Cyberkriminelle setzen auf Exploits populärer Programme

Kaspersky Lab Top 20 der Schadprogramme, April 2010

(PresseBox) (Moskau/Ingolstadt, ) Kaspersky Lab präsentiert für April 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

In der ersten Hitliste belegen Kido und Sality schon fast traditionell die Spitzenpositionen. Doch im April gab es vier Neuerscheinungen: Auf dem siebten und zwölften Platz positionierten sich zwei Modifikationen des Exploits CVE-2010-0806, über den wir bereits in unserer letzten Monatsstatistik berichteten (http://www.viruslist.com/de/analysis?pubid=200883690). Rang 14 und 18 belegen zwei Trojaner, die - wie sich herausstellte - auch in unmittelbarem Zusammenhang mit der Ausnutzung der Sicherheitslücke CVE-2010-0806 stehen (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). In der Regel ist der Exploit selbst verschlüsselt oder versteckt und in mehrere Teile zerlegt. Im Browser des Anwenders, der eine infizierte Website öffnet, werden die Teile des Exploits in einer bestimmten Reihenfolge geladen. Dann lädt sich der Teil des Codes, der das Exploit entpackt und es anschließend startet. Bei den zwei neuen Trojanern handelt es sich um Bestandteile einer der Modifikationen von CVE-2010-0806.

Zur Erinnerung: Diese Sicherheitslücke im Internet Explorer wurde im März entdeckt und Cyberkriminelle begannen die entsprechenden Exploits aktiv einzusetzen. Noch im März wurde es 200.000 Mal heruntergeladen. Im April wurden zwei Modifikationen dieses Exploits auf insgesamt mehr als 110.000 Computern unschädlich gemacht. Auf die rasante Ausbreitung des Exploits werden wir im Folgenden noch genauer eingehen.

Der Spitzenreiter der letzten zwei Monate, Gumblar.x, taucht im April nicht mehr in den Top 20 auf: Seine Aktivität ist ganz plötzlich stark zurückgegangen. Wie bereits in den Monaten zuvor, nahm die Gumblar-Epidemie sehr schnell Fahrt auf und erreichte im Februar mit über 450.000 mit Gumblar infizierten Webressourcen ihren Höhepunkt, um dann zwei Monate später wieder völlig zu versickern. Dieses Verhalten erinnert an die Situation im Februar (http://www.viruslist.com/de/analysis?pubid=200883685). Noch lässt sich nicht vorhersagen, wann und ob überhaupt die nächste Welle der Epidemie über uns zusammenschlägt, doch wir werden die Entwicklung der Ereignisse weiterhin aufmerksam verfolgen.

Der Exploit CVE-2010-0806 - Spieler im Visier

Der Exploit CVE-2010-0806 breitete sich im April rasant aus. Er lädt in der Regel kleine Download-Programme auf die Opfercomputer, die zu Familien wie Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis gehören. Diese Trojaner wiederum laden auf die infizierten Rechner weitere Schadprogramme. In den meisten Fällen handelt es sich dabei um verschiedene Modifikationen von Trojan-GameThief.Win32.Magania, Trojan-GameThief.Win32.WOW und Backdoor.Win32.Torr. Daher geht Kaspersky Lab davon aus, dass es die Cyberkriminellen auf vertrauliche Anwenderdaten abgesehen hatten, die den Zugriff auf populäre Online-Games ermöglichen. Die Gesamtzahl von Downloadversuchen der drei Exploit-Modifikationen, die im April ihr Unwesen trieben, lag bei über 350.000.

Alte Sicherheitslücken - neue Schädlinge

Unter den Neueinsteigern im April finden sich noch drei weitere Exploits (Rang 2, 10 und 13), und zwar zu Schwachstellen in den Produkten Adobe Reader und Acrobat. Bemerkenswert ist, dass die Sicherheitslücken, die von den drei PDF-Exploits ausgenutzt werden, schon relativ alt sind und bereits im Jahr 2009 entdeckt wurden. Bei den Exploits handelt es sich um PDF-Dokumente mit Java-Script-Befehlen. Verschiedene Trojan-Downloader, die von den Exploits geladen werden, laden ihrerseits eine Vielzahl von anderen Schadprogrammen auf den Computer des Opfers. Unter den Schädlingen, die mit Hilfe des Exploits Pdfka.cab (Platz 2) auf die infizierten Computer geladen werden, wurden auch Modifikationen der Familie PSWTool.Win32.MailPassView entdeckt. Programme dieser Familie werden zum Diebstahl von Logins und Passwörtern für E-Mail-Accounts verwendet.

Fazit: Auch im April ist wie in den Vormonaten eine Tendenz erkennbar. Die Cyberkriminellen setzen intensiv Exploits ein, deren Quellcodes weit verbreitet sind. In den meisten Fällen ist das Ziel solcher Angriffe der Diebstahl von vertraulichen Anwenderdaten. Die Betrüger versuchen so, Zugriff auf E-Mail-Accounts, Online-Games und verschiedene Websites zu erlangen. Die Zahl solcher Versuche ging im April in die Hunderttausende. Die gestohlenen Daten können verkauft und/oder zur Verbreitung von Schadprogrammen genutzt werden.

Kaspersky Labs GmbH

Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.

Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über http://twitter.com/.... Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.