Internet Security / Analysen

Attacken auf Filesharer; Aus China kommen die meisten Infizierungsversuche

12.07.2010

Kirill Kruglov

Vor allem Filesharer stehen derzeit unter Beschuss durch Cyberkriminelle. Das zeigen die Kaspersky Lab Top 20 der Schadprogramme für Juni 2010. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste präsentiert die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware), die die Computer der Anwender attackierten:

Position	Positionsänderung	Name	Anzahl infizierter Computer
1	0	Net-Worm.Win32.Kido.ir	304259
2	0	Virus.Win32.Sality.aa	193081
3	0	Net-Worm.Win32.Kido.ih	175811
4	0	Net-Worm.Win32.Kido.iq	141243
5	new	Exploit.JS.Agent.bab	134868
6	-1	Trojan.JS.Agent.bhr	130424
7	-1	Worm.Win32.FlyStudio.cu	102143
8	-1	Virus.Win32.Virut.ce	69078
9	-1	Trojan-Downloader.Win32.VB.eql	57578
10	-1	Worm.Win32.Mabezat.b	47548
11	new	P2P-Worm.Win32.Palevo.fuc	44130
12	-2	Trojan-Dropper.Win32.Flystud.yo	40081
13	new	Worm.Win32.VBNA.b	33235
14	0	Trojan.Win32.Autoit.ci	32214
15	2	Trojan-Downloader.Win32.Geral.cnh	31525
16	-5	Worm.Win32.AutoIt.tc	30585
17	-5	Packed.Win32.Krap.l	29149
18	new	Trojan.Win32.AutoRun.aje	25890
19	return	Email-Worm.Win32.Brontok.q	25183
20	new	Trojan.Win32.Autorun.ke	24809

Die erste Top-20-Liste blieb gegenüber dem Vormonat praktisch unverändert. Die Plätze eins bis vier belegen nach wie vor der Wurm Kido und der Virus Sality. Die einzige Veränderung gegenüber dem Monat Mai ist das neue Exploit Agent.bab auf Platz fünf.

Die neue Modifikation des populären P2P-Worm.Palevo belegte im Juni Platz 11 der Hitliste. Palevo.fuc hat es auf vertrauliche Daten abgesehen, die der Anwender über das Browserfenster eingibt. Eine der wichtigsten Verbreitungswege des Schadprogramms sind Peer-To-Peer-Netzwerke, über die Dateien im Internet ausgetauscht werden können. Der Wurm verbreitet sich unter anderem über BearShare, iMesh, Shareaza und eMule. Seine Verbreitungswege: vielfaches Kopieren in Netzverzeichnisse und allgemeine Netzressourcen, Versenden von Links zum Download über Internet-Pager oder Infizierung über mobile Datenträger unter Verwendung von des Trojaners Win32.Autorun.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position	Positionsänderung	Name	Anzahl der Downloadversuche
1	0	Trojan-Clicker.JS.Iframe.bb	490331
2	new	Exploit.JS.Agent.bab	341085
3	return	Trojan-Downloader.JS.Pegel.b	220359
4	-2	Exploit.Java.CVE-2010-0886.a	214968
5	0	Trojan.JS.Agent.bhr	77837
6	new	Exploit.JS.Pdfka.clk	74592
7	0	not-a-virus:AdWare.Win32.FunWeb.q	65550
8	new	Exploit.JS.Pdfka.ckp	59680
9	new	Worm.Win32.VBNA.b	57442
10	1	Trojan-Clicker.JS.Agent.ma	54728
11	new	Hoax.HTML.FakeAntivirus.f	50651
12	new	not-a-virus:AdWare.Win32.FunWeb.ds	49720
13	-5	Exploit.JS.CVE-2010-0806.i	48089
14	new	Exploit.JS.Pdfka.clm	45489
15	0	not-a-virus:AdWare.Win32.Shopper.l	44913
16	0	Trojan.JS.Redirector.l	43787
17	-8	Exploit.JS.CVE-2010-0806.b	39143
18	new	Trojan.JS.Agent.bky	36481
19	new	Trojan.JS.Fraud.af	35410
20	-17	Trojan.JS.Redirector.cq	35375

Trotz großer Veränderungen in der Hitliste konnten fünf Schadprogramme aus dem Vormonat, darunter auch der Spitzenreiter, ihre Positionen behaupten.

Die unerwartete Rückkehr von Trojan-Downloader.JS.Pegel.b (Platz 3) erinnert an die Situation, die Kaspersky Lab bereits im April in Bezug auf Trojan-Downloader.JS.Gumblar.x beschrieben hat. Erhöhte Aktivität des Schädlings Pegel registrierte Kaspersky Lab im Februar dieses Jahres, als gleich sechs Vertreter dieser Familie – angeführt von der Modifikation Pegel.b – Plätze in den Top-20 der im Internet am weitesten verbreiteten Schädlinge belegten. In Verbindung mit Pegel.b wurden verschiedene PDF-Exploits sowie das Exploit Java CVE-2010-0886 eingesetzt.

Betrügerische Antiviren-Software

In jüngster Zeit stößt man immer häufiger auf Internet-Seiten, auf denen dem Anwender mitgeteilt wird, dass sich auf seinem Computer eine Vielzahl von Schädlingen tummelt. Gleichzeitig wird eine sofortige Desinfizierung des Rechners angeboten. Im Browser wird das Fenster „Eigene Dateien“ dargestellt, die umgehend nach Viren gescannt werden. Nach Beendigung dieses angeblichen „Scans“ löst der User selbst den Download des „Antiviren-Programms“ aus, und zwar vollkommen unabhängig davon, worauf er klickt – selbst wenn er die Seite schließen will. In den meisten Fällen handelt es sich bei dem angeblichen Antiviren-Programm um den neuesten Vertreter von Erpressungs-Trojanern oder aber um Trojan.Win32.FraudPack. Derartige Seiten sind den Anwendern von Kaspersky-Produkten unter der Bezeichnung Hoax.HTML.FakeAntivirus.f und Trojan.JS.Fraud.af bekannt (beides Neueinsteiger in den Top 20 für Juni).

Zum Schluss noch eine Übersicht aller Länder, aus denen die meisten Infizierungsversuche über das Internet registriert wurden. Dabei führt China mit 21,3 Prozent vor Russland (14,7 %) und Indien (12, 8 %). Deutschland liegt mit 3,5 Prozent auf Platz sechs.

Copyright © 1996 - 2013 Kaspersky Lab Industry-leading Antivirus Software All rights reserved