Top 20 der Schadprogramme für Dezember 2008

Mit Hilfe des Kaspersky Security Network (KSN) hat Kaspersky Lab für Dezember 2008 zwei Top 20 der häufigsten Schädlinge errechnet. Die gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009.

In der ersten Tabelle sehen Sie die Spitzenreiter unter allen Schadprogrammen (inklusive Adware und potentiell gefährlicher Programme), die auf den Anwender-PCs entdeckt wurden.

Position Positionveränderung Name
1   0 Virus.Win32.Sality.aa  
2   0 Packed.Win32.Krap.b  
3   2 Trojan-Downloader.Win32.VB.eql  
4   0 Worm.Win32.AutoRun.dui  
5   New Trojan.HTML.Agent.ai  
6   -3 Trojan-Downloader.WMA.GetCodec.c  
7   10 Virus.Win32.Alman.b  
8   12 Trojan.Win32.AutoIt.ci  
9   -2 Packed.Win32.Black.a  
10   New Worm.Win32.AutoIt.ar  
11   3 Worm.Win32.Mabezat.b  
12   3 Worm.Win32.AutoRun.eee  
13   New Trojan-Downloader.JS.Agent.czm  
14   Return Trojan.Win32.Obfuscated.gen  
15   1 Email-Worm.Win32.Brontok.q  
16   -3 Virus.Win32.VB.bu  
17   -6 Trojan.Win32.Agent.abt  
18   -8 Trojan-Downloader.JS.IstBar.cx  
19   -1 Worm.VBS.Autorun.r  
20   New Trojan-Downloader.WMA.GetCodec.r  

Die Spitzenreiter vom November – Virus.Win32.Sality.aa und Packed.Win32.Krap.b – halten ihre Positionen. Die übrigen Programme des Ratings haben ihre Positionen nur geringfügig verändert. Dennoch können wir einige interessante Schädlinge herausfischen.

Die Neulinge des vergangenen Monats – die Würmer Mabezat.b und AutoRun.eee – erhöhten ihre Positionen im Dezember um jeweils drei Plätze. Das bedeutet, dass Verbreitung über Wechseldatenträger, aber auch über klassische Methoden wie öffentliche Netzressourcen, weiterhin steigt – ein Beweis für die Effektivität der Verbreitungsstrategie. Im Fall des Wurms Mabezat.b erfolgt auch noch die Infektion von Dateien. Mit ähnlichen Verbreitungsmethoden war bereits der Virus Sality.aa an die Spitze gedrängt, jetzt sammelt Mabezat.b auf diese Art Punkte.

Interessant ist der Sprung von Virus.Win32.Alman.b, der gleich 10 Positionen nach oben rutschte. Eine Funktion dieses Schadprogramms ist der Diebstahl von Passwörtern verschiedener Online Spiele. Berücksichtigt man dabei die Tatsache, dass die Aktivität der Gamer in den Wintermonaten erheblich ansteigt, kann man diesen Flug nach oben leicht erklären. Wir werden den Virus weiterhin beobachten – mal sehen, wie er sich in den ersten Monaten des neuen Jahres entwickelt.

Zwei weitere Neulinge – Trojan.HTML.Agent.ai und Trojan-Downloader.JS.Agent.czm – sind Skript-Downloader und nicht besonders interessant.

In der letzten Zeit verzeichnen wir einen hohen Prozentsatz Schadprogramme, die mit der Skriptsprache AutoIt erstellt werden. Diese Programmiersprache ist leicht zu erlernen, und die Programme sind einfach zu schreiben. Der krasse Aufstieg von Trojan.Win32.AutoIt.ci und das Erscheinen des Debütanten Worm.Win32.AutoIt.ar, der sich ähnlich wie die bereits erwähnten Würmer Mabezat.b und AutoRun.eee über Wechseldatenträger verbreiten, bestätigen diese Beobachtung.

Besonders hervorheben möchten wir zwei Vertreter der Familie Trojan-Downloader.WMA.GetCodec. Einer erschien bereits im November-Rating und landete sofort auf Platz 3, im Dezember verlor er einige Positionen. Das zweite Exemplar dieser Familie – Trojan-Downloader.WMA.GetCodec.r – ist ein ziemlich interessanter Fund. Während des Abspielens einer infizierten Multimedia-Datei wird eine traditionell als Codec getarnte Datei heruntergeladen: P2P-Worm.Win32.Nugg.w. Startet man diese Datei, werden aus dem Netz mehrere Archive heruntergeladen, die ausführbare und multimediale Dateien enthalten. Wie sich dann jedoch herausstellt, handelt es sich bei den ausführbaren Dateien um diverse Wurmversionen des P2P-Worm.Win32.Nugg, und die Multimedia-Dateien sind bereits mit verschiedenen Trojanern der Familie Trojan-Downloader.WMA.Getcodec infiziert. Der Wurm verändert die Bezeichnungen dieser Dateien in ‚keygen RELOADED.zip‘, ‚(hot remix).mp3‘ und andere interessant klingende Bezeichnungen und öffnet ihnen den Zugang zum Peer-to-Peer- Computernetzwerk Gnutella, wo nichts ahnende Anwender die infizierten Dateien herunterladen und eine Ketteninfektion initiieren. Folglich sollte man in Zukunft Multimedia-Dateien zunächst sehr misstrauisch betrachten und nicht jeder x-beliebiger Aufforderung der Art ‚Codec downloaden‘ folgen.

Alle Schadprogramme, die im ersten Rating vertreten sind, kann man in drei Gruppen einteilen: TrojWare (45%), VirWare (45%) und MalWare (10%). Im Vergleich zu den Vormonaten haben sich die prozentualen Anteile nur unbedeutend verändert. Die sich selbst verbreitenden Programme (VirWare) halten ein Ergebnis von 45%, was die Gefahr erhöht, dass ihr Bekannheitsgrad sowie ihre Anzahl weiterhin zunehmen. Der Anteil der TrojWare hat sich dem der VirWare angepasst.

Insgesamt wurden auf den Anwender-PCs im Dezember 38.190 Schadprogramme sowie potentiell gefährliche Programme registriert. Somit kann man insgesamt einen geringfügigen Rückgang der Gefahren ‚in-the-wild‘ verzeichnen: Es gab im Dezember 7.500 Schadprogramme weniger als noch im November mit 45.690 Schadprogrammen.

In der zweiten Tabelle des Ratings sind die Schadprogramme enthalten, die am häufigsten die Computer der Anwender infizierten – vor allem verschiedene Schadprogramme, die Dateien infizieren können.

Position Positionveränderung Name
1   1 Virus.Win32.Sality.aa  
2   -1 Worm.Win32.Mabezat.b  
3   1 Virus.Win32.Xorer.du  
4   New Trojan-Downloader.HTML.Agent.ml  
5   -2 Net-Worm.Win32.Nimda  
6   1 Virus.Win32.Alman.b  
7   -2 Virus.Win32.Parite.b  
8   -2 Virus.Win32.Virut.n  
9   -1 Virus.Win32.Sality.z  
10   1 Virus.Win32.Virut.q  
11   1 Virus.Win32.Parite.a  
12   -2 Email-Worm.Win32.Runouce.b  
13   1 Worm.Win32.Otwycal.g  
14   2 P2P-Worm.Win32.Bacteraloh.h  
15   3 Trojan.Win32.Obfuscated.gen  
16   New Worm.Win32.Fujack.cf  
17   0 Worm.VBS.Headtail.a  
18   -3 Virus.Win32.Hidrag.a  
19   -6 Worm.Win32.Fujack.k  
20   -11 Virus.Win32.Small.l  

Im Vergleich zum Vormonat blieb das zweite Rating ziemlich stabil.

Einer der Neulinge ist der Downloader Agent.ml. Er enthält einen schadbringenden iframe-Block, der an das Ende von Webseiten gesetzt wird. Somit wird beim Laden einer infizierten Seite auch ein schädliches Javascript geladen, das in diesem iframe enthalten ist.

Ebenfalls neu in der zweiten Tabelle ist im Dezember der Wurm Fujack.cf – eine spätere Version dieser Wurmfamilie. Bereits im Oktober erschien auf Platz 19 Fujack.bd, verschwand dann jedoch im November.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.