Schadprogramme im März 2010: Gleich drei Versionen des Trojaners Autorun aufgetaucht

Schädliche PDF-Datei dient als Komponente einer Drive-by-Attacke

(12.04.10) - Kaspersky Lab präsentiert für März 2010 ihre am häufigsten erfassten Schädlinge. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Liste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden.

Position	Positionsänderung	Name
1	0	Net-Worm.Win32.Kido.ir
2	0	Virus.Win32.Sality.aa
3	0	Net-Worm.Win32.Kido.ih
4	0	Net-Worm.Win32.Kido.iq
5	0	Worm.Win32.FlyStudio.cu
6	0	Trojan-Downloader.Win32.VB.eql
7	Neu	Trojan.Win32.AutoRun.abj
8	1	Virus.Win32.Virut.ce
9	1	Packed.Win32.Krap.l
10	-2	Worm.Win32.AutoIt.tc
11	4	Worm.Win32.Mabezat.b
12	-5	Exploit.JS.Aurora.a
13	Neu	Packed.Win32.Krap.as
14	Neu	Trojan.Win32.AutoRun.aay
15	3	Trojan-Dropper.Win32.Flystud.yo
16	-4	Virus.Win32.Induc.a
17	-4	not-a-virus:AdWare.Win32.RK.aw
18	Neu	Trojan.Win32.AutoRun.abd
19	-5	not-a-virus:AdWare.Win32.Boran.z
20	0	not-a-virus:AdWare.Win32.FunWeb.q

Die Zusammensetzung der ersten Liste weist im März keine einschneidenden Veränderungen auf. Zu den wichtigsten Neuerungen gehört das Auftauchen von gleich drei Versionen des Trojaners Autorun. Wie schon vor zwei Monaten, handelt es sich hierbei um autorun.inf-Dateien, mit deren Hilfe über mobile Datenträger die Schädlinge P2P-Worm.Win32.Palevo und Trojan-GameThief.Win32.Magania verbreitet werden.

Wieder einmal schaffte ein neuer Packed-Vertreter den Sprung in die aktuelle Top 20. In diesem Fall verbergen sich unter dem Namen Packed.Win32.Krap.as (Platz 13) gefälschte Antiviren-Programme. In jüngster Zeit werden speziell entwickelte Packer für ausführbare Dateien vermehrt eingesetzt. Regelmäßig werden neue Methoden zum Packen und Verbergen der tatsächlichen Funktion der Schädlinge entwickelt, was durch den praktisch monatlichen Wechsel von Modifikationen der Familie Krap und anderer bestätigt wird.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position	Positionsänderung	Name
1	0	Trojan-Downloader.JS.Gumblar.x
2	Neu	Exploit.JS.CVE-2010-0806.i
3	-1	Trojan.JS.Redirector.l
4	2	Trojan-Clicker.JS.Iframe.ea
5	4	Exploit.JS.Aurora.a
6	4	Trojan.JS.Agent.aui
7	-3	not-a-virus:AdWare.Win32.Boran.z
8	Neu	Trojan.HTML.Fraud.aj
9	Neu	Packed.Win32.Krap.as
10	Neu	Exploit.JS.CVE-2010-0806.b
11	Neu	Trojan.JS.FakeUpdate.ab
12	Neu	Trojan.HTML.Fraud.aq
13	3	Packed.Win32.Krap.ai
14	Wieder dabei	Trojan-Downloader.JS.Twetti.a
15	Neu	Exploit.JS.Pdfka.bub
16	Neu	Trojan-Downloader.JS.Iframe.byo
17	Neu	Trojan.JS.FakeUpdate.aa
18	Wieder dabei	not-a-virus:AdWare.Win32.Shopper.l
19	Neu	Trojan-Clicker.HTML.IFrame.fh
20	Neu	Packed.Win32.Krap.ao

Das Ranking liefert wieder einmal viele interessante Erkenntnisse. Zum einen war da die neue Sicherheitslücke im Internet Explorer, für die ein Exploit weite Verbreitung fand, nachdem die Schwachstelle etwas zu genau beschrieben wurde. Dementsprechend finden sich in der zweiten Liste zwei unterschiedliche Varianten, und zwar Exploit.JS.CVE-2010-0806.i und Exploit.JS.CVE-2010-0806.b.

Aktuell beobachtet Kaspersky Lab eine neue Welle von Gumblar-Epidemien. Neben einer alten Version des Downloaders, die als Gumblar.x erkannt wird und die Spitzenposition in der Liste belegt, erschien im März auch eine aktualisierte Version, die bereits als HEUR:Trojan-Downloader.Script.Generic erkannt wird.

Der Exploit Aurora.a, über den ebenfalls bereits im Februar berichtete wurde, wird von den Cyberkriminellen weiterhin oft und gern eingesetzt. Die Folge: Aurora.a stieg von Platz 9 auf die 5. Position.

Der interessante Downloader Twetti.a (14. Platz im Ranking) kehrte nach zweimonatiger Pause wieder in die Monatsstatistik zurück. Ähnlich wie im Fall Gumblar nahmen sich die Online-Betrüger eine kleine Auszeit, um gleich darauf erneut die Infizierung von unzähligen Webressourcen mit diesem Schädling zu provozieren.

Auch der Exploit.JS.Pdfka.bub (Platz 15) landete nicht von ungefähr in der Auflistung: Diese schädliche PDF-Datei dient als Komponente einer Drive-by-Attacke, deren Ausgangspunkt Twetti.a ist.

Das Fazit des Monats unterscheidet sich kaum von dem der vergangenen Monate: Die Anwender werden über das Netz unter Ausnutzung von regelmäßig auftauchenden Schwachstellen in populärer Software angegriffen. Glücklicherweise werden die meisten Sicherheitslücken umgehend von den Herstellern ausgebessert. Leider installieren aber bei weitem nicht alle Anwender rechtzeitig die entsprechenden Patches. In jüngster Zeit nutzen die Schädlinge bei den Angriffen vermehrt die Gutgläubigkeit und Unerfahrenheit der Nutzer. Unter Schadprogrammen dieser Art erfreuten sich im März die bereits erwähnten gefälschten AV-Programme sowie Blocker großer Beliebtheit unter den Cyberkriminellen. (Kaspersky: ma)