Internet Security / Analysen

Kaspersky Lab Top 20 der Schadprogramme, Juli 2009: Kido/Conficker und Sality weiterhin mit großem Vorsprung

31.07.2009

Eugene Aseev

Kaspersky Lab präsentiert für den Juli seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position	Positionveränderung	Name	Die Anzahl der infizierten Computer
1	0	Net-Worm.Win32.Kido.ih	51126
2	0	Virus.Win32.Sality.aa	24984
3	1	Trojan-Downloader.Win32.VB.eql	9472
4	2	Trojan.Win32.Autoit.ci	8250
5	0	Worm.Win32.AutoRun.dui	6514
6	1	Virus.Win32.Virut.ce	5667
7	3	Virus.Win32.Sality.z	5525
8	1	Net-Worm.Win32.Kido.jq	5496
9	-1	Worm.Win32.Mabezat.b	4675
10	4	Net-Worm.Win32.Kido.ix	4055
11	-8	Trojan-Dropper.Win32.Flystud.ko	3764
12	5	Packed.Win32.Klone.bj	3677
13	-1	Virus.Win32.Alman.b	3571
14	1	Worm.Win32.AutoIt.i	3524
15	-2	Packed.Win32.Black.a	3472
16	-5	Trojan-Downloader.JS.LuckySploit.q	3335
17	1	Email-Worm.Win32.Brontok.q	3007
18	2	not-a-virus:AdWare.Win32.Shopper.v	2841
19	0	Worm.Win32.AutoRun.rxx	2798
20	New	IM-Worm.Win32.Sohanad.gen	2719

Im Juli gab es keine nennenswerten Veränderungen in den Top 20: Wie gehabt führten Kido und Sality das Feld mit beträchtlichem Abstand auf die Verfolger an.

Dabei war das Aufkommen der bekanntesten Schädlinge insgesamt ein wenig niedriger als gewöhnlich. Das könnte damit zusammenhängen, dass die Anwender im Hochsommer weniger Zeit vor dem Computer verbringen als zu anderen Jahreszeiten und daher auch weniger Schadprogramme auf ihren Rechnern landen.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Position	Positionveränderung	Name	Die Anzahl der infizierten Seiten
1	0	Trojan-Downloader.JS.Gumblar.a	8538
2	2	Trojan-Clicker.HTML.IFrame.kr	7805
3	2	Trojan-Downloader.HTML.IFrame.sz	5213
4	-1	Trojan-Downloader.JS.LuckySploit.q	4719
5	New	Trojan-Downloader.HTML.FraudLoad.a	4626
6	0	Trojan-Downloader.JS.Major.c	3778
7	New	Trojan-GameThief.Win32.Magania.biht	2911
8	New	Trojan-Downloader.JS.ShellCode.i	2652
9	-1	Trojan-Clicker.HTML.IFrame.mq	2576
10	New	Exploit.JS.DirektShow.o	2476
11	-2	Trojan.JS.Agent.aat	2402
12	New	Exploit.JS.DirektShow.j	2367
13	New	Exploit.HTML.CodeBaseExec	2266
14	0	Exploit.JS.Pdfka.gu	2194
15	New	Trojan-Downloader.VBS.Psyme.ga	2007
16	New	Exploit.JS.DirektShow.a	1988
17	-10	Trojan-Downloader.Win32.Agent.cdam	1947
18	-5	Trojan-Downloader.JS.Agent.czm	1815
19	-17	Trojan-Downloader.JS.Iframe.ayt	1810
20	New	Trojan-Downloader.JS.Iframe.bew	1766

Bereits beim ersten Blick auf die Tabelle springen gleich drei Vertreter des Skript-Exploits mit dem Namen DirektShow ins Auge. Der Grund: Da die meisten Internet-Anwender den Internet Explorer auf ihren Rechnern installiert haben, ist die Ausnutzung dieser Windows-Schwachstelle bei Cyberkriminellen sehr beliebt.

In jüngster Zeit zeichnet sich eine Tendenz zum Zerlegen schädlicher Skripts in verschiedene Teile ab. Cyberkriminelle nutzen zum Beispiel mit dem oben erwähnten DirektShow-Exploit die Sicherheitslücke msvidctl aus, indem sie auf ein weiteres Skript verlinken, aus dem der Shellcode mit eigener Schadfunktion geladen wird. Auf Platz acht liegt daher der weit verbreitete Shellcode Trojan-Downloader.JS.ShellCode.i. Diese Vorgehensweise ist für Cyberkriminelle sehr vorteilhaft, weil das Skript mit dem Shellcode jederzeit ausgewechselt werden kann und der Link unverändert bestehen bleibt. Dadurch werden auch die Analyse und das weitere Erkennen ähnlicher Schädlinge erschwert.

Zur einfacheren Verbreitung von betrügerischen Pseudo-AV-Programmen wird häufig ein und dieselbe Website-Schablone verwendet. Daher ist auch ein anderer Neuling in den Top 20 erwähnenswert: Trojan-Downloader.HTML.FraudLoad.a. Bei diesem Schädling handelt es sich um eine typische Website-Schablone. Erpresser-Trojaner werden bei Cyberkriminellen immer beliebter. Folglich tauchen Unmengen von Internetseiten auf, mit denen – unter dem Vorwand der Computer des Anwenders sei infiziert – häufig nicht nur lästige, sondern oft auch gefährliche Schädlinge platziert werden. Ein Skript, mit dessen Hilfe Schadprogramme von Webseiten geladen werden, ist Trojan-Downloader.JS.Iframe.bew – der Letztplatzierte in der Juli-Statistik.

Insgesamt spiegelt das zweite Top-20-Ranking die aktuelle Bedrohungslage im Internet sehr gut wider. In erster Linie konzentrieren sich Cyberkriminelle auf die Suche nach neuen Sicherheitslücken in populären Softwareprodukten, mit dem Ziel, Anwendercomputer mit einem – und oft auch mehreren – Schadprogrammen zu infizieren. Zudem versuchen die Online-Betrüger ihr Vorgehen weitestgehend zu tarnen, damit betroffene Anwender nicht mitbekommen, dass ihr Computer infiziert ist. Letzten Endes sind alle Internet-Anwender, ob erfahren oder unerfahren, den Gefahren des World Wide Web ausgesetzt, wenn sie ihr Betriebssystem und ihr Antiviren-Programm nicht regelmäßig aktualisieren.

Quelle: Kaspersky Lab

Copyright © 1996 - 2009 Kaspersky Lab Industry-leading Antivirus Software All rights reserved