Gumblar. x nach fast vollständigem Erliegen erneut wieder an der Spitze

Kasperskys Top 20 der Schadprogramme im Februar 2010: Kido-Epidemie leicht rückläufig

(19.03.10) - Kaspersky Lab präsentiert für Februar 2010 ihre zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme "Kaspersky Anti-Virus" und "Kaspersky Internet Security". Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbepro-gramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwender-computer am häufigsten infiziert waren.

Nach der Anzahl der Infizierungen zu urteilen, ist die Kido-Epidemie leicht rückläufig, denn die Top 5 der Schadprogramme blieben unverändert. Auf Platz 7 landete ein schwer beschäftigter Vertreter der Gattung Exploit - ein Programm also, das Sicherheitslücken in Softwareprodukten ausnutzt - und zwar Exploit.JS.Aurora.a. Neu im Ranking waren im Februar zwei AdWare-Programme.

Ein besonders gutes Beispiel für ein weitverbreitetes Werbeprogramm ist FunWeb.q auf Platz 20. Dieses Programm ist eine Toolbar für gängige Browser und gewährleistet dem Anwender schnellen Zugriff auf die Inhalte gewisser Websites (meist mit medizinischen Inhalten). Zur Darstellung der Werbung verändert es die Ansicht der Seite, die der Anwender besucht.

Bei not-a-virus:AdWare.Win32.RK.aw auf Platz 13 ist der Fall etwas komplizierter. Es handelt sich hierbei um die Anwendung Relevant Knowledge, die zusammen mit verschiedenen anderen Software-Produkten verbreitet und installiert wird. In der Benutzervereinbarung wird darauf hingewiesen, dass dieses Programm automatisch persönliche Anwenderdaten sammelt, jede Aktivität des Benutzers - insbesondere im Internet - verfolgt und diese dann auf seinen Servern speichert. Dies dient angeblich nur höheren Zielen ("zur Gestaltung der Zukunft des Internets"), und es wird versichert, dass die Daten sorgfältig geschützt würden. Ob man diesen Versprechungen glauben möchte oder nicht, muss dann jeder Anwender für sich entscheiden.

Die Schadprogramm-Situation im Internet war im Februar überaus interessant. Gumblar.x steht erneut an der Spitze der Top 20 - nachdem die Epidemie dieses Schädlings im Januar fast vollständig zum Erliegen gekommen war, nahm sie im Februar wieder volle Fahrt auf. Das zeigt, dass die nächste Gumblar-Attacke, über die Kaspersky vor einem Monat spekulierte, nicht lange auf sich warten ließ. Im Gegensatz zur vorhergehenden Attacke haben die Cyberkriminellen dieses Mal allerdings keine Veränderungen vorgenommen - sie haben einfach neue Daten für den Zugriff auf die Websites der Anwender gewählt, um sie so massenhaft zu infizieren.

Des Weiteren hat sich das Ausmaß der Pegel-Epidemie im Vergleich zum Januar versechsfacht: Unter den Neueinsteigern im Ranking befinden sich gleich vier Vertreter dieser Familie, von denen einer direkt den Sprung auf die dritte Position schaffte. Dieser Downloader ist Gumblar ähnlich, denn er infiziert ebenfalls legitime Websites. Ruft der Anwender eine infizierte Seite auf, wird er von dem integrierten Skript auf die Ressource der Kriminellen umgeleitet.

Um bei dem Anwender möglichst wenig Misstrauen zu erwecken, verwenden die Online-Betrüger in den Adressen der schädlichen Sites Namen populärer Websites, wie z.B.:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Über Links ist ein weiteres Skript eingerichtet, das mit verschiedenen Mitteln versucht, die ausführbare Hauptdatei zu laden. Die dabei verwendeten Methoden sind bekannt - die Ausnutzung von Schwachstellen in den großen Software-Produkten Internet Explorer (CVE-2006-0003: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003) und Adobe Reader (CVE-2007-5659: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, CVE-2009-0927: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) sowie der Download mit Hilfe eines speziellen Java-Applets.

Die ausführbare Hauptdatei ist dann immer der berüchtigte Backdoor.Win32.Bredolab, der mit verschiedenen schädlichen Packern bestückt ist (von denen einige als Packed.Win32.Krap.ar und Packed.Win32.Krap.ao erkannt werden). Es sei hier daran erinnert, dass er neben seiner Hauptfunktionalität - der Fernsteuerung des Anwendercomputers - auch in der Lage ist, andere schädliche Dateien zu laden.

Auf dem 9. Platz schließlich befindet sich Exploit.JS.Aurora.a. Aurora.a ist ein Exploit für die Sicherheitslücke CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249), die nach einer großangelegten Attacke im Januar gleich in mehreren Versionen des Internet Explorers entdeckt wurde.

Die Attacke, über die ausnahmslos alle IT-Fachpublikationen berichteten, nimmt Großkonzerne (wie etwa Google und Adobe) ins Visier und wurde "Aurora" getauft (http://en.wikipedia.org/wiki/Operation_Aurora) - nach dem Verzeichnis, das eine der ausführbaren Hauptdateien verwendet. Ziel der Attacke ist das Abschöpfen von persönlichen Informationen der Anwender sowie des intellektuellen Eigentums der Unternehmen, wie etwa Quellcodes von Projekten. Die Umsetzung erfolgt mit Hilfe von E-Mails, die einen Link auf die schädliche Website mit dem Exploit enthalten, welches dann die ausführbare Hauptdatei auf den Computer des Anwenders lädt, ohne dass dieser es bemerkt.

Bemerkenswert ist, dass Mitarbeiter von Microsoft einige Monate vor Beginn der Attacke von der Sicherheitslücke wussten, sie aber erst einen Monat nach ihrer Entdeckung ausbesserten. Man kann sich denken, dass im Laufe dieses Monats der Quellcode des Exploits öffentlich wurde und nur die faulsten unter den Cyberbetrügern darauf verzichteten, ihn in ihren Attacken einzusetzen - in den Datenbanken von Kaspersky befinden sich bereits mehr als hundert verschiedene Ausnutzungs-Varianten dieser Schwachstelle.

Nach wie vor geht die größte Gefahr für den Anwender von Sicherheitslücken in populären Software-Produkten aus. Bedenkt man, dass die Cyberkriminellen versuchen, Schwachstellen auszunutzen, die bereits vor Jahren entdeckt wurden, so kommt man zu dem Schluss, dass diese Sicherheits-lücken immer noch aktuell sind. Selbst wenn man alle Updates für große Programmpakete rechtzeitig installiert, kann man leider nicht hundertprozentig davon ausgehen, dass der Computer sicher ist, da die Hersteller dieser Software die entsprechenden Patches für die erkannten Schwachstellen nicht immer rechtzeitig veröffentlichen. Daher ist bei der Arbeit mit dem Computer größte Vorsicht geboten sowie der Gebrauch eines Antiviren-Programms mit den neusten Aktualisierungen dringend zu empfehlen. (Kaspersky: ma)