Top 20 der Schadprogramme – Juli 2011: Cyberkriminelle handeln mit Bonusmeilen und schaffen neuen Android-Spion

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten

  • 182.045.667 Netzattacken abgewehrt;
  • 75.604.730 Infizierungsversuche über das Web blockiert;
  • 221.278.929 lokale Infektionsversuche unschädlich gemacht;
  • 94.004.507 heuristische Vorfälle gezählt.

Im Vergleich zum Vormonat stellt sich die Situation folgendermaßen dar:


Anzahl der Detektionen verschiedener Kategorien. KSN-Daten

Google gegen die Domain-Zone co.cc

Eines der interessantesten Ereignisse des vergangenen Monats ist der Ausschluss von mehr als elf Millionen Adressen des Typs *.co.cc aus der Ergebnisliste des Suchsystems Google durch das Unternehmen selbst. Bei der ausgeblendeten Domain-Zone handelt es sich um eine der größten der Welt – nach den Zonen .com, .de und .net belegt sie Platz vier nach Anzahl der registrierten Namen.

Der Grund für den Ausschluss liegt darin, dass die meisten Domains mit diesen Adressen von Cyberkriminellen zur Verbreitung gefälschter Antiviren-Programme und Durchführung von Drive-by-Downloads genutzt werden. Die Zone .cc gehört zu den Kokosinseln und die Domain co.cc einem Privatunternehmen aus Südkorea. Die Popularität von co.cc unter Webgangstern basiert darauf, dass hier eine kostenlose beziehungsweise sehr günstige Registrierung von Domainnamen der dritten Ebene möglich ist.

Untersuchungen von Kaspersky Lab ergaben, dass die Cyberkriminellen nach dieser Maßnahme von Google die Domains auf “co.cc” tatsächlich seltener nutzten, allerdings begannen sie nun, die Dienste der Registratoren weiterer Zonen aktiver auszunutzen. Vor diesem Hintergrund ist der Nutzen der Google-Aktion schwer einzuschätzen. Sicherlich werden die Adressen der meisten schädlichen Webseiten nun nicht mehr vom Suchsystem auf der Ergebnisseite angezeigt, doch anstelle von .co.cc tauchen nun vergleichbare Domains auf, allerdings auf einem anderen Platz. Zudem sollte man die ehrlichen Domaininhaber nicht vergessen, die auch vom „Google-Bann“ betroffen sind.


Anzahl einzelner Anwender, die vor Attacken unter Verwendung
von Domainnamen in der Zone co.cc geschützt werden. KSN-Daten

ZeuS für Android

Im Juni wurde ein vierter Vertreter des Spionage-Trojaners ZitMo entdeckt – eine mobile Variante des berühmt-berüchtigten Trojaners ZeuS. Während wir es bisher mit Varianten von ZitMo zu tun hatten, die auf den Plattformen Symbian, Windows Mobile und BlackBerry laufen, so wurde ZitMo dieses Mal für Angriffe auf Android-Geräte modifiziert.

ZitMo (von Kaspersky Lab als Trojan-Spy.AndroidOS.Zbot dokumentiert) ist auf den Diebstahl von mTANs spezialisiert – Einweg-Passwörtern zur Durchführung von Transaktionen, die der Bankkunde per SMS erhält. Dieser Code gewährleistet Schutz der zweiten Ebene bei der Nutzung von Online-Banking-Diensten.

Der Schädling wird vom Anwender unwissentlich selbst auf dem Smartphone installiert – mit Unterstützung einer ZeuS-Backdoor auf dem PC, welche die Installation eines angeblichen Sicherheitsprogramms vorschlägt. Ist der Anwender-Computer mit ZeuS und sein Mobiltelefon mit ZitMo infiziert, so erhalten die Cyberkriminellen nicht nur Zugriff auf das Bankkonto des Anwenders, sondern sie sind auch in der Lage, das von der Bank geschickte Einweg-Passwort zur Durchführung von Transaktionen abzufangen. Daher sind die Anwender selbst mit der mTAN-Authentifizierung nicht vor Fremdzugriff auf ihr Bankkonto geschützt.

Mit der Entwicklung des Schutzes von Online-Banking-Systemen werden die Cyberkriminellen vermutlich den Spionage-Trojanern, die auf den Anwender-Computern ihr Unwesen treiben, immer häufiger mobile Module hinzufügen, um weiterhin erfolgreich Geld von den Bankkonten der Nutzer entwenden zu können. Die Nutzer sollten daher sehr vorsichtig mit den auf dem Smartphone zu installierenden Programmen sein. Dort kann sich nun ein wirklich gefährliches Biest einnisten.


Verteilung des Trojaners ZitMo nach mobilen Plattformen. KSN-Daten

Diebstahl von Bonusmeilen

Im vergangenen Monat deckten die Experten von Kaspersky Lab einen interessanten Fall auf: Brasilianische Phisher begannen, neben den üblichen Kontozugangsdaten auch Vielfliegermeilen zu stehlen. Dabei lösten die Betrüger die Meilen nicht nur ein, sondern nutzen sie auch als neues Zahlungsmittel. So bieten Cyberkriminelle in einer IRC-Mitteilung zum Beispiel den Zugriff auf ein Spam versendendes Botnetz für 60.000 Meilen zum Kauf an, oder sie tauschen „Miles“ gegen gestohlene Kreditkarten. Das deckt sich mit unserer Prognose für das Jahr 2011: „Steal everything“ – Webgangster nutzen jede Information aus und stehlen buchstäblich alles.

Datenleck im russischen Internetsegment

Im Juli registrierten wir das massivste Leck persönlicher Daten in der Geschichte des russischen Internets. Es begann damit, dass am 18. Juli im Cache des russischen Suchsystems Yandex Texte von 8.000 SMS auftauchten, die von Anwendern über die Webseite des Mobilanbieters „MegaFon“ versendet worden waren. Die Kurzmitteilungen waren für einige Stunden öffentlich zugänglich.

Der Grund für diesen Vorfall war ein falsch installiertes Modul des Dienstes Yandex.Metrika (http://metrika.yandex.ru/) auf der Webseite von „MegaFon“, das für das Zählen der Seitenbesuche und die Verhaltensanalyse der Nutzer eingesetzt wird. Dieses System gab Seiten mit Mitteilungen in die Indizierung der Suchmaschine aus.

Später ging eine unerfreuliche Nachricht durch die Presse: Auf eine entsprechend formulierte Suchanfrage erhielten die Nutzer von Google, Yandex und Mail.ru die vollständigen Informationen über die Abonnementen von Intim-Magazinen sowie die Daten der Käufer von Bahnfahrkarten, die eine bestimmte russische Profil-Webseite nutzen.

Dabei ist anzumerken, dass die Schuld in diesem Fall auch bei den Administratoren der Webseiten liegt, welche die für die Indizierung der Seiten zuständige Datei robots.txt nicht richtig konfigurierten.

Top 20 der Schadprogramme

Im Laufe vieler Monate blieben die Top 20 der auf den Anwender-Computern gefundenen Schadprogramme praktisch unverändert, während das Ranking der Internet-Schädlinge regelmäßig von neuen Vertretern durchmischt wird. Im Juli bestand diese Hitliste zum Beispiel zu 60 Prozent aus Neueinsteigern! Das hängt damit zusammen, dass Cyberkriminelle diese Schädlinge auf Internet-Servern regelmäßig aktualisieren. Die Top 20 der auf den Anwender-Computern gefundenen Schadprogramme setzen sich hingegen im Wesentlichen aus Würmern wie Kido und Viren, zum Beispiel Sality, zusammen. Solche Programme können lange auf einem infizierten Rechner überleben, wenn dieser nicht durch ein Antiviren-Programm geschützt ist. Dabei versuchen sie ständig, andere Computer über Netzpakete oder mobile Datenträger zu infizieren, was wiederum den Virenalarm auf den geschützten Rechnern auslöst.

Die Webgangster aktualisieren die Schadprogramme in den meisten Fällen sehr schnell. Aufgrund der Kurzlebigkeit jeder der Modifikationen sind diese schwer mithilfe von Signaturen zu entdecken und positionieren sich daher recht selten in den Top 20. Allerdings arbeitet die Antiviren-Industrie nicht ausschließlich mit signaturbasierten Erkennungsmethoden. Heuristische Methoden und Cloud-Technologien bekämpfen solche Bedrohungen mit Erfolg.

Drive-by-Downloads gehören nach wie vor zu den beliebtesten Methoden, um Schadprogramme auf die Opfercomputer zu befördern. Daher erscheinen allmonatlich neue Schädlinge in den Top 20 der Schadprogramme im Internet, mit denen derartige Angriffe durchgeführt werden: Redirectoren, Skript-Downloader und Exploits. Im Juli-Ranking sind elf Schädlinge dieser Art vertreten.

Top 20 der Schadprogramme im Internet

Position Positionsveränderung Name
1   0 AdWare.Win32.FunWeb.kd  
2   1 AdWare.Win32.FunWeb.jp  
3   1 Trojan.JS.Popupper.aw  
4   New Trojan-Downloader.JS.Agent.gcv  
5   1 Trojan.HTML.Iframe.dl  
6   2 Trojan.JS.Redirector.py  
7   6 Trojan-Downloader.JS.Agent.gay  
8   New Hoax.HTML.FraudLoad.a  
9   0 Trojan.JS.Redirector.qb  
10   New Trojan-Downloader.JS.Agent.gdy  
11   New Trojan-Downloader.Win32.Adload.ajek  
12   New Trojan-Downloader.JS.Iframe.chf  
13   New Hoax.HTML.BroUpdate.af  
14   New Exploit.JS.Pdfka.efl  
15   New Trojan-Downloader.JS.Agent.gdk  
16   New Exploit.JS.CVE-2010-4452.t  
17   3 Hoax.Win32.Screensaver.b  
18   New AdWare.Win32.Shopper.ds  
19   New AdWare.Win32.Gamevance.hfti  
20   New Trojan-Downloader.JS.Expack.as  

Top 20 der auf den Anwender-Computern entdeckten Schadprogramme

Position Positionsveränderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   0 AdWare.Win32.FunWeb.kd  
3   0 Virus.Win32.Sality.aa  
4   0 Net-Worm.Win32.Kido.ih  
5   0 Trojan.Win32.Starter.yy  
6   0 Virus.Win32.Sality.bh  
7   0 Virus.Win32.Sality.ag  
8   3 Virus.Win32.Nimnul.a  
9   0 HackTool.Win32.Kiser.il  
10   -2 Trojan-Downloader.Win32.Geral.cnh  
11   -1 AdWare.Win32.HotBar.dh  
12   0 Trojan-Downloader.Win32.FlyStudio.kx  
13   2 Worm.Win32.Mabezat.b  
14   New Trojan.Win32.AutoRun.bhs  
15   -1 Worm.Win32.FlyStudio.cu  
16   1 Hoax.Win32.Screensaver.b  
17   New Trojan-Dropper.VBS.Agent.bp  
18   -2 HackTool.Win32.Kiser.zv  
19   -1 Trojan-Downloader.Win32.VB.eql  
20   Return Exploit.Win32.CVE-2010-2568.d  

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.