Malware-Report: Neue Schädlinge machen Kido/Conficker Konkurrenz

Im Internet existieren zahlreiche Webseiten, über die gefälschte Antivirus-Programme verbreitet werden

(21.09.09) - Kaspersky Lab präsentiert für den August ihre zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme "Kaspersky Anti-Virus 2009" und "Kaspersky Internet Security 2009". Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:

Position	Positionsänderung	Name
1	0	Net-Worm.Win32.Kido.ih
2	0	Virus.Win32.Sality.aa
3	Neu	not-a-virus:AdWare.Win32.Boran.z
4	-1	Trojan-Downloader.Win32.VB.eql
5	-1	Trojan.Win32.Autoit.ci
6	0	Virus.Win32.Virut.ce
7	-2	Worm.Win32.AutoRun.dui
8	0	Net-Worm.Win32.Kido.jq
9	-2	Virus.Win32.Sality.z
10	Neu	Virus.Win32.Induc.a
11	-2	Worm.Win32.Mabezat.b
12	-2	Net-Worm.Win32.Kido.ix
13	-1	Packed.Win32.Klone.bj
14	Neu	Trojan.Win32.Swizzor.b
15	Neu	Packed.Win32.Katusha.b
16	-2	Worm.Win32.AutoIt.i
17	1	not-a-virus:AdWare.Win32.Shopper.v
18	Neu	Trojan-Dropper.Win32.Flystud.yo
19	-2	Email-Worm.Win32.Brontok.q
20	Neu	P2P-Worm.Win32.Palevo.jaj

Unsere ständigen Spitzenreiter - Net-Worm.Win32.Kido.ih und Virus.Win32.Sality.aa - konnten auch im August ihre Positionen auf den Plätzen eins und zwei behaupten. Allerdings gab es im vergangenen Monat gleich sechs Neueinsteiger - darunter zwei durchaus interessante: Auf dem dritten Platz befindet sich der Neuling not-a-virus:AdWare.Win32.Boran.z., eine Komponente der in China verbreiteten Baidu Toolbar für den Internet Explorer. Hier kommen verschiedene Rootkit-Technologien zum Einsatz, die dem Anwender das Entfernen dieser Toolbar mit herkömmlichen Mitteln erschwert.

Besonders erwähnenswert ist auch Virus.Win32.Induc.a. Um sich zu verbreiten, nutzt dieser Virus eine zweistufige Erstellung von ausführbaren Dateien, die dann in einer Delphi-Umgebung umgesetzt werden: Der Quellcode der entwickelten Anwendungen wird zunächst in dcu-Modulen kompiliert, aus denen dann die ausführbaren Dateien erzeugt werden. Da in diesem Fall die meisten Programme bereits während der Kompilierung mit dem Virus infiziert wurden, konnte sich Virus.Win32.Induc.a. sofort auf dem 10. Platz einreihen.

Insgesamt betrachtet war die wichtigste Veränderung der Neueinstieg von Virus.Win32.Induc, der ein innovatives Verfahren zur Infizierung von Anwendercomputern mit sich bringt.

Davon abgesehen ist die Zusammensetzung der ersten Hitliste recht stabil, insbesondere im Vergleich zu unserer zweiten Top 20-Liste:

Position	Positionsänderung	Name
1	Neu	not-a-virus:AdWare.Win32.Boran.z
2	1	Trojan-Downloader.HTML.IFrame.sz
3	Neu	Trojan.JS.Redirector.l
4	-3	Trojan-Downloader.JS.Gumblar.a
5	Neu	Trojan-Clicker.HTML.Agent.w
6	Neu	Exploit.JS.DirektShow.k
7	0	Trojan-GameThief.Win32.Magania.biht
8	-4	Trojan-Downloader.JS.LuckySploit.q
9	-7	Trojan-Clicker.HTML.IFrame.kr
10	-4	Trojan-Downloader.JS.Major.c
11	Neu	Exploit.JS.Sheat.c
12	Neu	Trojan-Downloader.JS.FraudLoad.d
13	-4	Trojan-Clicker.HTML.IFrame.mq
14	-3	Trojan.JS.Agent.aat
15	-3	Exploit.JS.DirektShow.j
16	Neu	Trojan-Downloader.JS.IstBar.bh
17	Neu	Trojan-Downloader.JS.Iframe.bmu
18	Neu	Exploit.JS.DirektShow.l
19	Neu	Exploit.JS.DirektShow.q
20	Neu	Trojan-Downloader.Win32.Agent.ckwd

Die zweiten Top 20 für den Monat August bestehen zu über 50 Prozent aus Schadcode-Neueinsteigern. Platz eins belegt der bereits oben erwähnte not-a-virus:AdWare.Win32.Boran.z.

Im vergangenen Monat berichteten wir bereits über eine Schwachstelle im Internet Explorer. Das dazugehörige Exploit wird von Kaspersky Lab als Exploit.JS.DirektShow identifiziert. Im Juli schafften es gleich drei Modifikationen dieses Exploits in unsere Hitliste, und zwar die Versionen .a, .j und .o. Im August entdeckte Kaspersky Lab sogar vier unterschiedliche Typen dieses Schädlings, und zwar: k., j., l. und q. Der Grund: Die Schwachstelle ist bei den Cyberkriminellen nach wie vor sehr populär. Vermutlich gehen die Online-Verbrecher davon aus, dass viele Anwender es bisher versäumt haben, den entsprechenden Patch zu installieren und versuchen daher weiterhin Systeme über dieses Leck anzugreifen.

Im Internet existieren zahlreiche Webseiten, über die gefälschte Antivirus-Programme verbreitet werden. Eines der Skripte, die hierfür missbraucht werden, wird von Kaspersky als Trojan-Downloader.JS.FraudLoad.d identifiziert und landete auf dem 12. Platz unserer zweiten Top-20-Liste. Besucht man eine Seite, auf der dieses Skript platziert ist, so erhält man eine Mitteilung darüber, dass der Computer angeblich mit einer Vielzahl von Schadprogrammen infiziert ist. Das Angebot für eine - gefälschte - Antivirus-Software lässt dann nicht mehr lange auf sich warten. Stimmt der Anwender diesem Angebot zu, wird das falsche Antiviren-Programm, und damit oft auch weiterer Schadcode, auf den Computer geladen.

Fazit: Wie bereits im Juli festgestellt, setzt sich die Tendenz fort, dass Online-Kriminelle nach wie vor sehr aktiv Schwachstellen in populären Software-Produkten attackieren. Auch gefälschte Antiviren-Programme und einfache iframe-Klicker sind in der Cyberszene nach wie vor sehr beliebt und verbreiten sich daher überaus dynamisch. (Kaspersky: ma)