Mails enthalten einen Link auf eine Internetseite mit der Aufforderung, den Flash Player „zur korrekten Darstellung der E-Card“ zu installieren. Klicken die Anwender auf den Link, öffnet sich ein Dialogfenster mit der Frage, ob man mit dem Download der Datei einverstanden ist. Das Hinterlistige dabei: Unabhängig von der Antwort des Nutzers versucht der Wurm auf den Computer zu gelangen. Denn fünf Sekunden, nachdem sich das Dialogfenster geöffnet hat, führt ein Redirect auf eine Seite mit einer Exploit-Sammlung und Programmen der Familie Trojan-Downloader.Java.OpenConnection, die dann das Programm Hlux auf den Computer laden. Der Wurm verfügt neben der Selbstverbreitung via E-Mail auch über Botfunktionen. Infizierte Rechner sind somit Bestandteil eines Botnetzes. Hlux verbindet sich dann mit dem Steuerungszentrum des Botnetzes und führt dessen Befehle aus – in den meisten Fällen den Versand von pharmazeutischem Spam.

Neuer SMS-Trojaner als illegale Einnahmequelle

Im Januar haben Cyberkriminelle erneut Smartphone-Nutzer attackiert. Der neue Trojaner Trojan-SMS.J2ME.Smmer.f (http://www.youtube.com/watch?v=9DY8Sq6oHdA&feature=related)
wurde dabei auf eine für mobile Java-Schädlinge typische Art verbreitet: per SMS-Nachrichten, die einen Link auf „eine virtuelle Postkarte“ enthielten. Nach der Installation des Trojaners auf dem Mobiltelefon sendet er eine SMS an zwei verschiedene Premium-Nummern. Zwar ist der Versand der SMS an diese Nummern gratis, dennoch verdienen Cyberkriminelle damit Geld. Denn beide Nummern werden zur Geldüberweisung verwendet. In der ersten Mitteilung, die von dem Trojaner verschickt wird, steht die Summe, die vom Konto des Besitzers des infizierten Telefons abgebucht wird (200 Rubel, etwa 5 Euro) sowie die Nummer, die von den Betrügern genutzt wird, um an das Geld zu kommen. Die zweite SMS wird zur Bestätigung der Überweisung verschickt. Der Trojaner ist zwar nicht in unseren Top-20-Listen, zeigt aber, dass mobile Anwender immer mehr im Fokus der Cybercrime-Szene stehen.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position Positionsänderung Name
1   0 AdWare.Win32.HotBar.dh  
2   0 Trojan-Downloader.Java.OpenConnection.cf  
3   New Exploit.HTML.CVE-2010-1885.aa  
4   New AdWare.Win32.FunWeb.gq  
5   -2 Trojan.HTML.Iframe.dl  
6   New Trojan.JS.Redirector.os  
7   7 Trojan-Clicker.JS.Agent.op  
8   -4 Trojan.JS.Popupper.aw  
9   New Trojan-Downloader.Java.OpenConnection.cg  
10   2 Trojan.JS.Agent.bhr  
11   New Hoax.Win32.ArchSMS.mvr  
12   New AdWare.Win32.WhiteSmoke.a  
13   5 Trojan.JS.Fraud.ba  
14   -4 Exploit.JS.Agent.bab  
15   -7 Trojan.JS.Redirector.lc  
16   -8 Exploit.Java.CVE-2010-0886.a  
17   New Hoax.HTML.Fraud.e  
18   New Trojan-Clicker.JS.Agent.om  
19   -6 Trojan-Downloader.JS.Small.os  
20   New Trojan-Downloader.Java.OpenConnection.cx  

Im Januar kursierten Tools im Internet, die eine Nutzung von Kaspersky-Produkten ohne Aktivierung ermöglichten. Zwei Vertreter dieser Familie schafften es sogar in unsere Top-20-Liste, und zwar auf Platz 9 (HackTool.Win32.Kiser.zv) und 11 (HackTool.Win32.Kiser.il).

Sicherheitslücken

Im Januar hatten es die Cyberkriminellen wieder einmal auf Programm-Schwachstellen abgesehen. In unserem ersten Rating war auf Platz 20 das Exploit Exploit.JS.Agent.bbk vertreten, das die Sicherheitslücke CVE-2010-0806 ausnutzt. Auch wenn diese Sicherheitslücke bereits Ende März 2010 geschlossen wurde, wird sie von einigen Schädlingen aus den aktuellen Top 20 ausgenutzt (6. und 13. Platz). Das bedeutet, dass diese Sicherheitslücke auf zahlreichen Computern noch nicht gestopft wurde und sie immer noch von Cyberkriminellen ausgenutzt wird.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   1 Virus.Win32.Sality.aa  
3   -1 Net-Worm.Win32.Kido.ih  
4   New Hoax.Win32.Screensaver.b  
5   0 AdWare.Win32.HotBar.dh  
6   -2 Trojan.JS.Agent.bhr  
7   -1 Virus.Win32.Sality.bh  
8   -1 Virus.Win32.Virut.ce  
9   New HackTool.Win32.Kiser.zv  
10   -2 Packed.Win32.Katusha.o  
11   New HackTool.Win32.Kiser.il  
12   -2 Worm.Win32.FlyStudio.cu  
13   -1 Exploit.JS.Agent.bab  
14   -1 Trojan-Downloader.Win32.Geral.cnh  
15   -1 Trojan-Downloader.Win32.VB.eql  
16   0 Worm.Win32.Mabezat.b  
17   New Hoax.Win32.ArchSMS.mvr  
18   -1 Packed.Win32.Klone.bq  
19   Returned Worm.Win32.Autoit.xl  
20   New Exploit.JS.Agent.bbk  

Im Januar wurden im russischen Teil des Internets Webseiten gefunden, auf denen Anwendern ein „Update des Internet Explorers“ angeboten wurde, und zwar für umgerechnet sieben statt 50 Euro. Zunächst musste das nötige Update ausgewählt werden, woraufhin dessen Installation auf dem Bildschirm imitiert wurde. Dann erschien die Aufforderung, die „bereits installierte Software“ durch den Versand einer SMS an eine Premium-Nummer zu aktivieren. Hatte der Nutzer die kostenpflichtige SMS abgeschickt, so erhielt er einen Link auf alle kostenlos verfügbaren Setup-Assistenten für den Internet Explorer 8. Betrügerische Webseiten dieser Art werden als Hoax.HTML.Fraud.e in unserer Datenbank geführt. Im Januar belegten sie Platz 17 der Top 20 der Schadprogramme im Internet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.