Malware: Gumblar aktuell gefährlicher als Conficker/Kido

Kaspersky Lab veröffentlicht ihre Top-20-Listen der Schadprogramme für den Oktober 2009

(13.11.09) - Kaspersky Lab präsentiert für den Oktober ihre zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme "Kaspersky Anti-Virus" und "Kaspersky Internet Security". Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbepro-gramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware):

Position	Positionsänderung	Name
1	3	Net-Worm.Win32.Kido.ir
2	-1	Net-Worm.Win32.Kido.ih
3	0	not-a-virus:AdWare.Win32.Boran.z
4	-2	Virus.Win32.Sality.aa
5	6	Worm.Win32.FlyStudio.cu
6	-1	Trojan-Downloader.Win32.VB.eql
7	0	Virus.Win32.Induc.a
8	Neu	Packed.Win32.Black.d
9	Neu	Worm.Win32.AutoRun.awkp
10	-3	Virus.Win32.Virut.ce
11	Wieder dabei	Packed.Win32.Black.a
12	-1	Worm.Win32.AutoRun.dui
13	4	Trojan-Dropper.Win32.Flystud.yo
14	Neu	Trojan-Dropper.Win32.Agent.bcyx
15	Wieder dabei	Packed.Win32.Klone.bj
16	Wieder dabei	Trojan.Win32.Swizzor.b
17	Neu	Trojan-Downloader.WMA.GetCodec.s
18	-4	Worm.Win32.Mabezat.b
19	Neu	Trojan-GameThief.Win32.Magania.cbrt
20	Neu	Trojan-Dropper.Win32.Agent.ayqa

Der im September erstmals in Erscheinung getretene Net-Worm.Win32.Kido.ir belegt Platz eins und verdrängt damit den Dauerspitzenreiter Kido.ih. Zum "altbekannten" Wurm Autorun.dui gesellt sich nun der ähnlich aufgebaute Autorun.awkp, der direkt auf Platz neun landete. Dahinter verbergen sich ebenfalls schädliche Dateien, die den automatischen Start von Schädlingen auf Wechseldatenträgern initiieren.

Im Oktober kehrten einige bereits bekannte Vertreter in die erste Hitliste zurück: Packed.Win32.Black.a, Packed.Win32.Klone.bj und Trojan.Win32.Swizzor.b. Neben Black.a schaffte es auch eine neue Version des Schädlings, nämlich Black.d, in die Liste der 20 am weitesten verbreiteten Schad- und Werbeprogramme. Zur Familie Packed.Win32.Black gehören Programme, die mit unlizenzierten Versionen legaler Tools zum Schutz ausführbarer Dateien gepackt wurden. In diesem Fall mit dem unter Cyberkriminellen beliebten Progamm ASProtect.

Bei dem Multimedia-Downloader GetCodec.s handelt es sich um einen direkten Verwandten von GetCodec.r.

Die früher sehr populäre Schädlings-Familie Magania wurde im Oktober ebenfalls wieder aktiviert - im Juli gelang dem Trojan-GameThief.Win32.Magania.biht der Sprung in die Top 20 der im Internet am stärksten verbreiteten Schadprogramme. Im Oktober schaffte es jetzt die neue Version - Magania.cbrt - sowie der mit dieser Familie in Verbindung stehende Trojan-Dropper.Win32.Agent.ayqa in die Top 20.

Zwischenfazit: Im Oktober 2009 gab es eine starke Verbreitung von Schadprogrammen mit Hilfe digitaler Wechseldatenträger sowie eine zwar geringe, aber trotzdem spürbare Aktivierung von Game-Trojanern.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben:

Position	Positionsänderung	Name
1	Neu	Trojan-Downloader.JS.Gumblar.x
2	Neu	Trojan-Downloader.JS.Gumblar.w
3	0	Trojan-Downloader.HTML.IFrame.sz
4	-3	not-a-virus:AdWare.Win32.Boran.z
5	-3	Trojan.JS.Redirector.l
6	-1	Trojan-Clicker.HTML.Agent.aq
7	Neu	Trojan-Downloader.JS.Zapchast.m
8	Wieder dabei	Trojan.JS.Agent.aat
9	Neu	Trojan-Downloader.JS.Small.oj
10	Neu	Exploit.JS.Agent.apw
11	-7	Exploit.JS.Pdfka.ti
12	Neu	Trojan.JS.Popupper.f
13	-1	Trojan-Downloader.JS.IstBar.bh
14	Neu	Trojan.JS.Zapchast.an
15	-6	Trojan-Downloader.JS.LuckySploit.q
16	Neu	Trojan-Downloader.JS.Agent.env
17	Neu	Trojan-Dropper.Win32.Agent.ayqa
18	Wieder dabei	Trojan-Clicker.HTML.IFrame.mq
19	Neu	Trojan-GameThief.Win32.Magania.bwsr
20	Neu	Exploit.JS.Agent.anr

Wie so oft, gibt es bei der zweiten Hitliste viele Neueinsteiger. Die ersten beiden Plätze belegen neue Versionen des Trojan-Downloaders Gumblar, der bereits im Mai dieses Jahres für Aussehen sorgte. Obwohl diese erst Ende des Monats auftauchten, konnten sie sich direkt auf den Spitzenplätzen positionieren.

Die neuen Gumblar-Versionen verfügen im Vergleich zu ihren Vorgängern über ausgereifte Technologien zur Infizierung von Webseiten. In der ersten Version wurden legale Webseiten direkt mit einem Skript infiziert. Aktuell werden auf gehackten Seiten Links auf schädliche Skripte platziert, die auf anderen legalen infizierten Ressourcen liegen. Dies erschwert die Analyse und Desinfizierung enorm. Das Skript selbst versucht, verschiedene Sicherheitslücken im Adobe Acrobat/Reader, im Adobe Flash Player und in Microsoft Office auszunutzen, um das eigentliche Schadprogramm - Trojan-PSW.Win32.Kates.j - zu laden. Das Skript lädt Kates.j auf den Anwendercomputer herunter und verschiebt es sofort in Autostart-Ordner. Der eigentliche Zweck von Gumblar ist aber der Diebstahl vertraulicher Anwenderdaten, darunter die Zugangsdaten zu den Webseiten von Anwendern, um diese später infizieren zu können.

Die Aufteilung schädlicher Skripte in ihre Einzelteile erfreut sich bei Cyberkriminellen immer größerer Beliebtheit. Im Oktober war ein Viertel der 20 in der zweiten Hitliste vertretenen Schädlinge nach diesem Prinzip aufgebaut, und zwar: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.

Fazit: Die größte Gefahr ging im Oktober von Gumblar und die dadurch verursachte Massen-infizierung legaler Webseiten aus. (Kaspersky: ma)