Verschlüsselungsmalware nimmt Daten als Geisel
Der März war gekennzeichnet durch die Entdeckung zahlreicher neuer Varianten von Trojan. Encoder, einem erpresserischen Schadprogramm, das die Dateien der Nutzer verschlüsselt. Gegen ein Lösegeld von bis zu 50 US-Dollar bekommen die Nutzer ihre Daten zurück. Die verschiedenen Versionen des Trojaners treten unterschiedlich auf Trojan.Encoder.67 verschlüsselt alle Daten, ausgenommen einiger Ordner, die in einem bestimmten Verzeichnis abgelegt sind und manchmal das gesamte System lahmlegen. Die Version Trojan.Encoder.68 dagegen platziert Daten des Nutzers in passwortgeschützten ZIP-Ordnern. Die Passworte für die Archive bestehen aus insgesamt 47 Symbolen und sind einzigartig für jedes infizierte System. Doctor Web hat eine spezielle Website eingerichtet, darauf finden Betroffene ein Online-Formular, mit dem sie die benötigten Passwörter kostenlos generieren und ihre Dateien wieder extrahieren können.
Rückläufige Blocker machen Großteil der Support-Anfragen aus
Die Infektionen durch Blocker für Browser und Windows-Rechner waren im März rückläufig und entsprechen aktuell wieder dem Niveau von Oktober 2009. Doch gibt es noch immer mehr als 10.000 Infektionen täglich, pro Woche sind es sogar 100.000. Die Blocker machen aus zwei Gründen noch immer einen Großteil der Support-Anfragen aus: Erstens ist Selbsthilfe für die Nutzer verhältnismäßig schwierig, da die Malware die Reaktionsmöglichkeiten stark einschränkt. Zweitens sind die Blocker, anders als beispielsweise Trojaner, dafür konzipiert, aufzufallen. Diese Eigenschaft sollten sich die Anwender zunutze machen und sich bei dem leisesten Verdacht an den Support von Doctor Web wenden. Wie die Blocker aussehen, können Interessierte aus sicherer Entfernung auf der Website sehen. Unter schwierigen Bedingungen ist es Doctor Web-Usern gelungen, mehr als 100 Screenshots der Malware an den technischen Support zu senden. Der Sicherheitsexperte hat eine Auswahl dieser Screenshots hier veröffentlicht.
Botnetze weiter auf dem Vormarsch
Botnetze, also über das Internet verbundene Rechner, die mit einer ferngesteuerten Malware infiziert wurden, haben sich im März stark verbreitet. Trojan.Oficla, auch als myLoader bekannt, ermöglicht Botnetz-Gründern, ihre Software als Windows.exe-Datei im Microsoft Word-System zu verstecken. Trojan.Oficla verbreitet sich über Spam-Mails und Sicherheitslücken von Webbrowsern. Rechner, die von Trojan.Oficla infiziert wurden, können wie Zombies durch den Besitzer des Botnetzes fremdgesteuert werden und weiteren Schadprogrammen Tür und Tor öffnen. Doctor Web registrierte mehr als 100.000 Infektionen der Malware in einer einzigen Woche. Der Trojaner verbreitet sich vor allem durch E-Mails und nutzt Sicherheitslücken in Web-Browsern. Weitere Verbreitungswege sind nicht ausgeschlossen, denn der Fantasie der Hacker sind dabei keine Grenzen gesetzt.
Spezieller Trojaner für Online-Banking
Der Trojaner PWS.Ibank ist ein Schädling, der sehr leicht der Aufmerksamkeit der meisten Nutzer entgeht. Seine zahlreichen Varianten sind darauf ausgerichtet, die Kontodaten von Bankkunden großer, russischer Institute zu erfassen. Der Trojaner nutzt die Schwachstellen der Online-Banking-Software aus und schickt die erbeuteten Daten an Kriminelle. Das Vorgehen der Software ähnelt der von Keyloggern, denn sie zeichnet sämtliche Eingaben der Nutzer auf. Der Schädling verbreitet sich in Angriffswellen, mehrmals hat Doctor Web innerhalb von nur 24 Stunden einen starken Anstieg und einen ebenso starken Rückgang der Infektionen registriert.
Gefälschte Antivirus-Programme bleiben gefährlich
Die Angriffsmethoden von gefälschten Antivirus-Programmen zeigen sich in völlig neuen Erscheinungsformen. Die Programme ähneln immer mehr IT-Sicherheitsanwendungen und verbreiten sich mit Techniken des Social Engineerings, das menschliche Eigenschaften ausnutzt, um an Informationen zu gelangen. Gegen Ende des Monats stoppte der Strom von Support-Anfragen zu gefälschten, russischen Antivirus-Programmen abrupt. Die Infektionen durch klassische Varianten der Malware-Familie, wie Trojan.Fakealert, bleiben jedoch konstant bei 30 Millionen pro Monat.
Schadprogramme im E-Mail-Verkehr im März 2010 nochmals gestiegen
Trotzdem die Zahl der Schadsoftware im E-Mail-Verkehr noch einmal um 22% gestiegen ist, reduzierte sich die Zahl der infizierten Rechner um fast ein Viertel (24%).
Insgesamt überprüft: 30.331.944,880
Infizierte Rechner: 109.851.515 (0.36%)