Gesamtzahl neuer Malware stieg im Juli 2008 auf 106.952

Trojaner haben Backdoors vom ersten Platz deutlich verdrängt

(06.08.08) - Mit 106.952 neuen Schädlingen im Juli 2008 verzeichneten die Experten von G Data einen deutlichen Anstieg im Vergleich zum Monat Juni 2008 (65.529 neue Schädlinge). Prozentual bedeutet dies einen Anstieg um mehr als 67 Prozent. Der extreme Anstieg von Schadcode ist laut G Data ein Hinweis darauf, "dass Cyber-Kriminelle keine Sommerferien machen" - "Business as usual" somit auch bei den Schadcode-Programmierern. Im Monat Juli haben Trojaner die Backdoors vom ersten Platz deutlich verdrängt, deren Anteil lag im bei 27,70 Prozent (Vormonat: 19,7 Prozent, Backdoors 22,4 Prozent). Bei den Virenfamilien stieg "Obfuscated" mit 11.3 Prozent auf den ersten Platz. Diese Familie ist dadurch gekennzeichnet, dass der Code des Programms durch in einer für Malware typischen Art verschleiert wird. Im Vormonat belegte die Virenfamilien noch den dritten Platz.

Virenkategorien

· 1. Trojan 27.7 Prozent

Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Stattdessen oder zusätzlich dazu beinhalten Trojanische Pferde jedoch noch einen versteckten Programmteil, der unerwünschte und/oder schädliche Aktionen auf dem System ausführt ohne, dass der Benutzer dies bemerkt. Trojanische Pferde haben keine eigene Verbreitungsroutine (im Gegensatz zu Viren oder Würmern). Sie werden per E-Mail verschickt oder lauern auf Webseiten oder in Tauschbörsen. Ihre Klassifikation erfolgt anhand ihrer Schadfunktion. Häufig wird der Einfachheit halber von Trojanern gesprochen, obwohl das inhaltlich nicht korrekt ist.

· 2. Backdoor 20.0 Prozent

Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Es gibt aber auch legitime Nutzungsmöglichkeiten.

Viele Systemadministratoren verwenden Fernwartungsprogramme, um Rechner von seinem aktuellen Standort zu administrieren. Insbesondere bei großen Unternehmen ist dies sehr nützlich.

Üblicherweise erfolgt der Eingriff des Systemadministrators dabei mit dem Wissen und Einverständnis des PC-Users. Erst wenn diese Backdoor-Funktionen ohne Wissen des PC-Users eingesetzt werden und schädliche Aktionen ausgeführt werden wird ein Backdoor-Programm zur Malware.

· 3. Trojan-downloader 13.7 Prozent

Bei einem Trojan-Downloader handelt es sich um ein Trojanisches Pferd, das - wie der Name schon sagt - weitere Dateien aus dem Internet herunterlädt. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.

· 4. Trojan-gamethief 10.5 Prozent

Ein "Gamethief" bezeichnet ein Trojanisches Pferd, das sich auf den Diebstahl von Zugangsdaten zu diversen Online-Spielen spezialisiert hat.

· 5. Adware 6.9 Prozent

Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf.

Bei passender Gelegenheit werden dann gezielte Werbebotschaften eingeblendet oder die Ergebnisse von Suchanfragen werden manipuliert, um das Opfer auf bestimmte Produkte oder Dienstleistungen aufmerksam zu machen und damit Geld zu verdienen. In den meisten Fällen erfolgt das ohne Wissen und Zustimmung durch den Nutzer.

Virenfamilien

· 1. Obfuscated 11.3 Prozent

Diese Familie ist dadurch gekennzeichnet, dass der Code des Programms durch in einer für Malware typischen Art verschleiert ist.

· 2. Onlinegames 8.6 Prozent

Die Mitglieder der OnlineGames-Familie stehlen die vorrangig Zugangsdaten von Online-Spielen. Dazu werden bestimmte Dateien und Registryeinträge durchsucht und/oder ein Keylogger installiert. Im letzteren Fall werden dann nicht nur die Daten von Spielen gestohlen. Die Angriffe zielen überwiegend auf Spiele, die in Asien populär sind.

· 3. Hupigon 7.3 Prozent

Die Urvariante, Hupigon.a, schreibt bei einer Infektion des Systems die Dateien winreg.exe und notepod.exe in das Systemverzeichnis. Darüberhinaus werden in der Registry Einträge vorgenommen, die dafür sorgen, dass winreg.exe bei jedem Systemstart automatisch ausgeführt wird. Ergänzend werden Ausführungsparameter für die Dateitypen .exe und .txt so verändert, dass beim Öffnen dieser Dateitypen ebenfalls automatisch Notepod.exe oder winreg.exe zur Ausführung kommen:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]

"LoadWindowsFile" = "<system directory>/winreg.exe"

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

"LoadWindowsFile" = "<system directory>/winreg.exe"

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/txtfile/shell/open/command]

(Default) = "Notepod.exe " Prozent1""

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command]

(Default) = "<system directory>/winreg.exe " Prozent1" Prozent*"

Hupigon.a öffnet Port 8310 UDP und diverse weitere TCP-Ports und ermöglicht dem Angreifer das Mitschneiden von Tastatureingaben, Zugriff auf das Dateisystem, Einschalten der Webcam etc.

· 4. Virtumonde 3.1 Prozent

Bei Mitgliedern der Virtumonde-Familie handelt es sich um Anzeigensoftware, die u.a. für gefälschte Anti-Spyware-Produkte (sog. "Rogue AntiSpyware") wirbt.

· 5. Buzus 2.6 Prozent

Die Varianten von Buzus haben Backdoor-Funktionen, und senden Informationen über das infizierte System an den Angreifer. Es werden weitere Schaddateien aus dem Internet geladen.

Zur Tarnung werden die schädlichen Prozesse in Standard-Systemprozesse wie svchost.exe oder winlogon.exe injiziert. Daher sind sie im Taskmanager nicht sichtbar. Häufige Dateinamen sind unter anderem:

%TEMP%/1.tmp

%TEMP%/2.tmp

%SYSTEM%/ntos.exe

%SYSTEM%/cryptonet.dll

(G Data: ra)