Große Welle von Windows-Blockern sprengt Rekordstand vom Januar
Seit Mitte Mai verzeichnen die Doctor Web Statistik-Server eine starke Zunahme von Windows Blockern. Während der Durchschnitt in den letzten Monaten bei etwa 1.500 Blockern pro Tag lag, schnellte die Zahl an vier aufeinander folgenden Tagen auf bis zu 215.000 entdeckte Programme innerhalb von 24 Stunden. Bis zum Ende des Monats blieben die Erkennungsraten auf einem konstant hohen Niveau. Insgesamt wurden 920.000 Trojan.Winlock Programme durch Doctor Web aufgespürt, damit ist der bisherige Rekordstand im Januar 2010 geschlagen.
Neuartige Lösegeld-Forderungen über e-Payment Anbieter
Die Internet-Kriminellen haben zudem ihre Methoden verfeinert. Seit der zweiten Mai-Woche erhielt der technische Support von Doctor Web immer mehr Anfragen von Computer-Nutzern, die Lösegeld für ihren PC oder Laptop über Bezahlsysteme erstatten sollen, statt wie bisher per SMS. Durch die neue Abrechnungsvariante umgehen die Erpresser die gemeinsamen Anstrengungen von Mobilfunk-Betreibern und Strafverfolgungsbehörden, die die Kriminellen über die verwendete Handy-Nummer ausfindig zu machen. Für die Abrechnung nutzten die Betrüger verschiedene e-Payment-Anbieter wie WebMoney, RBKMoney oder Wallet One. Gegen Ende des Monats wurden die Opfer meist aufgefordert, Geld auf das Nutzerkonto eines fremden Handy-Besitzers zu überweisen. Diese Konten werden in rascher Folge wieder gewechselt, um eine Strafverfolgung zu erschweren. Zusätzlich animierten die Betrüger ihre Opfer, sich einen Freischaltcode auf der Rechnung ausdrucken zu lassen, sobald sie ausreichend Geld überwiesen hätten. Tatsächlich verfügten zahlreiche Bezahlsysteme nicht einmal über die technischen Möglichkeiten, solche Anfragen zu verarbeiten oder Codes auszudrucken. Ziel der Aufforderung war es lediglich, soviel Geld wie möglich zu erpressen. Die Schadprogramme und ihre Modifikationen werden durch Doctor Web standardmäßig als Trojan.Winlock-Programme erkannt. Betroffene können die nötigen Freischaltcodes auf der neuen Dr.Web Unlocker- Website erhalten. Doctor Web veröffentlicht hier auch Passwörter für einige Varianten von Trojan.Encoder.
Bootkits kapern private Rechner
Doctor Web entdeckte darüber hinaus neue Varianten von bootkits, die in der Lage sind, den Boot-Sektor einer Festplatte zu manipulieren, so dass sie noch vor dem Betriebssystem starten. Die neuen Bootkits heißen Trojan.Alipop und Trojan.Hashish. Trojan.Alipop wurde dafür missbraucht, um Website-Zugriffe vorzutäuschen. Der zweite Boot-Virus Trojan.Hashish wurde entwickelt, um System-Komponenten zu starten, die den Cyber-Kriminellen nützlich sind. Zur Zeit enthält Trojan.Hashish aggressive Inhalte aus der Familie Win32.HLLC.Asdas, die Banner im Browser-Fenster anzeigen. Die Doctor Web-Antivirus Spezialisten haben umgehend den Dr.Web-Scanner für Windows um einen Algorithmus erweitert, der die neuen bootkits erkennt. Derzeit gibt es nur wenige Antiviren-Hersteller, die entsprechende Hilfen in der nötigen Qualität anbieten.
Wettrüsten der Fake-Antiviren-Programme
Der Rückgang der registrierten Trojan.Fakealert im Mai, ist darauf zurückzuführen, dass sich Kriminelle auf eine erhöhte Effiizienz der Schadsoftware statt auf die Reichweite konzentrieren. Empfehlungen, wie die Schadprogramme vom Rechner entfernt werden können, werden zunehmend komplizierter und unhandlicher für die Nutzer. Die Angreifer nutzen die Empfehlungen ebenfalls, allerdings um neue Varianten zu entwickeln, so dass man inzwischen von einem Wettrüsten sprechen kann.
Zahl der Encoder nahezu vervierfacht
Zahlreiche neue Varianten von Trojan.Encoder-Programmen erschienen im Mai, die Nutzerdaten und ihre Bausätze verschlüsseln. Die Programme bieten ihren Opfern an, Kriminelle per ICQ Instant Messenger zu kontaktieren oder mit kostenpflichtigen SMS zu zahlen. Im Durchschnitt wurden zwischen 1.300 und 1.900 Encoder pro Tag durch Doctor Web-Programme entdeckt, zuvor waren es etwa 500 pro Tag. Einige Varianten waren darauf spezialisiert, Dr.Web-Logos zu nutzen, um verschlüsselte Dateien anzuzeigen und von Virenherstellern als Programmname verwendet zu werden. Doctor Web empfielt den Nutzern, vorsichtig zu sein und sofort Kontakt mit dem Viren-Labor von Doctor Web aufzunehmen, sobald sie Probleme mit Verschlüsselungs-Trojanern feststellen. Die Ursache für die Verleumdung waren Maßnahmen von Doctor Web, um Anwender vor den Programmen zu schützen. Generell fiel der Anteil von Schadsoftware im Mai sowohl im E-Mail-Verkehr als auch auf den Rechnern selbst deutlich ab. Der Rückgang kann zurückgeführt werden auf eine geringe Zahl gefälschter Antiviren-Programme und weniger Aktivitäten der größten Botnetze.