Internet Security / Analysen

Adobe-Nutzer im Fadenkreuz der Cyberkriminellen

5.10.2009

Eugene Aseev

Kaspersky Lab präsentiert für den September seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme ermittelt und zum anderen untersucht, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position	Positionveränderung	Name	Die Anzahl der infizierten Computer
1	0	Net-Worm.Win32.Kido.ih	41033
2	0	Virus.Win32.Sality.aa	18027
3	0	not-a-virus:AdWare.Win32.Boran.z	12470
4	Neu	Net-Worm.Win32.Kido.ir	11384
5	-1	Trojan-Downloader.Win32.VB.eql	6433
6	-1	Trojan.Win32.Autoit.ci	6168
7	3	Virus.Win32.Induc.a	5947
8	-2	Virus.Win32.Virut.ce	5433
9	Neu	P2P-Worm.Win32.Palevo.jdb	5169
10	-2	Net-Worm.Win32.Kido.jq	4288
11	Neu	Worm.Win32.FlyStudio.cu	4104
12	-5	Worm.Win32.AutoRun.dui	4071
13	-4	Virus.Win32.Sality.z	4056
14	6	P2P-Worm.Win32.Palevo.jaj	3564
15	-4	Worm.Win32.Mabezat.b	2911
16	Neu	Exploit.JS.Pdfka.ti	2823
17	Neu	Trojan-Downloader.WMA.Wimad.y	2544
18	0	Trojan-Dropper.Win32.Flystud.yo	2513
19	Neu	P2P-Worm.Win32.Palevo.jcn	2480
20	Neu	Trojan.Win32.Refroso.bpk	2387

Kido alias Conficker ist also nach wie vor aktiv. Neben dem Spitzenreiter der vergangenen Monate, Kido.ih, tauchte im September auch die Variante Kido.ir auf. Unter diesem Namen werden alle autorun.inf-Dateien erkannt, die Kido bei der Verbreitung über Wechseldatenträger erstellt.

Ein weiterer interessanter Neueinsteiger ist der Wurm Palevo. Im September tauchten gleich zwei neue Versionen dieses Schädlings in der Hitliste auf: Palevo.jdb und Palevo.jcn. Dabei verbesserte sich der Neueinsteiger des Vormonats – Palevo.jaj – von Platz 20 auf Position 14. Die starke Verbreitung der Palevo-Würmer mittels mobiler Datenträger zeigt, dass diese Verbreitungsart immer noch zu den effektivsten überhaupt gehört. Der Wurm FlyStudio.cu – auf Position 18 zu finden – verbreitet sich im Übrigen ebenfalls über Wechseldatenträger.

Unter den Neueinsteigern im September findet sich auch eine neue Version des bereits bekannten Multimedia-Downloaders Wimad: Trojan-Downloader.WMA.Wimad.y. Im Prinzip unterscheidet sich diese Version nicht von seinen Vorgängern: Beim Start erfolgt die Aufforderung zum Download der schädlichen Datei. In diesem Fall handelt es sich um not-a-virus:AdWare.Win32.PlayMP3z.a.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben.

Position	Positionveränderung	Name	Anzahl der Downloadversuche
1	0	not-a-virus:AdWare.Win32.Boran.z	17624
2	1	Trojan.JS.Redirector.l	16831
3	-1	Trojan-Downloader.HTML.IFrame.sz	6586
4	Neu	Exploit.JS.Pdfka.ti	3834
5	Neu	Trojan-Clicker.HTML.Agent.aq	3424
6	4	Trojan-Downloader.JS.Major.c	2970
7	-3	Trojan-Downloader.JS.Gumblar.a	2583
8	Neu	Exploit.JS.ActiveX.as	2434
9	-1	Trojan-Downloader.JS.LuckySploit.q	2224
10	-3	Trojan-GameThief.Win32.Magania.biht	1627
11	Neu	Exploit.JS.Agent.ams	1502
12	4	Trojan-Downloader.JS.IstBar.bh	1476
13	Neu	Trojan-Downloader.JS.Psyme.gh	1419
14	Neu	Exploit.JS.Pdfka.vn	1396
15	Wiedereintritt	Exploit.JS.DirektShow.a	1388
16	-10	Exploit.JS.DirektShow.k	1286
17	Wiedereintritt	not-a-virus:AdWare.Win32.Shopper.l	1268
18	Wiedereintritt	not-a-virus:AdWare.Win32.Shopper.v	1247
19	Neu	Trojan-Clicker.JS.Agent.jb	1205
20	Neu	Exploit.JS.Sheat.f	1193

Wie so oft, wartet das zweite Ranking mit vielen Überraschungen auf. Schon auf den ersten Blick stechen zwei Vertreter der Familie Exploit.JS.Pdfka ins Auge: Unter diesem Namen werden JavaScript-Dateien erkannt, die in PDF-Dokumenten enthalten sind und verschiedene Sicherheitslücken in den Adobe-Produkten ausnutzen (in diesem Fall im Adobe Reader).

Pdfka.ti nutzt eine populäre Schwachstelle aus, die schon seit zwei Jahren in der Funktion Collab.collectEmailInfo besteht (cve.mitre.org). Pdfka.vn missbraucht dagegen eine aktuellere Sicherheitslücke, und zwar in der Funktion getIcon desselben Collab-Objekts (cve.mitre.org).

Adobe-Schwachstellen, von denen in den vergangenen Jahren sehr viele entdeckt wurden, bleiben weiterhin ein beliebte Angriffsziel für Cyberkriminelle, unabhängig von der Produktversion. Der Grund: Dadurch dass viele Anwender ihre Adobe-Produkte nicht regelmäßig aktualisieren, sind zahlreiche Angriffe auf diese Programme auch von Erfolg gekrönt. An dieser Stelle sei nochmals erwähnt, dass Anwender ihre Programme regelmäßig aktualisieren sollten.

Fazit: Kaspersky Lab beobachtet eine Fortsetzung der Trends, die sich schon in den vergangenen Monaten abzeichneten. Die Anzahl von Web-Paketen schädlicher Programme, die alle nur erdenklichen Sicherheitslücken in komplexen Produkten ausnutzen, steigt weiter an und eröffnet Online-Kriminellen ein weites Feld für ihre Aktivitäten. Einfache iframe-Klicker, platziert auf legalen Webseiten, fördern deren Ausbreitung. Zugriff auf diese Webseiten erhalten die Cyberbetrüger, indem sie diese mit Schadcode infizieren und so an vertrauliche Anwenderdaten gelangen.

Länder, von denen aus die meisten Versuche gestartet wurden, um Internet-Anwender mit Schadcode zu infizieren:

Quelle: Kaspersky Lab

Copyright © 1996 - 2009 Kaspersky Lab Industry-leading Antivirus Software All rights reserved