Internet Security / Analysen

Neue Schädlinge machen Kido/Conficker Konkurrenz

4.09.2009

Eugene Aseev

Kaspersky Lab präsentiert für den August seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position	Positionveränderung	Name	Die Anzahl der infizierten Computer
1	0	Net-Worm.Win32.Kido.ih	48281
2	0	Virus.Win32.Sality.aa	23156
3	New	not-a-virus:AdWare.Win32.Boran.z	16872
4	-1	Trojan-Downloader.Win32.VB.eql	8030
5	-1	Trojan.Win32.Autoit.ci	7846
6	0	Virus.Win32.Virut.ce	6248
7	-2	Worm.Win32.AutoRun.dui	5516
8	0	Net-Worm.Win32.Kido.jq	5446
9	-2	Virus.Win32.Sality.z	5157
10	New	Virus.Win32.Induc.a	4476
11	-2	Worm.Win32.Mabezat.b	3982
12	-2	Net-Worm.Win32.Kido.ix	3579
13	-1	Packed.Win32.Klone.bj	3579
14	New	Trojan.Win32.Swizzor.b	3327
15	New	Packed.Win32.Katusha.b	3139
16	-2	Worm.Win32.AutoIt.i	3076
17	1	not-a-virus:AdWare.Win32.Shopper.v	2947
18	New	Trojan-Dropper.Win32.Flystud.yo	2745
19	-2	Email-Worm.Win32.Brontok.q	2706
20	New	P2P-Worm.Win32.Palevo.jaj	2664

Unsere ständigen Spitzenreiter – Net-Worm.Win32.Kido.ih und Virus.Win32.Sality.aa – konnten auch im August ihre Positionen auf den Plätzen eins und zwei behaupten. Allerdings gab es im vergangenen Monat gleich sechs Neueinsteiger – darunter zwei durchaus interessante: Auf dem dritten Platz befindet sich der Neuling not-a-virus:AdWare.Win32.Boran.z., eine Komponente der in China verbreiteten Baidu Toolbar für den Internet Explorer. Hier kommen verschiedene Rootkit-Technologien zum Einsatz, die dem Anwender das Entfernen dieser Toolbar mit herkömmlichen Mitteln erschwert.

Besonders erwähnenswert ist auch Virus.Win32.Induc.a. Um sich zu verbreiten, nutzt dieser Virus eine zweistufige Erstellung von ausführbaren Dateien, die dann in einer Delphi-Umgebung umgesetzt werden: Der Quellcode der entwickelten Anwendungen wird zunächst in dcu-Modulen kompiliert, aus denen dann die ausführbaren Dateien erzeugt werden. Da in diesem Fall die meisten Programme bereits während der Kompilierung mit dem Virus infiziert wurden, konnte sich Virus.Win32.Induc.a. sofort auf dem 10. Platz einreihen.

Insgesamt betrachtet war die wichtigste Veränderung der Neueinstieg von Virus.Win32.Induc, der ein innovatives Verfahren zur Infizierung von Anwendercomputern mit sich bringt.

Davon abgesehen ist die Zusammensetzung der ersten Hitliste recht stabil, insbesondere im Vergleich zu unserer zweiten Top 20-Liste:

Position	Positionveränderung	Name	Die Anzahl der infizierten Seiten
1	New	not-a-virus:AdWare.Win32.Boran.z	16760
2	1	Trojan-Downloader.HTML.IFrame.sz	5228
3	New	Trojan.JS.Redirector.l	4693
4	-3	Trojan-Downloader.JS.Gumblar.a	4608
5	New	Trojan-Clicker.HTML.Agent.w	4564
6	New	Exploit.JS.DirektShow.k	4475
7	0	Trojan-GameThief.Win32.Magania.biht	4416
8	-4	Trojan-Downloader.JS.LuckySploit.q	3416
9	-7	Trojan-Clicker.HTML.IFrame.kr	3323
10	-4	Trojan-Downloader.JS.Major.c	2688
11	New	Exploit.JS.Sheat.c	2684
12	New	Trojan-Downloader.JS.FraudLoad.d	2553
13	-4	Trojan-Clicker.HTML.IFrame.mq	2367
14	-3	Trojan.JS.Agent.aat	2246
15	-3	Exploit.JS.DirektShow.j	2128
16	New	Trojan-Downloader.JS.IstBar.bh	1973
17	New	Trojan-Downloader.JS.Iframe.bmu	1933
18	New	Exploit.JS.DirektShow.l	1838
19	New	Exploit.JS.DirektShow.q	1753
20	New	Trojan-Downloader.Win32.Agent.ckwd	1504

Die zweiten Top 20 für den Monat August bestehen zu über 50 Prozent aus Schadcode-Neueinsteigern. Platz eins belegt der bereits oben erwähnte not-a-virus:AdWare.Win32.Boran.z.

Im vergangenen Monat berichteten wir bereits über eine Schwachstelle im Internet Explorer. Das dazugehörige Exploit wird von Kaspersky Lab als Exploit.JS.DirektShow identifiziert. Im Juli schafften es gleich drei Modifikationen dieses Exploits in unsere Hitliste, und zwar die Versionen .a, .j und .o. Im August entdeckte Kaspersky Lab sogar vier unterschiedliche Typen dieses Schädlings, und zwar: k., j., l. und q. Der Grund: Die Schwachstelle ist bei den Cyberkriminellen nach wie vor sehr populär. Vermutlich gehen die Online-Verbrecher davon aus, dass viele Anwender es bisher versäumt haben, den entsprechenden Patch zu installieren und versuchen daher weiterhin Systeme über dieses Leck anzugreifen.

Im Internet existieren zahlreiche Webseiten, über die gefälschte Antivirus-Programme verbreitet werden. Eines der Skripte, die hierfür missbraucht werden, wird von Kaspersky als Trojan-Downloader.JS.FraudLoad.d identifiziert und landete auf dem 12. Platz unserer zweiten Top-20-Liste. Besucht man eine Seite, auf der dieses Skript platziert ist, so erhält man eine Mitteilung darüber, dass der Computer angeblich mit einer Vielzahl von Schadprogrammen infiziert ist. Das Angebot für eine – gefälschte – Antivirus-Software lässt dann nicht mehr lange auf sich warten. Stimmt der Anwender diesem Angebot zu, wird das falsche Antiviren-Programm, und damit oft auch weiterer Schadcode, auf den Computer geladen.

Fazit: Wie bereits im Juli festgestellt, setzt sich die Tendenz fort, dass Online-Kriminelle nach wie vor sehr aktiv Schwachstellen in populären Software-Produkten attackieren. Auch gefälschte Antiviren-Programme und einfache iframe-Klicker sind in der Cyberszene nach wie vor sehr beliebt und verbreiten sich daher überaus dynamisch.

Quelle: Kaspersky Lab

Copyright © 1996 - 2009 Kaspersky Lab Industry-leading Antivirus Software All rights reserved