cSearch.de
Kaspersky Lab Top 20 der Schadprogramme, Dezember 2010
Moskau/Ingolstadt, 04. Januar 2011 – Im Dezember konnten die Experten von Kaspersky Lab keine gravierenden Virenvorfälle melden und sprechen daher von einem eher ruhigen Monat. Dennoch wurden im Laufe der 31 Tage des Dezembers insgesamt 209.064.328 Netzattacken abgewehrt, 67.408.107 Infizierungsversuche über das Netz blockiert, 196.651.049 schädliche Programme auf den Anwendercomputern entdeckt und unschädlich gemacht und 70.951.950 Meldungen der heuristischen Technologien registriert.
Dies geht aus den Malware-Statistiken von Kaspersky Lab für November 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die Zahl der gefälschten Antiviren-Programme ist in letzter Zeit etwas zurückgegangen, auch deshalb, weil die echten Sicherheitslösungen die „Fake-Versionen“ nun besser erkennen und bekämpfen. Doch die Kriminellen haben einen neuen Ansatz gefunden: Sie starten die gefälschte Antiviren-Lösung nicht auf dem Computer des Users, sondern im Internet. In diesem Fall ist der Download der Datei auf den Computer nicht erforderlich. Zudem ist es einfacher zu erreichen, dass der Anwender eine bestimmte Seite besucht, als den Antiviren-Schutz zu umgehen. Im letzten Monat befanden sich gleich mehrere solcher neuer „Internet-Antiviren“ unter den am häufigsten im Internet entdeckten Schadprogrammen. Zwei von ihnen waren mit Platz 18 und 20 sogar in den Top 20 vertreten. Der letztplatzierte Trojan.HTML.Fraud.ct startete sich mehrheitlich in den USA, Kanada, Großbritannien, Deutschland, Indien und Frankreich.
Schon im November konnten die Experten von Kaspersky Lab eine Zunahme der Familie Trojan-Downloader.Java.OpenConnection verzeichnen. In der Regel werden diese Schadprogramme von Cyberkriminellen auf der letzten Etappe für Drive-by-Downloads eingesetzt. Zum Upload der schädlichen Objekte auf die Anwendercomputer nutzen sie keine Sicherheitslücken aus, sondern verwenden die Methode OpenConnection der Klasse URL. Für die in Java programmierten Schädlinge zählt diese Upload-Art aktuell zu den wichtigsten Verbreitungsmethoden. Man kann davon ausgehen, dass diese Schadprogramm-Familie weiter streuen wird, sollte die Firma Oracle die ausgenutzte Lücke zum Dateidownload nicht bald schließen. Unter den Top 20 der Schadprogramme im Internet befanden sich im Dezember auf Rang zwei und sieben zwei Vertreter von Trojan-Downloader.Java.OpenConnection.
Kaspersky Lab hat im Dezember erstmalig einen Fall von massenhafter Verbreitung von schädlichen PDF-Dokumenten registriert, die Adobe XML Forms ausnutzen. Exploit.Win32.Pidief.ddl stieg gleich auf Platz elf der Internet-Rangliste ein. Es handelt sich hierbei um ein PDF–Dokument, das auf der Basis von Adobe XML Forms aufgebaut ist. Die gesamte Schadfunktionalität von Pidief.ddl ist in einem JavaScript-Skript enthalten, das in einen XML-Stream integriert ist. Im Objektmodell von Adobe XML Forms gibt es das Objekt “event”, das die Ausführung des Skripts bei Eintreten eines bestimmten Ereignisses bewirkt und über die Eigenschaft “activity” verfügt, die zur Ausführung des Skripts führt. Diese Eigenschaft enthält eine Zeile, die der Routine anzeigt, wann das Skript aufgerufen werden soll. Der Anwender initiiert den Start des schädlichen Skripts, sobald er das PDF-Dokument öffnet.
Die erste Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
| Name |
| Position | Anzahl infizierte User |
1 | AdWare.Win32.HotBar.dh | Neu | 1 | 203975 |
2 | Trojan-Downloader.Java.OpenConnection.cf | Neu | 2 | 140009 |
3 | Trojan.HTML.Iframe.dl | 1 | 3 | 105544 |
4 | Trojan.JS.Popupper.aw | 8 | 4 | 97315 |
5 | Trojan.JS.Redirector.lc | 13 | 5 | 73571 |
6 | AdWare.Win32.FunWeb.di | Wiedereintritt | 6 | 70088 |
7 | Trojan-Downloader.Java.OpenConnection.bu | -6 | 7 | 70006 |
8 | Exploit.Java.CVE-2010-0886.a | -5 | 8 | 60166 |
9 | Trojan.JS.Agent.bmx | -3 | 9 | 57539 |
10 | Exploit.JS.Agent.bab | -2 | 10 | 54889 |
11 | Exploit.Win32.Pidief.ddl | Neu | 11 | 53453 |
12 | Trojan.JS.Agent.bhr | -5 | 12 | 49883 |
13 | Trojan-Downloader.JS.Small.os | Neu | 13 | 40989 |
14 | Trojan-Clicker.JS.Agent.op | Neu | 14 | 40705 |
15 | Exploit.HTML.CVE-2010-1885.v | Wiedereintritt | 15 | 40188 |
16 | Packed.Win32.Krap.ao | Neu | 16 | 38998 |
17 | AdWare.Win32.FunWeb.fq | Neu | 17 | 36187 |
18 | Trojan.JS.Fraud.ba | Neu | 18 | 35770 |
19 | Trojan.JS.Iframe.pg | -9 | 19 | 35293 |
20 | Trojan.HTML.Fraud.ct | Neu | 20 | 33141 |
Eine Schädlingsfamilie ist im Dezember in beiden Top-20-Listen ganz weit vorne vertreten. Sie wird von Kaspersky Lab als AdWare.Win32.HotBar.dh identifiziert und enthält die Adware-Programme HotBar, Zango, ClickPotato. Diese Werbesoftware belegte mit beträchtlichem Abstand Platz eins der Internetschädlinge und den fünften Rang in den Top 20 der auf den Anwendercomputern gefundenen Schadprogramme. In der Regel wird Software dieser Art zusammen mit legalen Anwendungen installiert und nervt den Anwender gehörig, indem sie penetrant Werbung anzeigt
Die zweite Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:
| Name |
| Position | Anzahl infizierte User |
1 | Net-Worm.Win32.Kido.ir | 0 | 1 | 468580 |
2 | Net-Worm.Win32.Kido.ih | 0 | 2 | 185533 |
3 | Virus.Win32.Sality.aa | 0 | 3 | 182507 |
4 | Trojan.JS.Agent.bhr | 0 | 4 | 131077 |
5 | AdWare.Win32.HotBar.dh | Neu | 5 | 122204 |
6 | Virus.Win32.Sality.bh | 1 | 6 | 110121 |
7 | Virus.Win32.Virut.ce | -2 | 7 | 105298 |
8 | Packed.Win32.Katusha.o | 0 | 8 | 100949 |
9 | Porn-Tool.Win32.StripDance.b | Neu | 9 | 92270 |
10 | Worm.Win32.FlyStudio.cu | -4 | 10 | 88566 |
11 | Trojan.Win32.AutoRun.avp | -11 | 11 | 68970 |
12 | Exploit.JS.Agent.bab | -2 | 12 | 65139 |
13 | Trojan-Downloader.Win32.Geral.cnh | 1 | 13 | 63651 |
14 | Trojan-Downloader.Win32.VB.eql | -3 | 14 | 57155 |
15 | Exploit.Win32.CVE-2010-2568.b | -3 | 15 | 55578 |
16 | Worm.Win32.Mabezat.b | -1 | 16 | 54994 |
17 | Packed.Win32.Klone.bq | -1 | 17 | 53160 |
18 | Exploit.Win32.CVE-2010-2568.d | -5 | 18 | 50405 |
19 | AdWare.Win32.FunWeb.gq | -1 | 19 | 50272 |
20 | Worm.VBS.VirusProtection.c | Neu | 20 | 46563 |
Quelle: Kaspersky Labs GmbH
Es wurden leider keine passenden Einträge gefunden
