Doctor-Web-Virenreport März: Trojan.Encoder erpresst Lösegelder für Dateien
Neue Malware nimmt Ordner als Geisel
Doctor Web, Hersteller von Anti-Virus- und Anti-Spam-Lösungen, veröffentlicht erneut die Ergebnisse seines monatlichen Virenreports. Im März 2010 sind die Windows- und Web-Browser-Blocker endlich auf dem Rückzug, dafür drohen bereits neue Gefahren. Allein im E-Mail-Verkehr stieg die Malware-Rate um mehr als ein Fünftel. Zusätzlich zu gefälschten Antivirus-Programmen und den bereits weit verbreiteten Bot-Netzen hat Doctor Web im vergangenen Monat nach eigenen Angaben die erpresserische Malware Trojan.Encoder entdeckt, die Anwender von ihren eigenen Dateien aussperrt. Der Security-Anbieter habe daraufhin sein Erste-Hilfe-Paket erweitert und stellt einen Passwortgenerator auf seiner Website zur Verfügung, mit dessen Hilfe Nutzer das geforderte Lösegeld der Trojaner umgehen können.
Der März war gekennzeichnet durch die Entdeckung zahlreicher neuer Varianten von Trojan.Encoder,
einem erpresserischen Schadprogramm, das die Dateien der Nutzer verschlüsselt. Gegen ein Lösegeld
von bis zu 50 Dollar bekommen die Nutzer ihre Daten zurück. Die verschiedenen Versionen des
Trojaners treten unterschiedlich auf. Trojan.Encoder.67 verschlüsselt alle Daten, ausgenommen
einiger Ordner, die in einem bestimmten Verzeichnis abgelegt sind und manchmal das gesamte System
lahmlegen. Die Version Trojan.Encoder.68 dagegen platziert Daten des Nutzers in passwortgeschützten
Zip-Ordnern. Die Passworte für die Archive bestehen aus insgesamt 47 Symbolen und sind einzigartig
für jedes infizierte System. Doctor Web hat eine
spezielle Website
(www.freedrweb.com/aid_admin/) eingerichtet, darauf finden Betroffene ein Online-Formular,
mit dem sie die benötigten Passwörter kostenlos generieren und ihre Dateien wieder extrahieren
können.
Die Infektionen durch Blocker für Browser und Windows-Rechner waren im März rückläufig und
entsprechen aktuell wieder dem Niveau von Oktober 2009. Doch gibt es noch immer mehr als 10.000
Infektionen täglich, pro Woche sind es sogar 100.000. Die Blocker machen aus zwei Gründen noch
immer einen Großteil der Support-Anfragen aus: Erstens ist Selbsthilfe für die Nutzer
verhältnismäßig schwierig, da die Malware die Reaktionsmöglichkeiten stark einschränkt. Zweitens
sind die Blocker, anders als beispielsweise Trojaner, dafür konzipiert, aufzufallen. Diese
Eigenschaft sollten sich die Anwender zunutze machen und sich bei dem leisesten Verdacht an den
Support von
Doctor Web wenden. Wie die Blocker aussehen, können
Interessierte aus sicherer Entfernung auf der Website sehen. Unter schwierigen Bedingungen ist es
Doctor Web-Usern gelungen, mehr als 100 Screenshots der Malware an den technischen Support zu
senden.
Bot-Netze, also über das Internet verbundene Rechner, die mit einer ferngesteuerten Malware
infiziert wurden, haben sich im März stark verbreitet. Trojan.Oficla, auch als myLoader bekannt,
ermöglicht Bot-Netz-Gründern, ihre Software als Windows.exe-Datei im Microsoft Word-System zu
verstecken. Trojan.Oficla verbreitet sich über
Spam-Mails
und Sicherheitslücken von Webbrowsern. Rechner, die von Trojan.Oficla infiziert wurden, können wie
Zombies durch den Besitzer des Botn-Netzes fremdgesteuert werden und weiteren Schadprogrammen Tür
und Tor öffnen. Doctor Web registrierte mehr als 100.000 Infektionen der Malware in einer einzigen
Woche. Der Trojaner verbreitet sich vor allem durch E-Mails und nutzt Sicherheitslücken in
Web-Browsern. Weitere Verbreitungswege sind nicht ausgeschlossen, denn der Fantasie der Hacker sind
dabei keine Grenzen gesetzt.
Der Trojaner PWS.Ibank ist ein Schädling, der sehr leicht der Aufmerksamkeit der meisten Nutzer
entgeht. Seine zahlreichen Varianten sind darauf ausgerichtet, die Kontodaten von Bankkunden
großer, russischer Institute zu erfassen. Der Trojaner nutzt die Schwachstellen der
Online-Banking-Software aus und schickt die erbeuteten Daten an Kriminelle. Das Vorgehen der
Software ähnelt der von Keyloggern, denn sie zeichnet sämtliche Eingaben der Nutzer auf. Der
Schädling verbreitet sich in Angriffswellen, mehrmals hat Doctor Web innerhalb von nur 24 Stunden
einen starken Anstieg und einen ebenso starken Rückgang der Infektionen registriert.
Die Angriffsmethoden von gefälschten Antivirus-Programmen zeigen sich in völlig neuen
Erscheinungsformen. Die Programme ähneln immer mehr IT-Sicherheitsanwendungen und verbreiten sich
mit Techniken des Social Engineerings, das menschliche Eigenschaften ausnutzt, um an Informationen
zu gelangen. Gegen Ende des Monats stoppte der Strom von Support-Anfragen zu gefälschten,
russischen Antivirus-Programmen abrupt. Die Infektionen durch klassische Varianten der
Malware-Familie wie Trojan.Fakealert bleiben jedoch konstant bei 30 Millionen pro Monat.
Obwohl die Zahl der Schadsoftware im E-Mail-Verkehr noch einmal um 22 Prozent gestiegen ist,
reduzierte sich die Zahl der infizierten Rechner um fast ein Viertel (24%).
LANline/jos
Lesen Sie mehr zum Thema
