Virus verbreitet sich über Shortcuts in Windows

Kaspersky Lab warnt vor dem Zusammenwirken zweier Schadprogramme. Der Viren-Dropper Trojan-Dropper.Win32.Sality.cx installiert auf einem infizierten Computer das Schadprogramm Virus.Win32.Sality.bh. Dabei nutzt der Dropper zu seiner Ausbreitung die Sicherheitslücke in WinLNK-Dateien (Shortcuts) aus. Das zeigen die Kaspersky Lab Top 20 der Schadprogramme für September 2010. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position Positionsänderung Name
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   0 Net-Worm.Win32.Kido.ih  
4   1 Trojan.JS.Agent.bhr  
5   1 Exploit.JS.Agent.bab  
6   1 Worm.Win32.FlyStudio.cu  
7   1 Virus.Win32.Virut.ce  
8   -4 Net-Worm.Win32.Kido.iq  
9   0 Exploit.Win32.CVE-2010-2568.d  
10   0 Trojan-Downloader.Win32.VB.eql  
11   new Virus.Win32.Sality.bh  
12   0 Exploit.Win32.CVE-2010-2568.b  
13   return Worm.Win32.Autoit.xl  
14   -1 Worm.Win32.Mabezat.b  
15   new Packed.Win32.Katusha.o  
16   new Trojan-Dropper.Win32.Sality.cx  
17   -3 Worm.Win32.VBNA.b  
18   new P2P-Worm.Win32.Palevo.avag  
19   -4 AdWare.WinLNK.Agent.a  
20   return Trojan-Downloader.Win32.Geral.cnh  

Im September sind vier neue Vertreter in die Top 20 eingezogen. Zwei Schädlinge aus der Hitliste sind uns aus früheren Monatsberichten bekannt.

Auf den ersten zehn Positionen des Rankings gab es keine erwähnenswerten Veränderungen, mit Ausnahme der Modifikation „iq“ des Wurms Kido, die vom vierten auf den achten Platz abrutschte.

Die beiden Exploits Exploit.Win32.CVE-2010-2568.d (Platz 9) und Exploit.Win32.CVE-2010-2568.b (Platz 12), die die Sicherheitslücke CVE-2010-2568 in den Shortcuts bei Windows-Betriebssystemen ausnutzen, konnten ihre Positionen behaupten. Allerdings wird der Exploit nun von einem anderen Schadprogramm aktiv ausgenutzt: Sality.cx. Hinsichtlich seiner Struktur unterscheidet es sich nicht von der Modifikation „r”, allerdings installiert „cx“ auf einem infizierten Computer die neue Modifikation des Virus Sality.bh (Platz 11) und nicht wie noch im August den Virus.Win32.Sality.ag. So wird mit Hilfe eines Exploits für die Sicherheitslücke CVE-2010-2568 ein neuer Vertreter aus der Familie des polymorphen Virus Sality verbreitet.

Im September trat ein neuer Schädling aus der Kategorie der bösartigen Packer in Erscheinung, und zwar Packed.Win32.Katusha.o (Platz 15). In den letzten Rankings tauchten bereits andere Vertreter der Familie Katusha auf, doch die Entwickler arbeiten intensiv an neuen Modifikationen des Packers, um so der Entdeckung durch Antiviren-Software zu entgehen. Ein weiterer Packer – Worm.Win32.VBNA.b (Platz 17) – ist im Rating ein wenig abgerutscht, konnte sich aber dennoch in den Top 20 halten.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position Positionsänderung Name
1   1 Exploit.JS.Agent.bab  
2   -1 Trojan-Downloader.Java.Agent.ft  
3   14 Exploit.HTML.CVE-2010-1885.d  
4   3 AdWare.Win32.FunWeb.di  
5   0 AdWare.Win32.FunWeb.ds  
6   -2 Trojan.JS.Agent.bhr  
7   new Exploit.SWF.Agent.du  
8   3 Trojan-Downloader.VBS.Agent.zs  
9   new AdWare.Win32.FunWeb.ge  
10   9 AdWare.Win32.FunWeb.fb  
11   -1 Exploit.Java.CVE-2010-0886.a  
12   new Trojan-Downloader.Java.Agent.gr  
13   -5 AdWare.Win32.FunWeb.q  
14   2 Exploit.JS.Pdfka.cop  
15   3 Exploit.JS.CVE-2010-0806.b  
16   -2 AdWare.Win32.FunWeb.ci  
17   new Trojan-Downloader.Java.OpenStream.ap  
18   return AdWare.Win32.Boran.z  
19   new Trojan-Clicker.HTML.IFrame.fh  
20   new Exploit.Win32.Pidief.ddd  

Die zweite Hitliste unterscheidet sich im September stark von den Statistiken der vergangenen Monate. Insgesamt gibt es hier nur sechs Neueinsteiger, normalerweise sind es wesentlich mehr.

Werfen wir zunächst einen Blick auf die sieben Exploits im Ranking. Exploit.JS.Agent.bab (1. Platz), Trojan.JS.Agent.bhr (6. Platz) und Exploit.JS.CVE-2010-0806.b (15. Platz) nutzen die Sicherheitslücke CVE-2010-0806 aus und sind schon seit Monaten in unserem Ranking vertreten. Vermutlich wird sich die Ausnutzung dieser Schwachstelle im Internet Explorer unter Cyberkriminellen noch lange großer Beliebtheit erfreuen. Die Anzahl der Exploits, die die Sicherheitslücke CVE-2010-1885 ausnutzen, hat sich gegenüber dem August von fünf auf einen im September reduziert: Exploit.HTML.CVE-2010-1885.d (Position 3). Zwei weitere Exploits – Trojan-Downloader.Java.Agent.ft (2. Platz) und Trojan-Downloader.Java.Agent.gr (12. Platz) – nutzen die alte Sicherheitslücke CVE-2009-3867 aus. Der letzte Exploit-Vertreter – Exploit.Java.CVE-2010-0886.a (11. Platz) – hält sich ohne Unterbrechung mittlerweile seit Mai in den Top 20.

Kommen wir nun zu den Neueinsteigern der September-Statistik. Interessant ist der Schädling Exploit.SWF.Agent.du (Platz 7), bei dem es sich um eine verwundbare Flash-Datei handelt. Bisher hatten wir es nur selten mit der Ausnutzung von Sicherheitslücken in der Flash-Technologie zu tun. Dieser neue Vertreter der Klasse Trojan-Downloader – Trojan-Downloader.Java.OpenStream.ap (17. Platz) – verwendet Java zum Download des schädlichen Objekts.

Stuxnet

Zieht man ein Fazit des Monats, darf auch der Wurm Stuxnet nicht fehlen, obgleich er auf Grund seiner eng gefassten Zielrichtung nicht in unseren Top 20 vertreten ist. Über Stuxnet wurde im September viel berichtet, obwohl er bereits Anfang Juli entdeckt wurde. Zur Erinnerung: Dieser Schädling nutzt vier verschiedene, bis dahin unbekannte Zero-Day-Schwachstellen aus und verwendet zudem zwei gültige Zertifikate der Unternehmen Realtek und JMicron. Das entscheidende Merkmal von Stuxnet ist allerdings seine Zielrichtung. Die Hauptaufgabe des Schädlings besteht nicht im Spamversand oder im Sammeln vertraulicher Anwenderdaten, sondern in der Kontrolle von Industriesystemen. Die meisten Infizierungen mit diesem Schädling wurden in Indien, Indonesien und Iran registriert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.