cSearch.de
Moskau/Ingolstadt, 7. April 2010 – Kaspersky Lab präsentiert für März 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden.
Position | Positionsänderung | Name |
1 | 0 | Net-Worm.Win32.Kido.ir |
2 | 0 | Virus.Win32.Sality.aa |
3 | 0 | Net-Worm.Win32.Kido.ih |
4 | 0 | Net-Worm.Win32.Kido.iq |
5 | 0 | Worm.Win32.FlyStudio.cu |
6 | 0 | Trojan-Downloader.Win32.VB.eql |
7 | Neu | Trojan.Win32.AutoRun.abj |
8 | 1 | Virus.Win32.Virut.ce |
9 | 1 | Packed.Win32.Krap.l |
10 | -2 | Worm.Win32.AutoIt.tc |
11 | 4 | Worm.Win32.Mabezat.b |
12 | -5 | Exploit.JS.Aurora.a |
13 | Neu | Packed.Win32.Krap.as |
14 | Neu | Trojan.Win32.AutoRun.aay |
15 | 3 | Trojan-Dropper.Win32.Flystud.yo |
16 | -4 | Virus.Win32.Induc.a |
17 | -4 | not-a-virus:AdWare.Win32.RK.aw |
18 | Neu | Trojan.Win32.AutoRun.abd |
19 | -5 | not-a-virus:AdWare.Win32.Boran.z |
20 | 0 | not-a-virus:AdWare.Win32.FunWeb.q |
Die Zusammensetzung unserer ersten Hitliste weist im März keine einschneidenden Veränderungen auf.
Zu den wichtigsten Neuerungen gehört das Auftauchen von gleich drei Versionen des Trojaners Autorun. Wie schon vor zwei Monaten, handelt es sich hierbei um autorun.inf-Dateien, mit deren Hilfe über mobile Datenträger die Schädlinge P2P-Worm.Win32.Palevo und Trojan-GameThief.Win32.Magania verbreitet werden.
Wieder einmal schaffte ein neuer Packed-Vertreter den Sprung in die aktuelle Top 20. In diesem Fall verbergen sich unter dem Namen Packed.Win32.Krap.as (Platz 13) gefälschte Antiviren-Programme. In jüngster Zeit werden speziell entwickelte Packer für ausführbare Dateien vermehrt eingesetzt. Regelmäßig werden neue Methoden zum Packen und Verbergen der tatsächlichen Funktion der Schädlinge entwickelt, was durch den praktisch monatlichen Wechsel von Modifikationen der Familie Krap und anderer bestätigt wird.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
Position | Positionsänderung | Name |
1 | 0 | Trojan-Downloader.JS.Gumblar.x |
2 | Neu | Exploit.JS.CVE-2010-0806.i |
3 | -1 | Trojan.JS.Redirector.l |
4 | 2 | Trojan-Clicker.JS.Iframe.ea |
5 | 4 | Exploit.JS.Aurora.a |
6 | 4 | Trojan.JS.Agent.aui |
7 | -3 | not-a-virus:AdWare.Win32.Boran.z |
8 | Neu | Trojan.HTML.Fraud.aj |
9 | Neu | Packed.Win32.Krap.as |
10 | Neu | Exploit.JS.CVE-2010-0806.b |
11 | Neu | Trojan.JS.FakeUpdate.ab |
12 | Neu | Trojan.HTML.Fraud.aq |
13 | 3 | Packed.Win32.Krap.ai |
14 | Wieder dabei | Trojan-Downloader.JS.Twetti.a |
15 | Neu | Exploit.JS.Pdfka.bub |
16 | Neu | Trojan-Downloader.JS.Iframe.byo |
17 | Neu | Trojan.JS.FakeUpdate.aa |
18 | Wieder dabei | not-a-virus:AdWare.Win32.Shopper.l |
19 | Neu | Trojan-Clicker.HTML.IFrame.fh |
20 | Neu | Packed.Win32.Krap.ao |
Das Ranking liefert wieder einmal viele interessante Erkenntnisse.
Beginnen wir mit einer absolut neuen Sicherheitslücke <a href=”http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806”>CVE-2010-0806</a> im Internet Explorer, für die ein Exploit weite Verbreitung fand, nachdem die Schwachstelle etwas zu genau beschrieben wurde. Dementsprechend finden sich in unseren zweiten Top 20 zwei unterschiedliche Varianten, und zwar Exploit.JS.CVE-2010-0806.i und Exploit.JS.CVE-2010-0806.b.
Aktuell beobachtet Kaspersky Lab eine neue Welle von Gumblar-Epidemien. Neben einer alten Version des Downloaders, die als Gumblar.x erkannt wird und die Spitzenposition in der Hitliste belegt, erschien im März auch eine aktualisierte Version, die bereits als HEUR:Trojan-Downloader.Script.Generic erkannt wird.
Der Exploit Aurora.a, über den wir ebenfalls bereits im Februar berichteten, wird von den Cyberkriminellen weiterhin oft und gern eingesetzt. Die Folge: Aurora.a stieg von Platz 9 auf die 5. Position.
Der interessante Downloader Twetti.a (14. Platz im Ranking), über den wir im Dezember vergangenen Jahres berichteten, kehrte nach zweimonatiger Pause wieder in die Monatsstatistik zurück. Ähnlich wie im Fall Gumblar nahmen sich die Online-Betrüger eine kleine Auszeit, um gleich darauf erneut die Infizierung von unzähligen Webressourcen mit diesem Schädling zu provozieren.
Auch der Exploit.JS.Pdfka.bub (Platz 15) landete nicht von ungefähr in unseren Top 20: Diese schädliche PDF-Datei dient als Komponente einer Drive-by-Attacke, deren Ausgangspunkt Twetti.a ist.
Das Fazit des Monats unterscheidet sich kaum von dem der vergangenen Monate: Die Anwender werden über das Netz unter Ausnutzung von regelmäßig auftauchenden Schwachstellen in populärer Software angegriffen. Glücklicherweise werden die meisten Sicherheitslücken umgehend von den Herstellern ausgebessert. Leider installieren aber bei weitem nicht alle Anwender rechtzeitig die entsprechenden Patches. In jüngster Zeit nutzen die Schädlinge bei den Angriffen vermehrt die Gutgläubigkeit und Unerfahrenheit der Nutzer. Unter Schadprogrammen dieser Art erfreuten sich im März die bereits erwähnten gefälschten AV-Programme sowie Blocker großer Beliebtheit unter den Cyberkriminellen.
Quelle: Kaspersky Labs GmbH
Es wurden leider keine passenden Einträge gefunden
