Internet Security / Analysen

Gumblar. x nach fast vollständigem Erliegen erneut wieder an der Spitze der Top 20

9.03.2010

Eugene Aseev

Kaspersky Lab präsentiert für Februar 2010 seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Aufgelistet werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme. Zum anderen zeigt die Aufstellung, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.

Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware):

Position	Positionsänderung	Name	Anzahl infizierter Computer
1	0	Net-Worm.Win32.Kido.ir	274729
2	1	Virus.Win32.Sality.aa	179218
3	1	Net-Worm.Win32.Kido.ih	163467
4	-2	Net-Worm.Win32.Kido.iq	121130
5	0	Worm.Win32.FlyStudio.cu	85345
6	3	Trojan-Downloader.Win32.VB.eql	56998
7	New	Exploit.JS.Aurora.a	49090
8	9	Worm.Win32.AutoIt.tc	48418
9	1	Virus.Win32.Virut.ce	47842
10	4	Packed.Win32.Krap.l	47375
11	-3	Trojan-Downloader.WMA.GetCodec.s	43295
12	0	Virus.Win32.Induc.a	40257
13	New	not-a-virus:AdWare.Win32.RK.aw	39608
14	-3	not-a-virus:AdWare.Win32.Boran.z	39404
15	1	Worm.Win32.Mabezat.b	38905
16	New	Trojan.JS.Agent.bau	34842
17	3	Packed.Win32.Black.a	32439
18	1	Trojan-Dropper.Win32.Flystud.yo	32268
19	Return	Worm.Win32.AutoRun.dui	32077
20	New	not-a-virus:AdWare.Win32.FunWeb.q	30942

Nach der Anzahl der Infizierungen zu urteilen, ist die Kido-Epidemie leicht rückläufig, denn die Top 5 der Schadprogramme blieben unverändert. Auf Platz 7 landete ein schwer beschäftigter Vertreter der Gattung Exploit – ein Programm also, das Sicherheitslücken in Softwareprodukten ausnutzt – und zwar Exploit.JS.Aurora.a, auf den wir aber im Abschnitt „Schadprogramme im Internet“ noch näher eingehen werden. Neu im Ranking waren im Februar zwei AdWare-Programme.

Ein besonders gutes Beispiel für ein weitverbreitetes Werbeprogramm ist FunWeb.q auf Platz 20 unserer Hitliste. Dieses Programm ist eine Toolbar für gängige Browser und gewährleistet dem Anwender schnellen Zugriff auf die Inhalte gewisser Websites (meist mit medizinischen Inhalten). Zur Darstellung der Werbung verändert es die Ansicht der Seite, die der Anwender besucht.

Bei not-a-virus:AdWare.Win32.RK.aw auf Platz 13 ist der Fall etwas komplizierter. Es handelt sich hierbei um die Anwendung Relevant Knowledge, die zusammen mit verschiedenen anderen Software-Produkten verbreitet und installiert wird. In der Benutzervereinbarung wird darauf hingewiesen, dass dieses Programm automatisch persönliche Anwenderdaten sammelt, jede Aktivität des Benutzers – insbesondere im Internet – verfolgt und diese dann auf seinen Servern speichert. Dies dient angeblich nur höheren Zielen („zur Gestaltung der Zukunft des Internets“), und es wird versichert, dass die Daten sorgfältig geschützt würden. Ob man diesen Versprechungen glauben möchte oder nicht, muss dann jeder Anwender für sich entscheiden.

Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben. Sie spiegelt also die Schädlingssituation im Internet wider:

Position	Positionsänderung	Name	Anzahl der Downloadversuche
1	Return	Trojan-Downloader.JS.Gumblar.x	453985
2	-1	Trojan.JS.Redirector.l	346637
3	New	Trojan-Downloader.JS.Pegel.b	198348
4	3	not-a-virus:AdWare.Win32.Boran.z	80185
5	-2	Trojan-Downloader.JS.Zapchast.m	80121
6	New	Trojan-Clicker.JS.Iframe.ea	77067
7	New	Trojan.JS.Popupper.ap	77015
8	3	Trojan.JS.Popupper.t	64506
9	New	Exploit.JS.Aurora.a	54102
10	New	Trojan.JS.Agent.aui	53415
11	New	Trojan-Downloader.JS.Pegel.l	51019
12	New	Trojan-Downloader.Java.Agent.an	47765
13	New	Trojan-Clicker.JS.Agent.ma	45525
14	New	Trojan-Downloader.Java.Agent.ab	42830
15	New	Trojan-Downloader.JS.Pegel.f	41526
16	Return	Packed.Win32.Krap.ai	38567
17	New	Trojan-Downloader.Win32.Lipler.axkd	38466
18	New	Exploit.JS.Agent.awd	35024
19	New	Trojan-Downloader.JS.Pegel.k	34665
20	New	Packed.Win32.Krap.an	33538

Die Schadprogramm-Situation im Internet war im Februar überaus interessant. Gumblar.x steht erneut an der Spitze der Top 20 – nachdem die Epidemie dieses Schädlings im Januar fast vollständig zum Erliegen gekommen war, nahm sie im Februar wieder volle Fahrt auf. Das zeigt, dass die nächste Gumblar-Attacke, über die wir vor einem Monat spekulierten, nicht lange auf sich warten ließ. Im Gegensatz zur vorhergehenden Attacke haben die Cyberkriminellen dieses Mal allerdings keine Veränderungen vorgenommen – sie haben einfach neue Daten für den Zugriff auf die Websites der Anwender gewählt, um sie so massenhaft zu infizieren. Ungeachtet dessen werden wir die Entwicklung der Ereignisse aufmerksam verfolgen und alle Veränderungen registrieren.

Abb. 1. Anzahl der von Gumblar.x infizierten Websites

Desweiteren hat sich das Ausmaß der Pegel-Epidemie im Vergleich zum Januar versechsfacht: Unter den Neueinsteigern im Ranking befinden sich gleich vier Vertreter dieser Familie, von denen einer direkt den Sprung auf die dritte Position schaffte. Dieser Downloader ist Gumblar ähnlich, denn er infiziert ebenfalls legitime Websites. Ruft der Anwender eine infizierte Seite auf, wird er von dem integrierten Skript auf die Ressource der Kriminellen umgeleitet. Um bei dem Anwender möglichst wenig Misstrauen zu erwecken, verwenden die Online-Betrüger in den Adressen der schädlichen Sites Namen populärer Websites, wie z.B.:

Über Links ist ein weiteres Skript eingerichtet, das mit verschiedenen Mitteln versucht, die ausführbare Hauptdatei zu laden. Die dabei verwendeten Methoden sind bekannt – die Ausnutzung von Schwachstellen in den großen Software-Produkten Internet Explorer (CVE-2006-0003) und Adobe Reader (CVE-2007-5659, CVE-2009-0927) sowie der Download mit Hilfe eines speziellen Java-Applets.

Die ausführbare Hauptdatei ist dann immer der berüchtigte Backdoor.Win32.Bredolab, der mit verschiedenen schädlichen Packern bestückt ist (von denen einige als Packed.Win32.Krap.ar und Packed.Win32.Krap.ao erkannt werden). Es sei hier daran erinnert, dass er neben seiner Hauptfunktionalität – der Fernsteuerung des Anwendercomputers – auch in der Lage ist, andere schädliche Dateien zu laden.

Auf dem 9. Platz schließlich befindet sich Exploit.JS.Aurora.a, dem wir – wie oben angekündigt – an dieser Stelle einige Zeilen widmen. Aurora.a ist ein Exploit für die Sicherheitslücke CVE-2010-0249, die nach einer großangelegten Attacke im Januar gleich in mehreren Versionen des Internet Explorers entdeckt wurde.

Die Attacke, über die ausnahmslos alle IT-Fachpublikationen berichteten, nimmt Großkonzerne (wie etwa Google und Adobe) ins Visier und wurde “Aurora” getauft – nach dem Verzeichnis, das eine der ausführbaren Hauptdateien verwendet. Ziel der Attacke ist das Abschöpfen von persönlichen Informationen der Anwender sowie des intellektuellen Eigentums der Unternehmen, wie etwa Quellcodes von Projekten. Die Umsetzung erfolgt mit Hilfe von E-Mails, die einen Link auf die schädliche Website mit dem Exploit enthalten, welches dann die ausführbare Hauptdatei auf den Computer des Anwenders lädt, ohne dass dieser es bemerkt.

Abb. 2. Fragment einer Variante von Exploit.JS.Aurora.a

Bemerkenswert ist, dass Mitarbeiter von Microsoft einige Monate vor Beginn der Attacke von der Sicherheitslücke wussten, sie aber erst einen Monat nach ihrer Entdeckung ausbesserten. Man kann sich denken, dass im Laufe dieses Monats der Quellcode des Expoits öffentlich wurde und nur die faulsten unter den Cyberbetrügern darauf verzichteten, ihn in ihren Attacken einzusetzen – in unseren Datenbanken befinden sich bereits mehr als hundert verschiedene Ausnutzungs-Varianten dieser Schwachstelle.

Nach wie vor geht die größte Gefahr für den Anwender von Sicherheitslücken in populären Software-Produkten aus. Bedenkt man, dass die Cyberkriminellen versuchen, Schwachstellen auszunutzen, die bereits vor Jahren entdeckt wurden, so kommt man zu dem Schluss, dass diese Sicherheitslücken immer noch aktuell sind. Selbst wenn man alle Updates für große Programmpakete rechtzeitig installiert, kann man leider nicht hundertprozentig davon ausgehen, dass der Computer sicher ist, da die Hersteller dieser Software die entsprechenden Patches für die erkannten Schwachstellen nicht immer rechtzeitig veröffentlichen. Daher ist bei der Arbeit mit dem Computer größte Vorsicht geboten sowie der Gebrauch eines Antiviren-Programms mit den neusten Aktualisierungen dringend zu empfehlen.

Quelle: Kaspersky Lab

Copyright © 1996 - 2013 Kaspersky Lab Industry-leading Antivirus Software All rights reserved