Kaspersky Lab veröffentlicht Malware-Report inklusive der Top 20 der Schadprogramme im Juni 2011

Moskau/Ingolstadt, 13. Juli 2011 - Im Juni 2011 konnten in Südostasien, Russland und den USA zahlreiche Cyberkriminelle entlarvt und dingfest gemacht werden. Hierbei kam die erfolgreiche Kooperation von Behörden aus der ganzen Welt zum Tragen. Dennoch gibt es auch weiterhin von der anderen Seite der Macht zu berichten: Kaspersky Lab stellte im Juni vermehrt Angriffe auf Mac-Nutzer fest. Darüber hinaus tauchte ein Schadprogramm auf, das andere Dateien auf Anwender-Computern infiziert. Experten dachten, diese Art von Malware sei bereits ausgestorben.

Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im Juni 2011 wehrten die Kaspersky-Heimanwenderlösungen 249.345.057 Netzattacken ab, blockierten 68.894.639 Infektionsversuche über das Web und neutralisierten insgesamt 216.177.223 Schadprogramme.

Attacken gegen Mac-Nutzer
Mac-Nutzer werden immer mehr zum Angriffsziel der Cyberkriminellen. Während im Mai gefälschte Antiviren-Lösungen für diese Plattform entdeckt wurden, verbreiteten Betrüger im Juni das Schadprogramm Backdoor.OSX.Olyx.a, das infizierte Macs fernsteuern kann. Cyberkriminelle sind so in der Lage, das befallene System etwa zum Download anderer Schädlinge, zum Starten von Programmen und zum Ausführen von Befehlen zu missbrauchen. Marco Preuß, Head of Global Research and Analysis Team, DACH bei Kaspersky Lab, erklärt den allgemeinen Anstieg von Mac-Malware in den vergangenen Monaten: „Der Marktanteil von Apple Mac ist seit dem Umstieg auf Intel-Prozessoren im Jahr 2006 kontinuierlich gewachsen. Hinzu kommt die Popularität der Marke Apple mit seinen mobilen Devices wie dem iPod, iPhone und schließlich dem iPad. Die Benutzergemeinde wächst somit und wird zu einem immer interessanteren Ziel für Cyberkriminelle."

International effektiv: Schläge gegen Cybercrime-Szene
Im Juni erzielten die Strafverfolgungsbehörden weltweit Erfolge im Kampf gegen Cyberkriminalität. Die erfolgreichen Verhaftungen fußen zum Teil auf eine gelungene länderübergreifende Zusammenarbeit. So gelang es den Behörden in den USA, zwei internationale Gruppen zu zerschlagen, die Geld über den Verkauf gefälschter Antiviren-Programme abgriffen. Nach vorläufigen Schätzungen betrug der von ihnen verursachte Schaden 74 Millionen US-Dollar. Neben den nordamerikanischen Geheimdiensten waren an der Operation insgesamt elf weitere Landesbehörden beteiligt - unter anderem aus Deutschland, Frankreich und Großbritannien.

Auch in einigen südostasiatischen Ländern wurden etwa 600 Personen wegen Internetbetrugs dingfest gemacht. Schließlich wurde in Russland Pavel Vrublevsky, der Inhaber des größten russischen Online-Zahlungsdienstes ChronoPay, verhaftet. Ihm wird vorgeworfen, DDoS-Attacken [1] auf einen Konkurrenz-Service organisiert zu haben.

Folgende Rangliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.

Position    Positionsänderung    Name
1                      2                                   AdWare.Win32.FunWeb.kd
2                      4                                   Trojan-Downloader.JS.Agent.fxq
3                      2                                  AdWare.Win32.FunWeb.jp
4                      -2                                 Trojan.JS.Popupper.aw
5                      Neu                            Trojan.JS.Redirector.pz
6                      5                                  Trojan.HTML.Iframe.dl
7                      Neu                             Trojan.JS.Redirector.qa
8                      Neu                             Trojan.JS.Redirector.py
9                      Neu                             Trojan.JS.Redirector.qb
10                    Neu                             Exploit.HTML.CVE-2010-4452.bc
11                    Neu                             Trojan-Downloader.JS.Agent.gbj
12                    Neu                            Trojan-Downloader.JS.Agent.fzn
13                    Neu                             Trojan-Downloader.JS.Agent.gay
14                    Neu                             Trojan-Downloader.JS.Iframe.cfw
15                    Neu                             Trojan.JS.Iframe.tm
16                    Neu                             Exploit.JS.Pdfka.dyi
17                    Neu                              Exploit.JS.Pdfka.duj
18                    Neu                             Trojan-Ransom.JS.SMSer.id
19                    Neu                             Trojan-Downloader.JS.Agent.gaf
20                    -1                                 Hoax.Win32.Screensaver.b

In den Top 20 für Juni waren vier Redirect-Schädlinge vertreten: Trojan-Downloader.JS.Agent.fzn (12. Platz), Trojan-Downloader.JS.Agent.gay (13. Platz), Trojan-Downloader.JS.IFrame.cfw (14. Platz) und Trojan.JS.IFrame.tm (15. Platz). Während die beiden letztgenannten Schädlinge primitiv sind und mit Hilfe des Tags <iframe> den Anwender lediglich auf eine Webseite der Cyberkriminellen umleiten, wenden die beiden ersten eine viel raffiniertere Technik an. Sie infizieren nicht nur legale js-Dateien, sondern veranlassen auch noch den Download eines anderen JavaScript-Programms. Das geschieht allerdings nur, wenn das Ereignis „mousemove" im Objekt „window" eintritt, also wenn der Maus-Cursor innerhalb des aktiven Fensters bewegt wird. Diese Technik wird offensichtlich zur Umgehung einiger Sandboxes und Emulatoren eingesetzt.

Die folgende Liste zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden.

Position    Positionsänderung       Name
1                      0                                        Net-Worm.Win32.Kido.ir
2                       2                                      AdWare.Win32.FunWeb.kd
3                      -1                                    Virus.Win32.Sality.aa
4                      -1                                    Net-Worm.Win32.Kido.ih
5                      0                                      Trojan.Win32.Starter.yy
6                      0                                      Virus.Win32.Sality.bh
7                      1                                      Virus.Win32.Sality.ag
8                      -1                                    Trojan-Downloader.Win32.Geral.cnh
9                      0                                      HackTool.Win32.Kiser.il
10                    Wieder dabei            AdWare.Win32.HotBar.dh
11                    1                                     Virus.Win32.Nimnul.a
12                    -2                                  Trojan-Downloader.Win32.FlyStudio.kx
13                    5                                    Trojan.JS.Agent.bhr
14                    0                                    Worm.Win32.FlyStudio.cu
15                    1                                   Worm.Win32.Mabezat.b
16                    -3                                  HackTool.Win32.Kiser.zv
17                    0                                    Hoax.Win32.Screensaver.b
18                    1                                   Trojan-Downloader.Win32.VB.eql
19                    -4                                  Hoax.Win32.ArchSMS.pxm
20                    Neu                            Trojan-Downloader.SWF.Small.dj

Kido/Conficker hält sich hartnäckig auf Platz eins der zweiten Top 20. Neben den üblichen Verdächtigen machte im Juni allerdings ein ungewöhnlicher Dateivirus mit dem Namen Virus.Win32.Nimnul.a auf sich aufmerksam. Im Mai war dieser Schädling erstmals in den Top 20 vertreten und innerhalb von zwei Monaten kletterte er von Position 20 auf Platz elf. Das ist überaus erstaunlich, zumal Schadprogramme, die Dateien infizieren, bis dato als praktisch vom Aussterben bedroht galten. Gegenwärtig bevorzugen Cyberkriminelle Schädlinge, die durch polymorphe Packer geschützt sind, wodurch das gepackte Schadprogramm einmalig wird. Der Einsatz von Dateiviren ist einfach nicht mehr einträglich: Entwicklung und Pflege sind reichlich kompliziert, während es andererseits relativ einfach ist, sie im System aufzuspüren [2].

Der hier vertretene Schädling stiehlt persönliche Konfigurationsdateien gängiger Browser, verbindet sich mit einem entfernten Server und ist in der Lage, die Ausgabe von Webseiten auszutauschen. Der Virus verbreitet sich über selbst infizierte Dateien sowie mobile Speichermedien mit Hilfe von autorun.inf. Das Verbreitungsgebiet dieses Virus ist recht interessant: Indien, Indonesien, Bangladesch und Vietnam. Offensichtlich sind die Anwender in diesen Ländern um IT-Sicherheitsfragen recht unbesorgt und verwenden ungepatchte Windows-Versionen. Denn bereits am 8. Februar 2011 veröffentlichte Microsoft Updates, die den Autostart von Wechseldatenträgern deaktivieren.

[1] Distributed Denial of Service, siehe auch http://de.wikipedia.org/wiki/Denial_of_Service
[2] Der Virus Nimnul.a infiziert ausführbare Dateien, indem er ans Ende der Datei eine Sektion „.text" hinzufügt und den Austrittspunkt modifiziert. Nach dem Start sucht jede beliebige infizierte Datei nach dem einzigartigen Identifikator des Virus im Betriebssystem (Mutex). Die Anwesenheit des Objektes Mutex bedeutet, dass eine andere infizierte Datei bereits im System gestartet wurde. In diesem Fall startet der Virus nur die Original-Anwendung. Wird das gesuchte Mutex nicht gefunden, wird zunächst ein synchronisierendes Objekt erstellt und daraufhin die Hauptkomponente von Nimnul auf die Festplatte befördert. Diese Komponente schreibt noch einige schädliche Bibliotheken auf die Festplatte.

Quelle