Attacken auf Filesharer; Aus China kommen die meisten Infizierungsversuche

Kaspersky Lab Top 20 der Schadprogramme im Juni 2010

(12.07.10) - Vor allem Filesharer stehen derzeit unter Beschuss durch Cyberkriminelle. Das zeigen die Kaspersky Lab Top 20 der Schadprogramme für Juni 2010. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme "Kaspersky Anti-Virus" und "Kaspersky Internet Security". Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position	Positionsänderung	Name
1	0	Net-Worm.Win32.Kido.ir
2	0	Virus.Win32.Sality.aa
3	0	Net-Worm.Win32.Kido.ih
4	0	Net-Worm.Win32.Kido.iq
5	Neu	Exploit.JS.Agent.bab
6	-1	Trojan.JS.Agent.bhr
7	-1	Worm.Win32.FlyStudio.cu
8	-1	Virus.Win32.Virut.ce
9	-1	Trojan-Downloader.Win32.VB.eql
10	-1	Worm.Win32.Mabezat.b
11	Neu	P2P-Worm.Win32.Palevo.fuc
12	-2	Trojan-Dropper.Win32.Flystud.yo
13	Neu	Worm.Win32.VBNA.b
14	0	Trojan.Win32.Autoit.ci
15	2	Trojan-Downloader.Win32.Geral.cnh
16	-5	Worm.Win32.AutoIt.tc
17	-5	Packed.Win32.Krap.l
18	Neu	Trojan.Win32.AutoRun.aje
19	Wieder dabei	Email-Worm.Win32.Brontok.q
20	Neu	Trojan.Win32.Autorun.ke

Die erste Top-20-Liste blieb gegenüber dem Vormonat praktisch unverändert. Die Plätze eins bis vier belegen nach wie vor der Wurm Kido und der Virus Sality. Die einzige Veränderung gegenüber dem Monat Mai ist das neue Exploit Agent.bab auf Platz fünf.

Die neue Modifikation des populären P2P-Worm.Palevo belegte im Juni Platz 11 der Hitliste. Palevo.fuc hat es auf vertrauliche Daten abgesehen, die der Anwender über das Browserfenster eingibt.

Eine der wichtigsten Verbreitungswege des Schadprogramms sind Peer-To-Peer-Netzwerke, über die Dateien im Internet ausgetauscht werden können. Der Wurm verbreitet sich unter anderem über BearShare, iMesh, Shareaza und eMule. Seine Verbreitungswege: vielfaches Kopieren in Netzverzeichnisse und allgemeine Netzressourcen, Versenden von Links zum Download über Internet-Pager oder Infizierung über mobile Datenträger unter Verwendung von des Trojaners Win32.Autorun.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position	Positionsänderung	Name
1	0	Trojan-Clicker.JS.Iframe.bb
2	Neu	Exploit.JS.Agent.bab
3	Wieder dabei	Trojan-Downloader.JS.Pegel.b
4	-2	Exploit.Java.CVE-2010-0886.a
5	0	Trojan.JS.Agent.bhr
6	Neu	Exploit.JS.Pdfka.clk
7	0	not-a-virus:AdWare.Win32.FunWeb.q
8	Neu	Exploit.JS.Pdfka.ckp
9	Neu	Worm.Win32.VBNA.b
10	1	Trojan-Clicker.JS.Agent.ma
11	Neu	Hoax.HTML.FakeAntivirus.f
12	Neu	not-a-virus:AdWare.Win32.FunWeb.ds
13	-5	Exploit.JS.CVE-2010-0806.i
14	Neu	Exploit.JS.Pdfka.clm
15	0	not-a-virus:AdWare.Win32.Shopper.l
16	0	Trojan.JS.Redirector.l
17	-8	Exploit.JS.CVE-2010-0806.b
18	Neu	Trojan.JS.Agent.bky
19	Neu	Trojan.JS.Fraud.af
20	-17	Trojan.JS.Redirector.cq

Trotz großer Veränderungen in der Hitliste konnten fünf Schadprogramme aus dem Vormonat, darunter auch der Spitzenreiter, ihre Positionen behaupten.

Die unerwartete Rückkehr von Trojan-Downloader.JS.Pegel.b (Platz 3) erinnert an die Situation, die Kaspersky Lab bereits im April in Bezug auf Trojan-Downloader.JS.Gumblar.x beschrieben hat. Erhöhte Aktivität des Schädlings Pegel registrierte Kaspersky Lab im Februar dieses Jahres, als gleich sechs Vertreter dieser Familie - angeführt von der Modifikation Pegel.b - Plätze in den Top-20 der im Internet am weitesten verbreiteten Schädlinge belegten. In Verbindung mit Pegel.b wurden verschiedene PDF-Exploits sowie das Exploit Java CVE-2010-0886 eingesetzt.

Betrügerische Antiviren-Software

In jüngster Zeit stößt man immer häufiger auf Internet-Seiten, auf denen dem Anwender mitgeteilt wird, dass sich auf seinem Computer eine Vielzahl von Schädlingen tummelt. Gleichzeitig wird eine sofortige Desinfizierung des Rechners angeboten. Im Browser wird das Fenster "Eigene Dateien" dargestellt, die umgehend nach Viren gescannt werden. Nach Beendigung dieses angeblichen "Scans" löst der User selbst den Download des "Antiviren-Programms" aus, und zwar vollkommen unabhängig davon, worauf er klickt - selbst wenn er die Seite schließen will. In den meisten Fällen handelt es sich bei dem angeblichen Antiviren-Programm um den neuesten Vertreter von Erpressungs-Trojanern oder aber um Trojan.Win32.FraudPack. Derartige Seiten sind den Anwendern von Kaspersky-Produkten unter der Bezeichnung Hoax.HTML.FakeAntivirus.f und Trojan.JS.Fraud.af bekannt (beides Neueinsteiger in den Top 20 für Juni). (Kaspersky: ma)