Kaspersky Lab Top 20 der Schadprogramme, November 2010
Moskau/Ingolstadt, 8. Dezember 2010 - Der November 2010 war geprägt von Drive-by-Download-Attacken. Das gefährliche dabei: Anwender infizieren ihre Computer beim bloßen Besuch einer seriösen, aber infizierten Webseite. Hier reicht es bereits, wenn ein Redirector-Skript von Cyberkriminellen platziert wurde. Eines der bekanntesten Beispiele der letzten Zeit ist Trojan-Downloader.JS.Pegel. Mit Hilfe eines Redirectors wird der Anwender auf den Skript-Downloader umgeleitet, der seinerseits Exploits ausführt. Die Exploits wiederum laden in der Regel eine ausführbare Schaddatei auf den Сomputer des Anwenders und starten diese - in den meisten Fällen handelt es sich dabei um eine Backdoor. Im November-Ranking sind zehn Exploits, drei Redirector-Versionen und ein Skript-Downloader, die alle bei Drive-by-Download-Attacken eingesetzt werden, vertreten.
Dies geht aus den Malware-Statistiken von Kaspersky Lab für November 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:
Position | Name |
1 | Trojan-Downloader.Java.OpenConnection.bu |
2 | Trojan-Downloader.JS.Agent.frs |
3 | Exploit.Java.CVE-2010-0886.a |
4 | Trojan.HTML.Iframe.dl |
5 | Trojan.JS.Agent.bhr |
6 | Exploit.JS.Agent.bab |
7 | Trojan.JS.Agent.bmx |
8 | Trojan.HTML.Agent.di |
9 | Trojan.JS.Iframe.pg |
10 | Trojan.JS.Redirector.nz |
11 | Trojan.JS.Popupper.aw |
12 | Trojan-Downloader.Java.Agent.il |
13 | AdWare.Win32.FunWeb.q |
14 | Trojan-Downloader.Win32.Zlob.aces |
15 | AdWare.Win32.FunWeb.ci |
16 | Exploit.JS.CVE-2010-0806.b |
17 | Exploit.JS.CVE-2010-0806.i |
18 | Exploit.SWF.Agent.du |
19 | Trojan.JS.Redirector.lc |
20 | Trojan-Downloader.Java.Agent.hx |
Mit einem Redirector beginnt die Infizierungskette im Rahmen von Drive-by-Download-Attacken. Unter den Führungspositionen der im Internet gefundenen Schadprogramme befanden sich im November Trojan.HTML.IFrame.dl (4. Platz), Trojan.JS.IFrame.pg (9. Platz), Trojan.JS.Redirector.lc (19. Platz) sowie außerhalb der Top 20 Trojan.JS.Redirector.np (25. Platz) und Trojan-Downloader.JS.Iframe.bzn (29. Platz).
Den zweiten Platz im Rating der im Internet entdeckten schädlichen Objekte belegte der Skript-Downloader Trojan-Downloader.JS.Agent.frs, auf den Anwender beim Besuch einer Seite mit integriertem Redirector weitergeleitet wurden. So wird mit Hilfe von Exploits, die Sicherheitslücken in Java, PDF oder JavaScript ausnutzen, versucht, gefährliche Backdoors wie Backdoor.Win32.Shiz und Backdoor.Win32.Blakken (Black Energy 2) zu laden und auszuführen. Dem größten Infizierungsrisiko mit Trojan-Downloader.JS.Agent.frs waren Anwender in Russland, den USA, Frankreich und Großbritannien ausgesetzt.
Neuer Trend: Java-Downloader und -Exploits
Die Verbreitung von Schadprogrammen, die in der Multiplattform-Programmiersprache Java geschrieben sind, nimmt zunehmend an Fahrt auf. Waren solche Schädlinge vor einem Jahr praktisch gar nicht existent, steigt ihre Zahl derzeit stark an. Innerhalb der vergangenen zwei Monate hat auch die Zahl der Schädlinge aus der Familie Trojan-Downloader.Java.OpenConnection entscheidend zugenommen. Diese Programme erfüllen im Rahmen von Drive-by-Attacken die gleiche Funktion wie Exploits, nur dass zum Download von Malware aus dem Internet auf den Anwendercomputer keine Sicherheitslücken ausgenutzt werden, sondern die „OpenConnection"-Methode verwendet wird.
Dieser Trend zeigt sich auch in unseren Top 20. Denn die Spitzenposition im November belegte mit großem Abstand zu den folgenden Plätzen der Schädling Trojan-Downloader.Java.OpenConnection.bu. Zwei weitere Programme, die „OpenConnection" verwenden, identifizierte Kaspersky Lab auf den Positionen 21 und 26. Die Verteilung von Downloadern in Java nach Ländern ist analog zu der entsprechenden Verteilung von Trojan-Downloader.JS.Agent.frs. Das zeigt, dass die Kriminellen Java-Downloader und Skript-Downloader bei Drive-by-Attacken zusammen einsetzen.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
Position | Name |
1 | Net-Worm.Win32.Kido.ir |
2 | Net-Worm.Win32.Kido.ih |
3 | Virus.Win32.Sality.aa |
4 | Trojan.JS.Agent.bhr |
5 | Virus.Win32.Virut.ce |
6 | Worm.Win32.FlyStudio.cu |
7 | Virus.Win32.Sality.bh |
8 | Packed.Win32.Katusha.o |
9 | Exploit.JS.Agent.bab |
10 | Worm.Win32.Autoit.xl |
11 | Trojan-Downloader.Win32.VB.eql |
12 | Exploit.Win32.CVE-2010-2568.b |
13 | Exploit.Win32.CVE-2010-2568.d |
14 | Trojan-Downloader.Win32.Geral.cnh |
15 | Worm.Win32.Mabezat.b |
16 | Packed.Win32.Klone.bq |
17 | Trojan.JS.Agent.bmx |
18 | AdWare.Win32.FunWeb.gq |
19 | Worm.Win32.VBNA.b |
20 | Trojan-Dropper.Win32.Flystud.yo |
Malware-Programme wie Virus.Win32.Sality.aa (3. Platz), Virus.Win32.Sality.bh (7. Platz) und Virus.Win32.Virut.ce (5. Platz) belegten Spitzenpositionen in unserer zweiten Top-20-Tabelle. Eines ihrer besonderen Merkmale besteht darin, dass sie in der Lage sind, ausführbare Dateien zu infizieren, wodurch sie noch effizienter werden.
In den zweiten Top 20 sind auch Schädlinge vertreten, die bereits abgedichtete Sicherheitslücken ausnutzen. In erster Linie ist hier Kido zu nennen, der die ersten zwei Plätze belegt. Exploits, die die Sicherheitslücke CVE-2010-2568 in Shortcuts ausnutzen, sind ebenfalls noch aktuell (Platz 12 und 13). Sie finden vermehrt Anwendung bei der Verbreitung von Stuxnet und anderen schädlichen Programmen. Kaspersky Lab rät Internetanwendern daher, umgehend alle verfügbaren Updates des Betriebssystems und der auf dem Rechner laufenden Programme zu installieren.
Quelle: Kaspersky Labs GmbH
Es wurden leider keine passenden Einträge gefunden