Trojan-Downloader hat es auf Sicherheitslücken in Windows und Microsoft Office abgesehen

Kaspersky Lab präsentiert seine Top 20 der Schadprogramme für Juni 2009

(10.07.09) - Kaspersky Lab präsentiert für den Juni ihre zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbe-programme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die Liste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position	Positionsänderung	Name
1	0	Net-Worm.Win32.Kido.ih
2	0	Virus.Win32.Sality.aa
3	0	Trojan-Dropper.Win32.Flystud.ko
4	3	Trojan-Downloader.Win32.VB.eql
5	6	Worm.Win32.AutoRun.dui
6	-2	Trojan.Win32.Autoit.ci
7	2	Virus.Win32.Virut.ce
8	6	Worm.Win32.Mabezat.b
9	Neu	Net-Worm.Win32.Kido.jq
10	0	Virus.Win32.Sality.z
11	Neu	Trojan-Downloader.JS.LuckySploit.q
12	3	Virus.Win32.Alman.b
13	Neu	Packed.Win32.Black.a
14	Neu	Net-Worm.Win32.Kido.ix
15	Neu	Worm.Win32.AutoIt.i
16	Neu	Trojan-Downloader.WMA.GetCodec.u
17	-1	Packed.Win32.Klone.bj
18	2	Email-Worm.Win32.Brontok.q
19	Neu	Worm.Win32.AutoRun.rxx
20	Neu	not-a-virus:AdWare.Win32.Shopper.v

Auf Platz 1 bleibt weiterhin Net-Worm.Win32.Kido (Conficker). Bei diesem Wurm sind zwei Modifikationen bemerkenswert, da sie sich über Wechseldatenträger verbreiten: Kido.jq und Kido.ix. Das trifft auch auf die Vertreter der Autorun-Würmer zu: AutoRun.dui und AutoRun.rrx.

Auf dem 20. Platz sehen wir einen Vertreter der Werbesoftware Shopper.v. Diese Anwendung installiert im Browser sowie in den Mailprogrammen verschiedene Symbolleisten, um beim Anwender Werbebanner zu schalten.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Position	Positionsänderung	Name
1	Neu	Trojan-Downloader.JS.Gumblar.a
2	Neu	Trojan-Downloader.JS.Iframe.ayt
3	Neu	Trojan-Downloader.JS.LuckySploit.q
4	Neu	Trojan-Clicker.HTML.IFrame.kr
5	Neu	Trojan-Downloader.HTML.IFrame.sz
6	Neu	Trojan-Downloader.JS.Major.c
7	Neu	Trojan-Downloader.Win32.Agent.cdam
8	Neu	Trojan-Clicker.HTML.IFrame.mq
9	Neu	Trojan.JS.Agent.aat
10	Neu	Trojan.Win32.RaMag.a
11	Neu	Trojan-Clicker.SWF.Small.b
12	Neu	Packed.JS.Agent.ab
13	Neu	Trojan-Downloader.JS.Agent.czm
14	Neu	Exploit.JS.Pdfka.gu
15	Neu	Trojan-Clicker.JS.Agent.fp
16	Neu	Trojan-Dropper.Win32.Agent.aiuf
17	Neu	Exploit.JS.Pdfka.lr
18	Neu	not-a-virus:AdWare.Win32.Shopper.l
19	Neu	not-a-virus:AdWare.Win32.Shopper.v
20	Neu	Exploit.SWF.Agent.az

Den ersten Platz nimmt der Trojan-Downloader Gumblar.a ein, ein Paradebeispiel für einen Drive-by-Download. Gumblar.a, ein kleines verschlüsseltes Script, leitet den Nutzer auf eine bösartige Webseite, von der unbemerkt vom Nutzer eine schädliche ausführbare Datei heruntergeladen und installiert wird. Diese Datei beeinflusst den Datenverkehr des Nutzers, indem sie Google-Suchergebnisse manipuliert. Außerdem sucht sie auf dem infizierten Rechner nach den Passwörtern für FTP-Server, um diese ebenfalls zu infizieren. Cyberkriminelle erbauen so aus den infizierten Rechnern ein Botnet. Die Anzahl der infizierten Server ist bereits sehr hoch, bis heute verbreitet sich der Schädling über ungeschützte Rechner.

Ein weiteres Beispiel für Drive-by-Downloads ist der drittplazierte Trojan-Downloader LuckySploit.q. Hierbei handelt es sich um ein verschleiertes Script, das Informationen über den Browser des Nutzers sammelt und diese anschließend verschlüsselt an eine bösartige Webseite verschickt. Auf dem Server werden diese Informationen mittels eines privaten RSA-Schlüssels dann entschlüsselt. Entsprechend der vorhandenen Konfiguration des Browsers erhält der Nutzer ein Paket mit Scripten, die über die auf dem befallenen Rechner entdeckten Sicherheitslöcher weitere Schädlinge auf den Computer übertragen.

Exploits wie Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr und Exploit.SWF.Agent.az zeigen die Anfälligkeit beliebter und weit verbreiteter Software. Leidtragende sind in diesem Fall die Programme Adobe Flash Player und Adobe Reader. Der Trojaner Trojan-Downloader.JS.Major.c hat es hingegen auf Sicherheitslücken in verschiedenen Komponenten von Windows und Microsoft Office abgesehen.

Fazit: In jüngster Zeit stieg die Anzahl der Attacken per Drive-by-Download. Zudem fokussieren die Cyberkriminellen zunehmend das Web. Die rechtzeitige Installation von Updates für das Betriebs-system sowie die auf dem Rechner vorhandene Software wird immer wichtiger, ebenso das regelmäßige Update der auf dem Computer installierten Sicherheits-Software.

Kaspersky Lab reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Die Produkte des global agierenden Unternehmens mit Hauptsitz in Moskau haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und minimalen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen. Mit den Kaspersky Hosted Security Services bietet das Unternehmen darüber hinaus Dienstleistungen im Bereich Malware- und Spam-Schutz sowie Content-Kontrolle für Unternehmen jeder Größe an. (Kaspersky: ra)