Neue Schädlinge machen Kido/Conficker Konkurrenz

Kaspersky Lab  präsentiert für den August seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren. Unsere ständigen Spitzenreiter Net-Worm.Win32.Kido.ih und Virus.Win32.Sality.aa konnten auch im August ihre Positionen auf den Plätzen eins und zwei behaupten. Allerdings gab es im vergangenen Monat gleich sechs Neueinsteiger darunter zwei durchaus interessante: Auf dem dritten Platz befindet sich der Neuling not-a-virus:AdWare.Win32.Boran.z., eine Komponente der in China verbreiteten Baidu Toolbar für den Internet Explorer. Hier kommen verschiedene Rootkit-Technologien zum Einsatz, die dem Anwender das Entfernen dieser Toolbar mit herkömmlichen Mitteln erschwert.

Besonders erwähnenswert ist auch Virus.Win32.Induc.a. Um sich zu verbreiten, nutzt dieser Virus eine zweistufige Erstellung von ausführbaren Dateien, die dann in einer Delphi-Umgebung umgesetzt werden: Der Quellcode der entwickelten Anwendungen wird zunächst in dcu-Modulen kompiliert, aus denen dann die ausführbaren Dateien erzeugt werden. Da in diesem Fall die meisten Programme bereits während der Kompilierung mit dem Virus infiziert wurden, konnte sich Virus.Win32.Induc.a. sofort auf  dem 10. Platz einreihen.   

Insgesamt betrachtet war die wichtigste Veränderung der Neueinstieg von Virus.Win32.Induc, der ein innovatives Verfahren zur Infizierung von Anwendercomputern mit sich bringt. Im vergangenen Monat berichteten wir bereits über eine Schwachstelle im Internet Explorer. Das dazugehörige Exploit wird von Kaspersky Lab als Exploit.JS.DirektShow identifiziert. Im Juli schafften es gleich drei Modifikationen dieses Exploits in unsere Hitliste, und zwar die Versionen .a, .j und .o. Im August entdeckte Kaspersky Lab sogar vier unterschiedliche Typen dieses Schädlings, und zwar: k., j., l. und q. Der Grund: Die Schwachstelle ist bei den Cyberkriminellen nach wie vor sehr populär. Vermutlich gehen die Online-Verbrecher davon aus, dass viele Anwender es bisher versäumt haben, den entsprechenden Patch zu installieren und versuchen daher weiterhin Systeme über dieses Leck anzugreifen.

Im Internet existieren zahlreiche Webseiten, über die gefälschte Antivirus-Programme verbreitet werden. Eines der Skripte, die hierfür missbraucht werden, wird von Kaspersky als Trojan-Downloader.JS.FraudLoad.d identifiziert und landete auf dem 12. Platz unserer zweiten Top-20-Liste. Besucht man eine Seite, auf der dieses Skript platziert ist, so erhält man eine Mitteilung darüber, dass der Computer angeblich mit einer Vielzahl von Schadprogrammen infiziert ist. Das Angebot für eine gefälschte Antivirus-Software lässt dann nicht mehr lange auf sich warten. Stimmt der Anwender diesem Angebot zu, wird das falsche Antiviren-Programm, und damit oft auch weiterer Schadcode, auf den Computer geladen. Fazit: Wie bereits im  Juli festgestellt, setzt sich die Tendenz fort, dass Online-Kriminelle nach wie vor sehr aktiv Schwachstellen in populären Software-Produkten attackieren. Auch gefälschte Antiviren-Programme und einfache iframe-Klicker sind in der Cyberszene nach wie vor sehr beliebt und verbreiten sich daher überaus dynamisch.  (ph) http://www.kaspersky.ch