Top 20 der Schadprogramme – Juni 2011

Im Laufe des Monats Juni wurden auf den Computern der Kaspersky-Produktanwender

  • 249.345.057 Netzattacken abgewehrt,
  • 68.894.639 Infektionsversuche über das Web blockiert,
  • 216.177.223 lokal infizierende Schadprogramme entdeckt und unschädlich gemacht,
  • 83.601.457 heuristische Verdikte gezählt.

Die wichtigsten Ereignisse des Monats

Der erste Sommermonat verlief relativ ruhig. Glücklicherweise gab es keine herausragenden Ereignisse und die cyberkriminelle Aktivität im Juni lässt sich als absolut klassisch bezeichnen: In den Entwicklungsländern nutzten die Kriminellen die mangelnde IT-Sicherheitskenntnis der Bevölkerung zur Verbreitung ihrer Machwerke aus. In den Industrieländern überwogen Schädlinge, die es auf Informationen und Geld abgesehen haben. In Brasilien wurden wie immer Bank-Trojaner verbreitet und in Russland traditionelle Schadprogramme in unterschiedlichen Betrugsschemata eingesetzt.

In letzter Zeit ist häufig die Rede von Cloud-Dienstleistungen, die von verschiedenen Unternehmen angeboten werden. Im Juni wurde der Amazon-Cloud-Service von Cyberkriminellen zur Platzierung und Verbreitung von Malware ausgenutzt. Diese richtet sich gegen brasilianische Anwender und stiehlt Kundendaten von neun Banken des Landes. Zur Verbesserung seiner Erfolgschancen behindert das Schadprogramm die korrekte Funktionsweise von Antiviren-Programmen und speziellen Plug-ins, die Online-Banking-Sicherheit gewährleisten. Zudem stiehlt der Schädling digitale Zertifikate und Benutzerkonten vom Microsoft Live Messenger.

Neben dem Einsatz von typischen gefälschten Archiven und Trojan-Blockern, die zum Entsperren des Computers den Versand einer SMS an eine Premium-Nummer fordern, versuchten russische Betrüger auch, Geld aus dem Nichts zu zaubern, und zwar mit Hilfe des virtuellen Geldsystems BitCoins. In diesem System kann virtuelle Währung durch Rechenleistung generiert werden. Die Experten von Kaspersky Lab entdeckten einen Schädling, der ohne das Wissen des Anwenders die Bitcoin-Datei „bcm.exe“ installiert und sie in der Registry für den Autostart speichert. Nach der Registry-Änderung beginnt der infizierte Computer, Bitcoins für den Entwickler des Trojaners zu generieren. Da die Bitcoin-Administration den Account des Cyberkriminellen, unter dem die Einnahmen verbucht wurden, umgehend blockiert hat, ist davon auszugehen, dass die Kriminellen nicht stark davon profitiert haben.

Die Plattform MacOS X bleibt ein beliebtes Ziel der Cyberkriminellen. Während im Mai gefälschte Antiviren-Lösungen für diese Plattform entdeckt wurden, verbreiten Betrüger nun die Backdoor Backdoor.OSX.Olyx.a. Dieses Schadprogramm ist in der Lage, den infizierten Computer aus der Ferne zu steuern. Cyberkriminelle können so das befallene System zu ihren Zwecken ausnutzen, etwa zum Download anderer Schädlinge, zum Starten von Programmen und zum Ausführen von Befehlen.

Im Juni erzielten die Strafverfolgungsbehörden verschiedener Länder einige Erfolge im Kampf gegen Cyberkriminalität, wobei diese zum Teil auf eine gelungene länderübergreifende Zusammenarbeit zurückzuführen sind. So wurde in den USA dem kriminellen Treiben zweier internationaler Gruppierungen, die Geld über den Verkauf gefälschter Antiviren-Programme abgriffen, ein Ende bereitet. Nach vorläufigen Schätzungen betrug der von ihnen verursachte Schaden 74 Millionen US-Dollar. Neben den amerikanischen Geheimdiensten waren an der Operation auch die Behörden folgender Länder beteiligt: Deutschland, Frankreich, Niederlande, Schweden, Großbritannien, Rumänien, Kanada, Ukraine, Litauen, Lettland und Zypern. In einigen südostasiatischen Ländern wurden etwa 600 Personen, die verschiedener Internet-Betrügereien verdächtigt werden, dingfest gemacht. In diese Aktion waren die entsprechenden Polizeiabteilungen von China, Taiwan, Kambodscha, Indonesien, Malaysia und Thailand involviert. Schließlich wurde in Russland Pavel Vrublevsky, der Inhaber des größten russischen Online-Zahlungsdienstes ChronoPay, verhaftet. Ihm wird vorgeworfen, DDoS-Attacken auf einen Konkurrenz-Service organisiert zu haben. Hinsichtlich des Kampfes gegen Cyberkriminalität auf gesetzesgeberischer Ebene ist noch ein weiteres Ereignis erwähnenswert: Im Juni hat das japanische Parlament eine Reihe von Änderungen bereits bestehender Gesetze, die Freiheitsentzug als Strafe für die Entwicklung und Verbreitung von Schadprogrammen vorsehen, angenommen.

Top 20 der Schadprogramme

Wie auch schon in den Vormonaten setzten sich die Top 20 der Schadprogramme im Internet auch im Juni wieder hauptsächlich aus Neueinsteigern zusammen. Dagegen hat sich die Hitliste der auf den Anwender-Computern gefundenen Schädlinge praktisch kaum geändert.

Schadprogramme im Internet

Die Top 20 der Schadprogramme im Internet bestehen nach wie vor im Wesentlichen aus Schädlingen, die für die Umsetzung von Drive-by-Downloads eingesetzt werden: Redirectors, Skript-Downloader und Exploits. Schadprogramme dieser Art belegen 14 der 20 Positionen des Rankings.

Redirectors

In den Top 20 waren vier Redirectors vertreten: Trojan-Downloader.JS.Agent.fzn (zwölfter Platz), Trojan-Downloader.JS.Agent.gay (13. Platz), Trojan-Downloader.JS.IFrame.cfw (14. Platz) und Trojan.JS.IFrame.tm (15. Platz).

Während die beiden letztgenannten Schädlinge primitiv sind und mit Hilfe des Tags „<iframe>” den Anwender lediglich auf eine Webseite der Cyberkriminellen umleiten, wenden die zwei erstgenannten eine viel raffiniertere Technik an. Sie infizieren nicht nur legale js-Dateien, sondern veranlassen auch noch den Download eines anderen JavaScript-Skripts. Das geschieht allerdings nur, wenn das Ereignis „mousemove” im Objekt „window” eintritt, also wenn der Mauszeiger innerhalb des aktiven Fensters bewegt wird. Diese Technik wird offensichtlich zur Umgehung einiger Sandboxes und Emulatoren eingesetzt.


Fragment eines mit Trojan-Downloader.JS.Agent.gay infizierten Skripts

Downloader

Im Ranking sind zwei Gruppen von Skript-Downloadern vertreten. Die erste besteht aus Trojan.JS.Redirector.pz (fünfter Platz), Trojan.JS.Redirector.qa (siebter Platz), Trojan.JS.Redirector.py (achter Platz) und Trojan.JS.Redirector.qb (neunter Platz). Die zweite setzt sich aus Trojan-Downloader.JS.Agent.gbj (elfter Platz) und Trojan-Downloader.JS.Agent.gaf (19. Platz) zusammen.

Alle diese Downloader verwenden zur Speicherung der Hauptdaten des Skripts HTML-Tags: die Skripte der ersten Gruppe verwenden das Feld „alt” des Tags „<img>”, die der zweiten den Tag „<div>”. Höchstwahrscheinlich wird diese Methode auch zur Umgehung verschiedener Emulatoren und Sandboxes eingesetzt, welche die Integration von JavaScript und HTML nicht ausreichend unterstützen. Für die Ausführung von Java-Exploits nutzen diese Downloader die Sicherheitslücken CVE-2010-4452 und CVE-2010-0886 aus. Für die Integration von PDF-Dokumenten in HTML-Seiten wird „iframe” benutzt, doch für den Download und Start der EXE-Datei werden alte Löcher in Microsoft-Software ausgenutzt, für die viele Nutzer allem Anschein nach noch keine Patches installiert haben: Adodb.Stream und MDAC.


Fragment des schädlichen Downloaders Trojan.JS.Redirector.qa

Exploits

Erwähnenswert ist die Platzierung des Exploits Trojan-Downloader.SWF.Small.dj (20. Platz) in SWF-Dateien. Seine Funktionalität besteht im vom Anwender unbemerkten Start einer anderen schädlichen SWF-Datei, die sich im selben Verzeichnis auf dem Server befindet.

Zwei Exploits in PDF-Dokumenten – Exploit.JS.Pdfka.dyi (16. Platz) und Exploit.JS.Pdfka.duj (17. Platz) – nutzen die Sicherheitslücke CVE-2010-1885 im TIFF-Format aus. Um die Analyse zu erschweren, verteilen die Cyberkriminellen in den PDF-Dateien den Code des Exploits auf mehrere Objekte. In einem Objekt befindet sich der Beginn des JavaScript-Skripts, in einem zweiten sein Endfragment und in einem dritten die Hauptdaten. Der Code ist mäßig verschleiert – alle Namen der Variablen sind willkürlich und ein Teil der Objekt- und Funktionsnamen werden während der Ausführung vergeben.


Fragment des verschleierten JavaScript-Skripts Exploit.JS.Pdfka.duj

Das letzte neue Exploit aus unseren Top 20 ist Exploit.HTML.CVE-2010-4452.bc (zehnter Platz). Es nutzt die simple Sicherheitslücke CVE-2010-4452 zum Download und Start eines Java-Exploits aus, indem es bestimmte Parameter eines Java-Applets über den Tag „<param>” weitergibt. Exploit.HTML.CVE-2010-4452.bc wurde von den Cyberkriminellen getarnt: Die meisten Symbole in den Tags „<param>” wurden durch die Reihenfolge „&#number” ersetzt, und in den restlichen Symbolen wurden die Register geändert.


Exploit Exploit.HTML.CVE-2010-4452.bc

Schadprogramme auf den Anwender-Computern

Wie bereits erwähnt, gab es im Ranking der auf den Anwender-Computern entdeckten Schädlinge kaum Veränderungen gegenüber dem Vormonat. Allerdings platzierte sich dort neben den üblichen Verdächtigen in den Top 20 auch ein recht ungewöhnlicher Vertreter, und zwar der Dateivirus Virus.Win32.Nimnul.a.

Nimnul-Infektor

Im Mai war dieser Schädling erstmals in den Top 20 vertreten. Innerhalb von zwei Monaten kletterte er von Position 20 auf Platz elf. Das ist überaus erstaunlich, zumal Datei-Infektoren praktisch vom Aussterben bedroht sind. Gegenwärtig bevorzugen Cyberkriminelle Schädlinge, die von polymorphen Packern geschützt sind, wodurch das gepackte Schadprogramm einmalig wird. Der Einsatz von Dateiviren ist einfach nicht mehr einträglich: Entwicklung und Pflege sind reichlich kompliziert, während es andererseits relativ einfach ist, sie im System aufzuspüren.

Der Virus Nimnul.a infiziert ausführbare Dateien, indem er ans Ende der Datei eine Sektion „.text” hinzufügt und den Austrittspunkt modifiziert. Nach dem Start sucht jede beliebige infizierte Datei nach dem einzigartigen Identifikator des Virus im Betriebssystem (Mutex). Die Anwesenheit des Objekts Mutex bedeutet, dass eine andere infizierte Datei bereits im System gestartet wurde. In diesem Fall startet der Virus nur die Original-Anwendung. Wird das gesuchte Mutex nicht gefunden, wird zunächst ein synchronisierendes Objekt erstellt und daraufhin die Hauptkomponente von Nimnul auf die Festplatte befördert. Diese Komponente schreibt noch einige schädliche Bibliotheken auf die Festplatte.

Der Schädling stiehlt persönliche Konfigurationsdateien gängiger Browser, verbindet sich mit einem entfernten Server und ist in der Lage, die Ausgabe von Webseiten auszutauschen.

Der Virus verbreitet sich über mobile Speichermedien mit Hilfe von autorun.inf und selbst infizierten Dateien. Das Verbreitungsgebiet dieses Virus ist recht interessant: Indien, Indonesien, Bangladesch und Vietnam. In diesen Ländern ist der prozentuale Anteil der Kaspersky-Security-Network-Teilnehmer, auf deren Computern schädliche Software gefunden wurde, am größten: Bangladesch (85,76 Prozent), Indien (65,27 Prozent), Indonesien (59,51 Prozent) und Vietnam (54,16 Prozent). Offensichtlich sind die Anwender in diesen Ländern um IT-Sicherheitsfragen recht unbesorgt und verwenden ungepatchte Windows-Versionen. Denn bereits am 8. Februar 2011 veröffentlichte Microsoft Updates, die den Autostart von Wechseldatenträgern deaktivieren.

Top 20 der Schadprogramme im Internet

Position Positionsänderung Name
1   2 AdWare.Win32.FunWeb.kd  
2   4 Trojan-Downloader.JS.Agent.fxq  
3   2 AdWare.Win32.FunWeb.jp  
4   -2 Trojan.JS.Popupper.aw  
5   New Trojan.JS.Redirector.pz  
6   5 Trojan.HTML.Iframe.dl  
7   New Trojan.JS.Redirector.qa  
8   New Trojan.JS.Redirector.py  
9   New Trojan.JS.Redirector.qb  
10   New Exploit.HTML.CVE-2010-4452.bc  
11   New Trojan-Downloader.JS.Agent.gbj  
12   New Trojan-Downloader.JS.Agent.fzn  
13   New Trojan-Downloader.JS.Agent.gay  
14   New Trojan-Downloader.JS.Iframe.cfw  
15   New Trojan.JS.Iframe.tm  
16   New Exploit.JS.Pdfka.dyi  
17   New Exploit.JS.Pdfka.duj  
18   New Trojan-Ransom.JS.SMSer.id  
19   New Trojan-Downloader.JS.Agent.gaf  
20   -1 Hoax.Win32.Screensaver.b  

Top 20 der auf Anwender-Computern entdeckten Schadprogramme

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   2 AdWare.Win32.FunWeb.kd  
3   -1 Virus.Win32.Sality.aa  
4   -1 Net-Worm.Win32.Kido.ih  
5   0 Trojan.Win32.Starter.yy  
6   0 Virus.Win32.Sality.bh  
7   1 Virus.Win32.Sality.ag  
8   -1 Trojan-Downloader.Win32.Geral.cnh  
9   0 HackTool.Win32.Kiser.il  
10   Return AdWare.Win32.HotBar.dh  
11   1 Virus.Win32.Nimnul.a  
12   -2 Trojan-Downloader.Win32.FlyStudio.kx  
13   5 Trojan.JS.Agent.bhr  
14   0 Worm.Win32.FlyStudio.cu  
15   1 Worm.Win32.Mabezat.b  
16   -3 HackTool.Win32.Kiser.zv  
17   0 Hoax.Win32.Screensaver.b  
18   1 Trojan-Downloader.Win32.VB.eql  
19   -4 Hoax.Win32.ArchSMS.pxm  
20   New Trojan-Downloader.SWF.Small.dj  

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.