Der Malware-Herbst 2010: Verbesserte Infrastruktur für ZeuS und Angriffe auf Adobe-Nutzer

Kaspersky Lab Top 20 der Schadprogramme, Oktober 2010

(PresseBox) (Moskau/Ingolstadt, ) Anfang Oktober entdeckte Kaspersky Lab den Virus Virus.Win32.Murofet, der eng mit dem Bot ZeuS verbunden ist. Dieser Schädling zeigt einmal mehr, mit welchem Einfallsreichtum und Eifer die Entwickler des ZeuS-Botnetzes versuchen, ihr Zombie-Netzwerk auf der ganzen Welt zu verbreiten. Die Besonderheit dabei: Der Virus generiert mit Hilfe eines speziellen Algorithmus neue Links, die auf der aktuellen Zeit und dem aktuellen Datum des infizierten Computers basieren. Das funktioniert so: Der Schädling empfängt Jahr, Monat, Tag und Minute vom System. Daraufhin generiert er zwei Doppelwörter, auf deren Grundlage er eine md5-Prüfsumme errechnet und eine der möglichen Domain-Zonen .biz, .org, .com, .net, .info hinzufügt. Am Ende der Zeile ergänzt er "/forum" und verwendet anschließend den so entstandenen Link. Interessant ist, dass dieser Virus keine anderen ausführbaren Dateien infiziert und eng mit ZeuS verbunden ist. Über die generierten Links werden dann Downloader des Bots ZeuS auf dem Computer platziert.

Dies geht aus den Malware-Statistiken von Kaspersky Lab für Oktober 2010 hervor. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Im vergangenen Monat gab es hier keine wesentlichen Veränderungen. An der Spitze stehen nach wie vor Kido, Sality, Virut sowie CVE-2010-2568. Erwähnenswert ist die Zunahme von Infizierungen mit dem schädlichen Packer Packed.Win32.Katusha.o (Platz sechs), der von Cyberkriminellen zum Schutz und zur Verbreitung von gefälschten Antiviren-Programmen eingesetzt wird. Der Wurm Worm.Win32.VBNA.a (Platz 20) funktioniert ähnliche wie Katusha, allerdings ist er in der anspruchsvolleren Sprache Visual Basic programmiert.

Auch in unserem zweiten Ranking haben sich innerhalb des letzten Monats keine ernsthaften Veränderungen ergeben. Wie gehabt führen die Exploits für die Sicherheitslücke CVE-2010-0806 sowie Adware der Familie FunWeb die Top 20 der häufigsten Internet-Schädlinge an. Allerdings sind einige Schädlinge durchaus erwähnenswert:

Den ersten Platz belegte mit Trojan.JS.FakeUpdate.bp ein Skript aus der Familie FakeUpdate. Es wird auf Porno-Websites platziert und schlägt dem Anwender vor, ein Video mit entsprechendem Inhalt herunterzuladen. Will der Nutzer sich allerdings den Clip anschauen, erscheint ein verseuchtes Pop-Up-Fenster mit der Aufforderung, einen neuen Player zum Abspielen des Videos herunter zu laden.

Der Exploit mit der Bezeichnung Exploit.Win32.CVE-2010-2883.a, der die entsprechende Sicherheitslücke ausnutzt, wurde vor knapp einem Monat entdeckt und belegt in der Tabelle Rang 17. Die Cyberkriminellen haben diesen Exploit also offensichtlich umgehend in ihr "Waffenarsenal" aufgenommen. Die Lücke befindet sich in der verwundbaren Bibliothek cooltype.dll, die zum Adobe Reader gehört. Die Schwachstelle selbst besteht in der inkorrekten Bearbeitung einer speziell formatierten Font-Datei. Wirft man einen Blick auf die geografische Verbreitung von Exploit.Win32.CVE-2010-2883.a, so fällt auf, dass dieser Schädling am häufigsten in den USA, Großbritannien und Russland eingesetzt wurde. Offensichtlich gingen die Cyberkriminellen davon aus, dass es in diesen Ländern die meisten Computer mit ungepatchten Adobe Readern gibt.

Das schädliche Skript Trojan.JS.Redirector.nj (Platz sieben) wird auf verschiedenen Porno-Seiten platziert. Es gibt eine Mitteilung aus, in der der Anwender aufgefordert wird, eine SMS an eine Premium-Nummer zu senden, um die gewünschte Ressource nutzen zu können. Dabei ist das Skript so aufgebaut, dass zum Schließen der Seite der Task-Manager oder ein ähnliches Programm verwendet werden muss.

Analysen von Kaspersky Lab haben gezeigt, dass der Installer neben dem legalen Player Fusion Media Player 1.7 auch einen Trojaner enthält, der die Datei hosts modifiziert. Dieser Trojaner bringt die IP-Adresse des lokalen Rechners 127.0.0.1 in Übereinstimmung mit vielen populären Sites und installiert auf dem infizierten Computer einen Web-Server. Daraufhin erscheint bei dem Versuch, auf eine der abgefangenen Websites zu gelangen, im Browser des Anwenders eine Seite mit der Aufforderung, für die Ansicht des Porno-Clips zu bezahlen.

Kaspersky Labs GmbH

Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.

Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über http://twitter.com/.... Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.