Werbung

Kaspersky-Lab-Top-20 der Schadprogramme Oktober 2010

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Kaspersky-Lab-Top-20 der Schadprogramme Oktober 2010

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Der Malware-Herbst 2010 verzeichnet unter anderem eine verbesserte Infrastruktur für ZeuS und Angriffe auf Adobe-Nutzer. Anfang Oktober entdeckte Kaspersky Lab den Virus Virus.Win32.Murofet, der eng mit dem Bot ZeuS verbunden ist. Dieser Schädling zeigt einmal mehr, mit welchem Einfallsreichtum und Eifer die Entwickler des ZeuS-Botnetzes versuchen, ihr Zombie-Netzwerk auf der ganzen Welt zu verbreiten. Die Besonderheit dabei: Der Virus generiert mit Hilfe eines speziellen Algorithmus neue Links, die auf der aktuellen Zeit und dem aktuellen Datum des infizierten Computers basieren. Das funktioniert so: Der Schädling empfängt Jahr, Monat, Tag und Minute vom System. Daraufhin generiert er zwei Doppelwörter, auf deren Grundlage er eine md5-Prüfsumme errechnet und eine der möglichen Domain-Zonen .biz, .org, .com, .net, .info hinzufügt. Am Ende der Zeile ergänzt er „/forum“ und verwendet anschließ;end den so entstandenen Link. Interessant ist, dass dieser Virus keine anderen ausführbaren Dateien infiziert und eng mit ZeuS verbunden ist. Über die generierten Links werden dann Downloader des Bots ZeuS auf dem Computer platziert.

Dies geht aus den Malware-Statistiken von Kaspersky Lab für Oktober 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position

Positionsänderung

Name

1

0

Net-Worm.Win32.Kido.ir

2

0

Virus.Win32.Sality.aa

3

0

Net-Worm.Win32.Kido.ih

4

0

Trojan.JS.Agent.bhr

5

0

Exploit.JS.Agent.bab

6

1

Virus.Win32.Virut.ce

7

8

Packed.Win32.Katusha.o

8

-2

Worm.Win32.FlyStudio.cu

9

2

Virus.Win32.Sality.bh

10

-1

Exploit.Win32.CVE-2010-2568.d

11

1

Exploit.Win32.CVE-2010-2568.b

12

-2

Trojan-Downloader.Win32.VB.eql

13

0

Worm.Win32.Autoit.xl

14

0

Worm.Win32.Mabezat.b

15

5

Trojan-Downloader.Win32.Geral.cnh

16

1

Worm.Win32.VBNA.b

17

-1

Trojan-Dropper.Win32.Sality.cx

18

Neu

Trojan.Win32.Autoit.ci

19

Neu

Trojan-Dropper.Win32.Flystud.yo

20

Neu

Worm.Win32.VBNA.a

Im vergangenen Monat gab es hier keine wesentlichen Veränderungen. An der Spitze stehen nach wie vor Kido, Sality, Virut sowie CVE-2010-2568. Erwähnenswert ist die Zunahme von Infizierungen mit dem schädlichen Packer Packed.Win32.Katusha.o (Platz sechs), der von Cyberkriminellen zum Schutz und zur Verbreitung von gefälschten Antiviren-Programmen eingesetzt wird. Der Wurm Worm.Win32.VBNA.a (Platz 20) funktioniert ähnliche wie Katusha, allerdings ist er in der anspruchsvolleren Sprache Visual Basic programmiert.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position

Positionsänderung

Name

1

-1

Trojan.JS.FakeUpdate.bp

2

8

Exploit.JS.Agent.bab

3

Neu

Exploit.Java.CVE-2010-0886.a

4

1

Hoax.Win32.ArchSMS.jxi

5

-2

Trojan.JS.Agent.bhr

6

Neu

AdWare.Win32.FunWeb.di

7

-3

Trojan.JS.Redirector.nj

8

Neu

AdWare.Win32.FunWeb.ds

9

3

Trojan.JS.Agent.bmx

10

-1

AdWare.Win32.FunWeb.q

11

Neu

AdWare.Win32.FunWeb.fb

12

Neu

Trojan-Downloader.Java.Agent.hx

13

1

Exploit.JS.CVE-2010-0806.i

14

Neu

Exploit.JS.CVE-2010-0806.b

15

Neu

Trojan-Downloader.Java.Agent.hw

16

Neu

Trojan.JS.Redirector.lc

17

-6

Exploit.Win32.CVE-2010-2883.a

18

-3

Trojan-Downloader.Java.Agent.gr

19

Neu

AdWare.Win32.FunWeb.ci

20

-1

AdWare.Win32.FunWeb.ge

Auch in unserem zweiten Ranking haben sich innerhalb des letzten Monats keine ernsthaften Veränderungen ergeben. Wie gehabt führen die Exploits für die Sicherheitslücke CVE-2010-0806 sowie Adware der Familie FunWeb die Top 20 der häufigsten Internet-Schädlinge an. Allerdings sind einige Schädlinge durchaus erwähnenswert:

Den ersten Platz belegte mit Trojan.JS.FakeUpdate.bp ein Skript aus der Familie FakeUpdate. Es wird auf Porno-Websites platziert und schlägt dem Anwender vor, ein Video mit entsprechendem Inhalt herunterzuladen. Will der Nutzer sich allerdings den Clip anschauen, erscheint ein verseuchtes Pop-Up-Fenster mit der Aufforderung, einen neuen Player zum Abspielen des Videos herunterzuladen.

Der Exploit mit der Bezeichnung Exploit.Win32.CVE-2010-2883.a, der die entsprechende Sicherheitslücke ausnutzt, wurde vor knapp einem Monat entdeckt und belegt in der Tabelle Rang 17. Die Cyberkriminellen haben diesen Exploit also offensichtlich umgehend in ihr „Waffenarsenal“ aufgenommen. Die Lücke befindet sich in der verwundbaren Bibliothek cooltype.dll, die zum Adobe Reader gehört. Die Schwachstelle selbst besteht in der inkorrekten Bearbeitung einer speziell formatierten Font-Datei. Wirft man einen Blick auf die geografische Verbreitung von Exploit.Win32.CVE-2010-2883.a, so fällt auf, dass dieser Schädling am häufigsten in den USA, Groß;britannien und Russland eingesetzt wurde. Offensichtlich gingen die Cyberkriminellen davon aus, dass es in diesen Ländern die meisten Computer mit ungepatchten Adobe-Readern gibt.

Das schädliche Skript Trojan.JS.Redirector.nj (Platz sieben) wird auf verschiedenen Porno-Seiten platziert. Es gibt eine Mitteilung aus, in der der Anwender aufgefordert wird, eine SMS an eine Premium-Nummer zu senden, um die gewünschte Ressource nutzen zu können. Dabei ist das Skript so aufgebaut, dass zum Schließ;en der Seite der Task-Manager oder ein ähnliches Programm verwendet werden muss.

Analysen von Kaspersky Lab haben gezeigt, dass der Installer neben dem legalen Player Fusion Media Player 1.7 auch einen Trojaner enthält, der die Datei-Hosts modifiziert. Dieser Trojaner bringt die IP-Adresse des lokalen Rechners 127.0.0.1 in Übereinstimmung mit vielen populären Sites und installiert auf dem infizierten Computer einen Web-Server. Daraufhin erscheint bei dem Versuch, auf eine der abgefangenen Websites zu gelangen, im Browser des Anwenders eine Seite mit der Aufforderung, für die Ansicht des Porno-Clips zu bezahlen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Apps, Portale, Software – Prozesse effizienter gestalten

Automatisierung

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.