Gleich drei Versionen des Trojaners Autorun im März aufgetaucht
5.04.2010
Eugene Aseev
Kaspersky Lab präsentiert für März 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die auf den Computern der Anwender entdeckt und entfernt wurden.
Position
Positionsänderung
Name
Anzahl infizierter Computer
1
0
Net-Worm.Win32.Kido.ir
332833
2
0
Virus.Win32.Sality.aa
211229
3
0
Net-Worm.Win32.Kido.ih
186685
4
0
Net-Worm.Win32.Kido.iq
181825
5
0
Worm.Win32.FlyStudio.cu
121027
6
0
Trojan-Downloader.Win32.VB.eql
68580
7
New
Trojan.Win32.AutoRun.abj
66331
8
1
Virus.Win32.Virut.ce
61003
9
1
Packed.Win32.Krap.l
55823
10
-2
Worm.Win32.AutoIt.tc
55065
11
4
Worm.Win32.Mabezat.b
49521
12
-5
Exploit.JS.Aurora.a
43776
13
New
Packed.Win32.Krap.as
40912
14
New
Trojan.Win32.AutoRun.aay
40754
15
3
Trojan-Dropper.Win32.Flystud.yo
40190
16
-4
Virus.Win32.Induc.a
38683
17
-4
not-a-virus:AdWare.Win32.RK.aw
38547
18
New
Trojan.Win32.AutoRun.abd
37037
19
-5
not-a-virus:AdWare.Win32.Boran.z
36996
20
0
not-a-virus:AdWare.Win32.FunWeb.q
34177
Die Zusammensetzung unserer ersten Hitliste weist im März keine einschneidenden Veränderungen auf.
Zu den wichtigsten Neuerungen gehört das Auftauchen von gleich drei Versionen des Trojaners Autorun. Wie schon vor zwei Monaten, handelt es sich hierbei um autorun.inf-Dateien, mit deren Hilfe über mobile Datenträger die Schädlinge P2P-Worm.Win32.Palevo und Trojan-GameThief.Win32.Magania verbreitet werden.
Wieder einmal schaffte ein neuer Packed-Vertreter den Sprung in die aktuelle Top 20. In diesem Fall verbergen sich unter dem Namen Packed.Win32.Krap.as (Platz 13) gefälschte Antiviren-Programme. In jüngster Zeit werden speziell entwickelte Packer für ausführbare Dateien vermehrt eingesetzt. Regelmäßig werden neue Methoden zum Packen und Verbergen der tatsächlichen Funktion der Schädlinge entwickelt, was durch den praktisch monatlichen Wechsel von Modifikationen der Familie Krap und anderer bestätigt wird.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:
Position
Positionsänderung
Name
Anzahl der Downloadversuche
1
0
Trojan-Downloader.JS.Gumblar.x
178965
2
New
Exploit.JS.CVE-2010-0806.i
148721
3
-1
Trojan.JS.Redirector.l
126277
4
2
Trojan-Clicker.JS.Iframe.ea
102226
5
4
Exploit.JS.Aurora.a
88196
6
4
Trojan.JS.Agent.aui
80654
7
-3
not-a-virus:AdWare.Win32.Boran.z
75911
8
New
Trojan.HTML.Fraud.aj
68809
9
New
Packed.Win32.Krap.as
64329
10
New
Exploit.JS.CVE-2010-0806.b
50763
11
New
Trojan.JS.FakeUpdate.ab
49412
12
New
Trojan.HTML.Fraud.aq
48927
13
3
Packed.Win32.Krap.ai
47601
14
Return
Trojan-Downloader.JS.Twetti.a
46858
15
New
Exploit.JS.Pdfka.bub
45762
16
New
Trojan-Downloader.JS.Iframe.byo
44848
17
New
Trojan.JS.FakeUpdate.aa
42352
18
Return
not-a-virus:AdWare.Win32.Shopper.l
41888
19
New
Trojan-Clicker.HTML.IFrame.fh
38266
20
New
Packed.Win32.Krap.ao
36123
Das Ranking liefert wieder einmal viele interessante Erkenntnisse.
Beginnen wir mit einer absolut neuen Sicherheitslücke CVE-2010-0806 im Internet Explorer, für die ein Exploit weite Verbreitung fand, nachdem die Schwachstelle etwas zu genau beschrieben wurde. Dementsprechend finden sich in unseren zweiten Top 20 zwei unterschiedliche Varianten, und zwar Exploit.JS.CVE-2010-0806.i und Exploit.JS.CVE-2010-0806.b.
Aktuell beobachtet Kaspersky Lab eine neue Welle von Gumblar-Epidemien. Neben einer alten Version des Downloaders, die als Gumblar.x erkannt wird und die Spitzenposition in der Hitliste belegt, erschien im März auch eine aktualisierte Version, die bereits als HEUR:Trojan-Downloader.Script.Generic erkannt wird.
Der Exploit Aurora.a, über den wir ebenfalls bereits im Februar berichteten, wird von den Cyberkriminellen weiterhin oft und gern eingesetzt. Die Folge: Aurora.a stieg von Platz 9 auf die 5. Position.
Der interessante Downloader Twetti.a (14. Platz im Ranking), über den wir im Dezember vergangenen Jahres berichteten, kehrte nach zweimonatiger Pause wieder in die Monatsstatistik zurück. Ähnlich wie im Fall Gumblar nahmen sich die Online-Betrüger eine kleine Auszeit, um gleich darauf erneut die Infizierung von unzähligen Webressourcen mit diesem Schädling zu provozieren.
Auch der Exploit.JS.Pdfka.bub (Platz 15) landete nicht von ungefähr in unseren Top 20: Diese schädliche PDF-Datei dient als Komponente einer Drive-by-Attacke, deren Ausgangspunkt Twetti.a ist.
Das Fazit des Monats unterscheidet sich kaum von dem der vergangenen Monate: Die Anwender werden über das Netz unter Ausnutzung von regelmäßig auftauchenden Schwachstellen in populärer Software angegriffen. Glücklicherweise werden die meisten Sicherheitslücken umgehend von den Herstellern ausgebessert. Leider installieren aber bei weitem nicht alle Anwender rechtzeitig die entsprechenden Patches. In jüngster Zeit nutzen die Schädlinge bei den Angriffen vermehrt die Gutgläubigkeit und Unerfahrenheit der Nutzer. Unter Schadprogrammen dieser Art erfreuten sich im März die bereits erwähnten gefälschten AV-Programme sowie Blocker großer Beliebtheit unter den Cyberkriminellen.
Zum Abschluss noch eine Grafik über die Länder, in denen die meisten Infizierungsversuche über das Internet registriert wurden:
SELFPHP
0 
New 
1 
-2 
Return 
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt