Kaspersky Lab Top 20 der Schadprogramme, Februar 2010
Moskau/Ingolstadt, 15. März 2010 – Kaspersky Lab präsentiert für Februar 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware):
Position
Positionsänderung
Name
1
0
Net-Worm.Win32.Kido.ir
2
1
Virus.Win32.Sality.aa
3
1
Net-Worm.Win32.Kido.ih
4
-2
Net-Worm.Win32.Kido.iq
5
0
Worm.Win32.FlyStudio.cu
6
3
Trojan-Downloader.Win32.VB.eql
7
Neu
Exploit.JS.Aurora.a
8
9
Worm.Win32.AutoIt.tc
9
1
Virus.Win32.Virut.ce
10
4
Packed.Win32.Krap.l
11
-3
Trojan-Downloader.WMA.GetCodec.s
12
0
Virus.Win32.Induc.a
13
Neu
not-a-virus:AdWare.Win32.RK.aw
14
-3
not-a-virus:AdWare.Win32.Boran.z
15
1
Worm.Win32.Mabezat.b
16
Neu
Trojan.JS.Agent.bau
17
3
Packed.Win32.Black.a
18
1
Trojan-Dropper.Win32.Flystud.yo
19
Wieder dabei
Worm.Win32.AutoRun.dui
20
Neu
not-a-virus:AdWare.Win32.FunWeb.q
Nach der Anzahl der Infizierungen zu urteilen, ist die Kido-Epidemie leicht rückläufig, denn die Top 5 der Schadprogramme blieben unverändert. Auf Platz 7 landete ein schwer beschäftigter Vertreter der Gattung Exploit – ein Programm also, das Sicherheitslücken in Softwareprodukten ausnutzt – und zwar Exploit.JS.Aurora.a, auf den wir aber im Abschnitt „Schadprogramme im Internet“ noch näher eingehen werden. Neu im Ranking waren im Februar zwei AdWare-Programme(http://www.kaspersky.com/de/ratgeber/faq/viren#faq1_13).
Ein besonders gutes Beispiel für ein weitverbreitetes Werbeprogramm ist FunWeb.q auf Platz 20 unserer Hitliste. Dieses Programm ist eine Toolbar für gängige Browser und gewährleistet dem Anwender schnellen Zugriff auf die Inhalte gewisser Websites (meist mit medizinischen Inhalten). Zur Darstellung der Werbung verändert es die Ansicht der Seite, die der Anwender besucht.
Bei not-a-virus:AdWare.Win32.RK.aw auf Platz 13 ist der Fall etwas komplizierter. Es handelt sich hierbei um die Anwendung Relevant Knowledge, die zusammen mit verschiedenen anderen Software-Produkten verbreitet und installiert wird. In der Benutzervereinbarung (http://www.relevantknowledge.com/RKPrivacy.aspx) wird darauf hingewiesen, dass dieses Programm automatisch persönliche Anwenderdaten sammelt, jede Aktivität des Benutzers – insbesondere im Internet – verfolgt und diese dann auf seinen Servern speichert. Dies dient angeblich nur höheren Zielen („zur Gestaltung der Zukunft des Internets“), und es wird versichert, dass die Daten sorgfältig geschützt würden. Ob man diesen Versprechungen glauben möchte oder nicht, muss dann jeder Anwender für sich entscheiden.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
Position
Positionsänderung
Name
1
Wieder dabei
Trojan-Downloader.JS.Gumblar.x
2
-1
Trojan.JS.Redirector.l
3
Neu
Trojan-Downloader.JS.Pegel.b
4
3
not-a-virus:AdWare.Win32.Boran.z
5
-2
Trojan-Downloader.JS.Zapchast.m
6
Neu
Trojan-Clicker.JS.Iframe.ea
7
Neu
Trojan.JS.Popupper.ap
8
3
Trojan.JS.Popupper.t
9
Neu
Exploit.JS.Aurora.a
10
Neu
Trojan.JS.Agent.aui
11
Neu
Trojan-Downloader.JS.Pegel.l
12
Neu
Trojan-Downloader.Java.Agent.an
13
Neu
Trojan-Clicker.JS.Agent.ma
14
Neu
Trojan-Downloader.Java.Agent.ab
15
Neu
Trojan-Downloader.JS.Pegel.f
16
Wieder dabei
Packed.Win32.Krap.ai
17
Neu
Trojan-Downloader.Win32.Lipler.axkd
18
Neu
Exploit.JS.Agent.awd
19
Neu
Trojan-Downloader.JS.Pegel.k
20
Neu
Packed.Win32.Krap.an
Die Schadprogramm-Situation im Internet war im Februar überaus interessant. Gumblar.x steht erneut an der Spitze der Top 20 – nachdem die Epidemie dieses Schädlings im Januar fast vollständig zum Erliegen gekommen war, nahm sie im Februar wieder volle Fahrt auf. Das zeigt, dass die nächste Gumblar-Attacke, über die wir vor einem Monat spekulierten (http://www.viruslist.com/de/analysis?pubid=200883681), nicht lange auf sich warten ließ. Im Gegensatz zur vorhergehenden Attacke haben die Cyberkriminellen dieses Mal allerdings keine Veränderungen vorgenommen – sie haben einfach neue Daten für den Zugriff auf die Websites der Anwender gewählt, um sie so massenhaft zu infizieren. Ungeachtet dessen werden wir die Entwicklung der Ereignisse aufmerksam verfolgen und alle Veränderungen registrieren.
Desweiteren hat sich das Ausmaß der Pegel-Epidemie im Vergleich zum Januar (http://www.viruslist.com/de/analysis?pubid=200883681) versechsfacht: Unter den Neueinsteigern im Ranking befinden sich gleich vier Vertreter dieser Familie, von denen einer direkt den Sprung auf die dritte Position schaffte. Dieser Downloader ist Gumblar ähnlich, denn er infiziert ebenfalls legitime Websites. Ruft der Anwender eine infizierte Seite auf, wird er von dem integrierten Skript auf die Ressource der Kriminellen umgeleitet. Um bei dem Anwender möglichst wenig Misstrauen zu erwecken, verwenden die Online-Betrüger in den Adressen der schädlichen Sites Namen populärer Websites, wie z.B.:
Über Links ist ein weiteres Skript eingerichtet, das mit verschiedenen Mitteln versucht, die ausführbare Hauptdatei zu laden. Die dabei verwendeten Methoden sind bekannt – die Ausnutzung von Schwachstellen in den großen Software-Produkten Internet Explorer (CVE-2006-0003: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003) und Adobe Reader (CVE-2007-5659: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, CVE-2009-0927: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) sowie der Download mit Hilfe eines speziellen Java-Applets.
Die ausführbare Hauptdatei ist dann immer der berüchtigte Backdoor.Win32.Bredolab, der mit verschiedenen schädlichen Packern bestückt ist (von denen einige als Packed.Win32.Krap.ar und Packed.Win32.Krap.ao erkannt werden). Es sei hier daran erinnert, dass er neben seiner Hauptfunktionalität – der Fernsteuerung des Anwendercomputers – auch in der Lage ist, andere schädliche Dateien zu laden.
Auf dem 9. Platz schließlich befindet sich Exploit.JS.Aurora.a, dem wir – wie oben angekündigt – an dieser Stelle einige Zeilen widmen. Aurora.a ist ein Exploit für die Sicherheitslücke CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249), die nach einer großangelegten Attacke im Januar gleich in mehreren Versionen des Internet Explorers entdeckt wurde.
Die Attacke, über die ausnahmslos alle IT-Fachpublikationen berichteten, nimmt Großkonzerne (wie etwa Google und Adobe) ins Visier und wurde “Aurora” getauft (http://en.wikipedia.org/wiki/Operation_Aurora) – nach dem Verzeichnis, das eine der ausführbaren Hauptdateien verwendet. Ziel der Attacke ist das Abschöpfen von persönlichen Informationen der Anwender sowie des intellektuellen Eigentums der Unternehmen, wie etwa Quellcodes von Projekten. Die Umsetzung erfolgt mit Hilfe von E-Mails, die einen Link auf die schädliche Website mit dem Exploit enthalten, welches dann die ausführbare Hauptdatei auf den Computer des Anwenders lädt, ohne dass dieser es bemerkt.
Bemerkenswert ist, dass Mitarbeiter von Microsoft einige Monate vor Beginn der Attacke von der Sicherheitslücke wussten, sie aber erst einen Monat nach ihrer Entdeckung ausbesserten. Man kann sich denken, dass im Laufe dieses Monats der Quellcode des Exploits öffentlich wurde und nur die faulsten unter den Cyberbetrügern darauf verzichteten, ihn in ihren Attacken einzusetzen – in unseren Datenbanken befinden sich bereits mehr als hundert verschiedene Ausnutzungs-Varianten dieser Schwachstelle.
Nach wie vor geht die größte Gefahr für den Anwender von Sicherheitslücken in populären Software-Produkten aus. Bedenkt man, dass die Cyberkriminellen versuchen, Schwachstellen auszunutzen, die bereits vor Jahren entdeckt wurden, so kommt man zu dem Schluss, dass diese Sicherheitslücken immer noch aktuell sind. Selbst wenn man alle Updates für große Programmpakete rechtzeitig installiert, kann man leider nicht hundertprozentig davon ausgehen, dass der Computer sicher ist, da die Hersteller dieser Software die entsprechenden Patches für die erkannten Schwachstellen nicht immer rechtzeitig veröffentlichen. Daher ist bei der Arbeit mit dem Computer größte Vorsicht geboten sowie der Gebrauch eines Antiviren-Programms mit den neusten Aktualisierungen dringend zu empfehlen.
Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.
Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über http://twitter.com/Kaspersky_DACH. Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.
Redaktionskontakt:
essential media GmbH
Kaspersky Labs GmbH
Florian Schafroth
Christian Wirsig
florian.schafroth@essentialmedia.de
christian.wirsig@kaspersky.de
Tel.: +49-89-7472-62-43
Tel.: +49-841-98-189-325
Fax: +49-89-7472-62-841
Fax: +49-841-98-189-100
Augustenstraße 24
Steinheilstraße 13
80333 München
85053 Ingolstadt
© 2010 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.
