cSearch.de
Kaspersky Lab Top 20 der Schadprogramme, Juli 2010
Moskau/Ingolstadt, 4. August 2010 – Der Skript-Downloader Pegel hat es weiterhin auf Sicherheitslücken in Adobe- und Microsoft-Programmen abgesehen. Das zeigen die Kaspersky Lab Top 20 der Schadprogramme für Juli 2010. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:
Position | Positionsänderung | Name |
1 | 0 | Net-Worm.Win32.Kido.ir |
2 | 0 | Virus.Win32.Sality.aa |
3 | 0 | Net-Worm.Win32.Kido.ih |
4 | 0 | Net-Worm.Win32.Kido.iq |
5 | 0 | Exploit.JS.Agent.bab |
6 | 0 | Trojan.JS.Agent.bhr |
7 | 0 | Worm.Win32.FlyStudio.cu |
8 | 0 | Virus.Win32.Virut.ce |
9 | 0 | Trojan-Downloader.Win32.VB.eql |
10 | 0 | Worm.Win32.Mabezat.b |
11 | 1 | Trojan-Dropper.Win32.Flystud.yo |
12 | Neu | Worm.Win32.Autoit.xl |
13 | Neu | P2P-Worm.Win32.Palevo.aomy |
14 | -3 | P2P-Worm.Win32.Palevo.fuc |
15 | Neu | Exploit.JS.CVE-2010-0806.aa |
16 | Neu | P2P-Worm.Win32.Palevo.aoom |
17 | Neu | Hoax.Win32.ArchSMS.ih |
18 | 2 | Trojan.Win32.AutoRun.ke |
19 | Neu | Packed.Win32.Katusha.n |
20 | -5 | Trojan-Downloader.Win32.Geral.cnh |
Im Vergleich zum Juni gab es auf den ersten zehn Plätzen keinerlei Veränderungen. Sality und Virut geben ihre Positionen nicht auf, ebenso wenig wie der berühmt-berüchtigte Wurm Kido/Conficker, der sich nach wie ausbreitet.
Dafür wartete die zweite Hälfte der Top 20 mit einigen Überraschungen auf: zum Beispiel das Schadprogramm Worm.Win32.Autoit.xl (12. Platz), ein schädliches AutoIt-Skript, das die verschiedensten destruktiven Funktionen ausführt, etwa die Deaktivierung der Windows Firewall, die Anwendung verbotener Policies oder den Download und die Installation anderer Schädlinge. Interessant ist, dass nahezu ein Viertel aller Aktivitäten dieses Schadprogramms in Brasilien registriert wurde – und knapp die Hälfte in Russland und der Ukraine.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
Position | Positionsänderung | Name |
1 | 1 | Exploit.JS.Agent.bab |
2 | Neu | Trojan-Downloader.JS.Pegel.bp |
3 | 1 | Exploit.Java.CVE-2010-0886.a |
4 | 3 | AdWare.Win32.FunWeb.q |
5 | Neu | Trojan-Downloader.VBS.Agent.zs |
6 | -1 | Trojan.JS.Agent.bhr |
7 | Wiedereintritt | Exploit.Java.Agent.f |
8 | Neu | Trojan-Downloader.Java.Agent.fl |
9 | 2 | AdWare.Win32.FunWeb.ds |
10 | Neu | Trojan.JS.Agent.bhl |
11 | 3 | AdWare.Win32.Shopper.l |
12 | Neu | Exploit.HTML.CVE-2010-1885.a |
13 | Neu | AdWare.Win32.Boran.z |
14 | Neu | Exploit.Win32.IMG-TIF.b |
15 | Neu | Exploit.JS.Pdfka.bys |
16 | Neu | Trojan.JS.Agent.bmh |
17 | Neu | Exploit.JS.CVE-2010-0806.aa |
18 | Neu | Exploit.JS.Pdfka.cny |
19 | Neu | AdWare.Win32.FunWeb.ci |
20 | 0 | Trojan.JS.Redirector.cq |
Wie man der Tabelle entnehmen kann, verzeichnet Kaspersky Lab innerhalb nur eines Monats gleich 12 neue Schädlinge in seinem zweiten Ranking. Auf Platz zwei findet sich das Schadprogramm Pegel wider, dessen Aktivität im Laufe der vergangenen drei Monate unvermindert anhält. Im Juli platzierte sich eine neue Modifikation dieses Skript-Downloaders mit der Bezeichnung „bp“ in der Hitliste. Die Hälfte aller Schädlinge, die am häufigsten im Internet anzutreffen sind, sind Exploits, von denen acht bereits bekannte Sicherheitslücken ausnutzten.
Wie auch im Vormonat steht auf Platz eins das Exploit Exploit.JS.Agent.bab, das die Schwachstelle CVE-2010-0806 ausnutzt, die in Internet Explorer 6 und 7 auftritt. Darüber hinaus wird diese Sicherheitslücke auch noch von dem neuen Exploit Exploit.JS.CVE-2010-0806.aa (Platz 17) und Trojan.JS.Agent.bhr (6. Platz) ausgenutzt.
Auch die Vertreter der Plattform Java geben ihre guten Positionen nicht auf. Zu den bereits bekannten Schädlingen Exploit.Java.CVE-2010-0886.a (3. Platz) und Exploit.Java.Agent.f (7. Platz) gesellt sich ein weiteres Exemplar, und zwar Trojan-Downloader.Java.Agent.jl auf Position 8. Die beiden letztgenannten Schadprogramme nutzen die Sicherheitslücke CVE-2010-3867 aus und werden mit Hilfe des Skripts geladen, das Platz 16 unserer Top 20 belegt – Trojan.JS.Agent.bmh.
Diebstahl von Passwörtern für Online-Spiele
Bei dem Neueinsteiger auf Rang 12 unseres Ratings – Exploit.HTML.CVE-2010-1885.a – handelt es sich um ein Skript, das die Sicherheitslücke CVE-2010-1885 ausnutzt. Das Erscheinen dieser Sicherheitslücke hat Kaspersky Lab bereits Anfang des Monats in einem Blogbeitrag behandelt. Allerdings war die Sicherheitslücke zu diesem Zeitpunkt noch nicht so populär wie im Verlauf des restlichen Monats. Die Datei, die schädlichen Code enthält, ist eine HTML-Seite, in der ein iframe mit speziell formatierter Adresse enthalten ist. Nach dem Start dieser Datei wird ein anderes Skript geladen, das von Kaspersky Lab als Trojan-Downloader.JS.Psyme.aoy detektiert wird, und das anschließend einen Vertreter der Familie Trojan-GameThief.Win32.Magania lädt und startet – ein Schädling, der auf den Diebstahl von Passwörtern für Online-Games spezialisiert ist.
Die Ergebnisse des vergangenen Monats spiegeln einmal mehr die Tendenz zur Ausnutzung von Sicherheitslücken für die anschließende Verbreitung von Malware wider. Die Schwachstellen ausnutzenden Programme hielten sogar Einzug in die Hitliste der Schädlinge, die am häufigsten auf den Anwendercomputern entdeckt wurden.
Der Skript-Downloader Pegel und die von ihm ausgenutzten Sicherheitslücken (CVE-2010-0806, CVE-2010-3867 usw.) sind nach wie vor weit verbreitet – ungeachtet der Anstrengungen von Antiviren-Unternehmen sowie von Adobe und Microsoft, die recht schnell mit der Veröffentlichung von Patches reagierten. Im Juli wurde eine erhebliche Anzahl von Schadprogrammen entdeckt, die die erst kürzlich beschriebenen Schwachstellen CVE-2010-0188 und CVE-2010-1885 ausnutzen.
Unbedingt erwähnt werden muss an dieser Stelle auch die derzeit aktive Verbreitung des neuen Internet-Wurms Stuxnet, dessen Rootkit-Treiber mit legalen Signaturen ausgestattet ist. Der Wurm nutzt eine Sicherheitslücke in LNK-Dateien aus (Microsoft–Windows-Verknüpfung), für die am 3. August ein Patch von Microsoft veröffentlicht wurde. Diese Schwachstelle ermöglicht es, ohne Wissen des Anwenders willkürliche DLL-Datei zu starten, wenn die schädliche Verknüpfung als ein beliebiges anderes Programm angesehen wird, das das Icon der Verknüpfung zeigt.
Quelle: Kaspersky Labs GmbH
Es wurden leider keine passenden Einträge gefunden
