Neuer Betrugstrick: Cyberkriminelle verpacken ihre Malware
Hitliste der am weitesten verbreiteten Schad- und Werbeprogramme
Kaspersky Lab präsentiert für den November seine zwei Listen der häufigsten Schädlinge. Die mit
Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der
Heimanwenderprogramme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet sind darin
zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die
Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und
Adware), die auf den Computern der Anwender entdeckt und entfernt wurden:
Position
Positionsänderung
Name
1
0
Net-Worm.Win32.Kido.ir
2
Neu
Net-Worm.Win32.Kido.iq
3
-1
Net-Worm.Win32.Kido.ih
4
0
Virus.Win32.Sality.aa
5
0
Worm.Win32.FlyStudio.cu
6
-3
not-a-virus:AdWare.Win32.Boran.z
7
-1
Trojan-Downloader.Win32.VB.eql
8
9
Trojan-Downloader.WMA.GetCodec.s
9
1
Virus.Win32.Virut.ce
10
-3
Virus.Win32.Induc.a
11
-2
Worm.Win32.AutoRun.awkp
12
-4
Packed.Win32.Black.d
13
-2
Packed.Win32.Black.a
14
-1
Trojan-Dropper.Win32.Flystud.yo
15
-3
Worm.Win32.AutoRun.dui
16
-1
Packed.Win32.Klone.bj
17
1
Worm.Win32.Mabezat.b
18
Neu
Packed.Win32.Krap.ag
19
Neu
Trojan-GameThief.Win32.Magania.ckqi
20
Neu
Trojan.Win32.Genome.bjgu
Insgesamt gab es in der Hitliste im Vergleich zum Vormonat nur wenige Veränderungen, einige
davon sind aber durchaus erwähnenswert.
So landete der Neueinsteiger Kido.iq direkt auf dem zweiten Platz. Dieses Schadprogramm
funktioniert ähnlich wie der Erstplatzierte der vergangenen Monate, Kido.ir, der bereits im
September den Sprung in die Hitliste schaffte (www.viruslist.com/de/analysis?pubid=200883664).
Auch das Vorrücken des Multimedia-Downloaders GetCodec.s von Platz 17 auf acht ist überaus
interessant, denn die Zahl der Computer, auf denen GetCodec entdeckt wurde, hat sich damit mehr als
verdoppelt. GetCodec.s verbreitet sich in Verbindung mit dem Wurm P2P-Worm.Win32.Nugg, analog zu
der Version GetCodec.r, über die Kaspersky Lab bereits im Dezember des vergangenen Jahres berichtet
hat (www.viruslist.com/de/analysis?pubid=200883638).
Offensichtlich versuchen die Cyberkriminellen wieder einmal, den Wurm P2P-Worm.Win32.Nugg über das
Filesharing-Netzwerk Gnutella (in diesem Fall über die populäre Anwendung LimeWire) zu
verbreiten.
Ein weiterer erwähnenswerter Neuling ist Packed.Win32.Krap.ag, ein spezieller Packer von
Schadprogrammen: Die Schädlinge sind gefälschte Antivirus-Programme, denen Kaspersky Lab kürzlich
eine eigene Analyse gewidmet hat (www.viruslist.com/de/analysis?pubid=200883672).
Hitliste der Schadprogramme, mit denen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet
am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider.
Position
Positionsänderung
Name
1
0
Trojan-Downloader.JS.Gumblar.x
2
1
Trojan-Downloader.HTML.IFrame.sz
3
Neu
Trojan-Clicker.JS.Iframe.be
4
0
not-a-virus:AdWare.Win32.Boran.z
5
0
Trojan.JS.Redirector.l
6
Neu
Trojan.JS.Ramif.a
7
1
Trojan.JS.Agent.aat
8
-2
Trojan-Clicker.HTML.Agent.aq
Gumblar ist nach wie vor sehr aktiv. Er führt die zweite Hitliste der Internetschädlinge mit
weitem Abstand an; die Anzahl der Versuche, dieses Schadprogramm auf Anwendercomputer zu laden, hat
sich fast vervierfacht.
Gumblar-Attacken, über die die Experten schon vor einem Monat berichteten (www.viruslist.com/de/analysis?pubid=200883670),
haben sich im November fortgesetzt. Doch im Gegensatz zu dem Angriff vor einem halben Jahr (www.viruslist.com/de/analysis?pubid=200883654)
wurden alle Angriffskomponenten im Laufe des Monats regelmäßig modifiziert.
Auch in der zweiten Hitliste tauchen gefälschte Antiviren-Programme auf. Sie werden unter
anderem durch den Download von Webseiten auf Anwendercomputer verbreitet. Im November hat Kaspersky
Lab die beliebtesten Web-Seiten, von denen gefälschte Antiviren-Software geladen wurde, als
Trojan.HTML.Fraud.r und Trojan-Downloader.HTML.FraudLoad.b klassifiziert. Von diesen Seiten wurde
unter anderem auch der bereits erwähnte Packed.Win32.Krap.ag auf die Anwendercomputer geladen,
daher taucht dieser auch in der zweiten Hitliste auf.
Fazit
Das Bild des Monats November ist im Großen und Ganzen dasselbe wie in den Vormonaten. Aktuell
werden die Schädlinge meist nach zwei Schemata verbreitet, und zwar:
· "schädliches Skript + Exploit + ausführbare Datei"
· "schädliches Skript + ausführbare Datei"
Auf diese Art wird Malware verbreitet, die vertrauliche Daten oder direkt Geld von den Anwendern
stiehlt. Die besten Beispiele hierfür sind Trojan-PSW.Win32.Kates, dessen Download vor allem eine
Gumblar-Attacke initiiert, oder Trojan-Spy.Win32.Zbot, ein weit verbreiteter Trojaner, der sich
mittels Skript-Downloadern und verschiedenen Spam-Aktivitäten aktiv ausbreitet. Auch viele
gefälschte Antiviren-Programme passen in dieses Verbreitungsschema.
Eine weitere Tendenz der vergangenen Monate, die sich auch im November fortgesetzt hat, ist die
Verbreitung gefälschter Antiviren-Software unter Verwendung von Web-Seiten-Schablonen.
Die Cyberkriminellen haben im vergangenen Monat auch verstärkt (zumeist polymorphe) Packer
eingesetzt, in der Hoffnung, ihre Schädlinge in gepackter Form vor Entdeckung zu schützen, ohne
deren Funktionalität wesentlich verändern zu müssen.
LANline/jos
Lesen Sie mehr zum Thema
