Kaspersky Lab veröffentlicht die Top 20 der Schadprogramme im März 2011
Moskau/Ingolstadt, 11. April 2011 – Im März 2011 wurden Internetanwender mit unterschiedlichen auf die Japan-Katastrophe bezogenen Social-Engineering-Tricks in die Falle gelockt, Android-Nutzer mit schädlichen Apps belästigt und mittels Java-Exploits Drive-by-Downloads durchgeführt. Dies geht aus den Top 20 der Schadprogramme im März von Kaspersky Lab hervor.
Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im März 2011 wehrten die Kaspersky-Heimanwenderlösungen 241.151.171 Netzattacken ab, blockierten 85.853. 567 Infizierungsversuche über das Web und neutralisierten insgesamt 219.843.736 Schadprogramme. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme im Internet. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Computer am häufigsten infiziert waren.
Japan-Katastrophe missbraucht
Während im März die ganze Welt mit Bangen auf die Ereignisse und Entwicklungen in Japan und vor allem das beschädigte Atomkraftwerk Fukushima 1 blickte, missbrauchten Cyberkriminelle die Katastrophe für ihre Zwecke. Sie versendeten Katastrophennachrichten mit schädlichen Links, richteten infizierte Webseiten über die Katastrophe ein und verschickten „nigerianische“ E-Mails, in denen zu dubiosen Spenden aufgerufen wurde.
So wurden beispielsweise E-Mails mit angeblichen Links zu den neuesten Entwicklungen in Japan verschickt, bei denen nach dem Anklicken des Links ein Drive-by-Download mit Hilfe eines Exploit-Packs gestartet wurde. War der Angriff erfolgreich, wurde der Schädling Trojan-Downloader.Win32.CodecPack geladen. Jedem Vertreter dieser Familie sind drei Steuerungszentralen zugeteilt, mit denen er Verbindung aufnimmt. Außerdem erhält er von ihnen eine Liste schädlicher Dateien, die auf den Computer geladen und anschließend gestartet werden. Kaspersky-Experten entdeckten weiterhin eine schädliche Webseite, auf der der Download eines Videos zu den Japan-Ereignissen angeboten wurde. Doch statt eines Films wurde eine Backdoor heruntergeladen.
Im März verbreiteten Cyberkriminelle Android-Schädlinge, indem sie diese als legale Apps für den offiziellen Android-Market tarnten. Anfang März entdeckten IT-Sicherheitsexperten im Android-Market 21 infizierte Versionen legaler Anwendungen, die über 50.000 mal heruntergeladen wurden. Sie enthielten die Root-Exploits „rage against the cage“ und „exploid“, die dem Schadprogramm Root-Zugriff auf Android-Smartphones ermöglichen, wodurch der vollständige Zugriff auf das Gerät-Betriebssystem gewährleistet wird. Im schädlichen APK-Archiv befanden sich neben den Root-Exploits zwei weitere schädliche Komponenten. Eine von ihnen schickte nach Erhalt des Root-Rechts mit Hilfe der POST-Methode eine spezielle XML-Datei an einen entfernten Server, die die IMEI und IMSI des Telefons enthielt. Diese Datei verbreitete zudem weitere Informationen über das infizierte Gerät und nahm daraufhin Befehle vom Server entgegen. Ein anderer Schädling verfügte über die Funktionalität eines Trojan-Downloaders. Bisher konnten wir allerdings noch nicht an die zu ladenden Dateien kommen.
Die erste Hitliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.
Position | Name |
1 | AdWare.Win32.FunWeb.gq |
2 | Hoax.Win32.ArchSMS.pxm |
3 | AdWare.Win32.HotBar.dh |
4 | Trojan.HTML.Iframe.dl |
5 | Hoax.HTML.OdKlas.a |
6 | Trojan.JS.Popupper.aw |
7 | Exploit.JS.Pdfka.ddt |
8 | Trojan.JS.Agent.btv |
9 | Trojan-Downloader.JS.Agent.fun |
10 | Exploit.Java.CVE-2010-0094.u |
11 | Exploit.HTML.CVE-2010-1885.ad |
12 | Trojan.JS.Agent.uo |
13 | Trojan-Downloader.JS.Iframe.cdh |
14 | Packed.Win32.Katusha.o |
15 | Exploit.Java.CVE-2010-0840.d |
16 | Trojan.JS.Agent.bhr |
17 | Trojan-Clicker.JS.Agent.om |
18 | Trojan.JS.Fraud.bl |
19 | Exploit.Java.CVE-2010-0840.c |
20 | Trojan-Clicker.HTML.Iframe.aky |
Die dringende Empfehlung der IT-Sicherheitsunternehmen, Software regelmäßig zu aktualisieren, hat nach wie vor Gültigkeit, denn Exploits gehören noch immer zu den Lieblingswerkzeugen der Cyberkriminellen.
Exploits für Drive-by-Downloads
Im März war die Zahl der Java-Exploits sehr hoch – sie machten etwa 14 Prozent aller entdeckten Exploits aus. In den Top 20 der Internetschadprogramme konnten sich drei Java-Exploits positionieren. Zwei davon – Exploit.Java.CVE-2010-0840.d (15. Platz) und Exploit.Java.CVE-2010-0840.c (19. Platz) – sind neue Exploits zur Java-Sicherheitslücke CVE-2010-0840. Die Entwickler der Schadsoftware nutzen diese Exploits aktiv aus, um sie im Rahmen der Drive-by-Downloads einzusetzen und so deren Entdeckung zu vermeiden.
Im Folgenden ist die zweite Hitliste abgebildet. Sie zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden. Wie im Februar bleibt ein alter Bekannter an der Spitze: der Netzwerkwurm Kido/Conficker.
Position | Name |
1 | Net-Worm.Win32.Kido.ir |
2 | Virus.Win32.Sality.aa |
3 | Net-Worm.Win32.Kido.ih |
4 | Hoax.Win32.ArchSMS.pxm |
5 | Virus.Win32.Sality.bh |
6 | HackTool.Win32.Kiser.zv |
7 | Hoax.Win32.Screensaver.b |
8 | AdWare.Win32.HotBar.dh |
9 | Trojan.Win32.Starter.yy |
10 | Packed.Win32.Katusha.o |
11 | Worm.Win32.FlyStudio.cu |
12 | HackTool.Win32.Kiser.il |
13 | Trojan.JS.Agent.bhr |
14 | Trojan-Downloader.Win32.Geral.cnh |
15 | Porn-Tool.Win32.StripDance.d |
16 | Exploit.JS.Agent.bbk |
17 | Trojan.Win32.AutoRun.azq |
18 | Trojan-Downloader.Win32.VB.eql |
19 | Worm.Win32.Mabezat.b |
20 | Packed.Win32.Klone.bq |
Es wurden leider keine passenden Einträge gefunden