Online-Spieler weiterhin im Fadenkreuz der Cyberkriminellen

Schadprogramme im Dezember 2009: Angriffe werden immer ausgeklügelter

(20.01.10) - Kaspersky Lab präsentiert für den Dezember 2009 ihre zwei Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbepro-gramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwender-computer am häufigsten infiziert waren.

Die erste Liste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden:

Position	Anzeige Name
1	Net-Worm.Win32.Kido.ir
2	Net-Worm.Win32.Kido.iq
3	Net-Worm.Win32.Kido.ih
4	Virus.Win32.Sality.aa
5	Worm.Win32.FlyStudio.cu
6	not-a-virus:AdWare.Win32.GamezTar.a
7	not-a-virus:AdWare.Win32.Boran.z
8	Trojan-Downloader.Win32.VB.eql
9	Trojan-Downloader.WMA.GetCodec.s
10	Trojan.Win32.Swizzor.c
11	Trojan-GameThief.Win32.Magania.cpct
12	Virus.Win32.Virut.ce
13	Virus.Win32.Induc.a
14	Trojan-Dropper.Win32.Flystud.yo
15	Packed.Win32.Krap.ag
16	Packed.Win32.Black.a
17	Worm.Win32.Mabezat.b
18	Packed.Win32.Klone.bj
19	Packed.Win32.Black.d
20	Worm.Win32.AutoRun.dui

In dieser Top-20-Liste gab es - wie so oft - kaum Veränderungen. Interessant ist aber das im November bereits aufgetauchte Programm Packed.Win32.Krap.ag, das im Dezember vom 18. auf den 15. Platz stieg. Hierbei handelt es sich um einen speziellen Packer von Schadprogrammen, die sich als gefälschte Antivirus-Programme entpuppen. Die von Kaspersky Lab entdeckten Krap-Schadprogramme dieser Art sind im Dezember ebenfalls weiter gestiegen. Dies zeigt, dass gefälschte Antivirus-Programme bei Cyberkriminellen nach wie vor sehr beliebt sind. Der Grund: Die Betrüger können diese Schadprogramme effektiv verbreiten und so große Gewinne erzielen.

Ein bemerkenswerter Neuling im Dezember ist das Werbeprogramm GamezTar.a, das sofort auf den sechsten Platz eingestiegen ist. Dieses Programm ist als Toolbar für populäre Browser getarnt, verspricht den schnellen Zugang zu Online-Spielen und bringt unerwünschte Werbebanner auf den Bildschirm. Zudem installiert es Anwendungen, die unabhängig vom Toolbar eigenständig arbeiten und Internetanwender zum Beispiel bei der Suche oder der Darstellung von Web-Inhalten beeinträchtigen. Diese Komponenten sind in der Regel mit dem EULA (End User License Agreement) GamezTar verbunden. Da Internetnutzer allerdings eher auf den stärker auffallenden Button "click here, get free games” als auf den Schriftzug "terms of service" am unteren Rand des Bildschirms klicken, empfiehlt Kaspersky Lab, solche rechtlichen Hinweise immer zu lesen, sofern sie vorhanden sind.

Die zweite Liste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position	Name
1	Trojan-Downloader.JS.Gumblar.x
2	Trojan.JS.Redirector.l
3	not-a-virus:AdWare.Win32.GamezTar.a
4	Trojan-Downloader.HTML.IFrame.sz
5	Trojan-Clicker.JS.Iframe.db
6	not-a-virus:AdWare.Win32.Boran.z
7	Trojan.JS.Iframe.ez
8	Trojan.JS.Zapchast.bn
9	Packed.JS.Agent.bn
10	Packed.Win32.Krap.ai
11	Packed.Win32.Krap.ag
12	Exploit.JS.Pdfka.asd
13	Trojan.JS.Agent.axe
14	Trojan-Downloader.JS.Shadraem.a
15	Trojan.JS.Popupper.f
16	not-a-virus:AdWare.Win32.GamezTar.b
17	Trojan-Downloader.JS.Twetti.a
18	Trojan-Downloader.Win32.Lipler.iml
19	Trojan-Downloader.JS.Kazmet.d
20	Trojan.JS.Agent.axc

Im Gegensatz zur ersten Top-20-Liste gab es beim zweiten Ranking im Vergleich zum Vormonat zahlreiche Änderungen. Nur ein Viertel aller Schadprogramme konnte seinen Platz behaupten.

Auf Platz eins ist nach wie vor Gumblar.x. Allerdings werden die von Gumblar infizierten Webseiten von den Webmastern allmählich gesäubert. So entdeckte Kaspersky Lab im Dezember weniger Einzelversuche Gumblar zu installieren, nur ein Viertel im Vergleich zum November.

Das im ersten Ranking auftauchende Programm Krap.ag ist auch in der zweiten Rangliste aufgestiegen, und zwar um acht Plätze. Dabei gab es im Dezember anderthalb Mal mehr Versuche dieses Programm zu installieren als im Vormonat.

GamezTar.a taucht auch in der zweiten Rangliste auf. Das ist keine große Überraschung, wenn man dessen Fokussierung auf Online-Spiele berücksichtigt. Auf Platz 16 landete sogar eine weitere Modifikation dieses Schadprogramms – GamezTar.b.

Beim Neueinsteiger Trojan-Clicker.JS.Iframe.db (Platz 5) handelt es sich um ein Iframe-Installationsprogramm. Trojan.JS.Iframe.ez (neu auf Platz 7), Trojan.JS.Zapchast.bn (neu auf Platz 8), Packed.JS.Agent.bn (neu auf Platz 9), Trojan.JS.Agent.axe (neu auf Platz 13), Trojan-Downloader.JS.Shadraem.a (neu auf Platz 14) und Trojan-Downloader.JS.Kazmet.d (neu auf Platz 19) sind Skripte, die Schwachstellen in Adobe- und Microsoft-Anwendungen ausnutzen.

Interessant ist auch Trojan-Downloader.JS.Twetti.a auf Platz 17, mit dem eine Vielzahl offizieller Webseiten infiziert worden ist. Dabei sollte man vor allem den Funktions-Algorithmus dieses Installationsprogramms beachten: Nach der Entschlüsselung fanden sich in ihm weder ein Verweis auf eine auszuführende Hauptdatei noch Exploits oder Links auf Exploits! Bei der genaueren Analyse stellte sich dann heraus, dass das Skript die API-Schnittstelle des auch unter Cyber-kriminellen populären sozialen Netzwerks Twitter verwendet.

Der Trojaner funktioniert demnach folgendermaßen: Zuerst wird eine Anfrage an die API-Schnitt-stelle gestellt, deren Ergebnis Daten zu so genannten "Trends" sind - also den am meisten in Twitter veröffentlichten Themen. Anschließend wird aus den diesen Angaben ein scheinbar zufälliger Domain-Name gebildet und darauf verlinkt, natürlich wurde die Domain zuvor von den Cyberkrimi-nellen registriert. Auf dieser Domain wird auch der Hauptteil des Schadcodes untergebracht, entweder über ein PDF-Exploit oder eine auszuführende Datei. So entstehen fast in Echtzeit schädliche Links über einen Mittelsmann, in diesem Fall über Twitter.

Das Fazit für den Dezember 2009 lautet: Die Angriffe werden immer ausgeklügelter und sind immer schwerer zu analysieren. Ihr Ziel ist es, über Betrug Gewinne zu erzielen. Virtuelle Bedrohungen stellen eine immer größere Gefahr dar, die sich für Internetanwender in Wirklichkeit als völlig real erweisen. (Kaspersky: ra)