Im Juni 2011 konnten in Südostasien, Russland und den USA zahlreiche Cyberkriminelle entlarvt und dingfest gemacht werden. Hierbei kam die erfolgreiche Kooperation von Behörden aus der ganzen Welt zum Tragen. Dennoch gibt es auch weiterhin von der anderen Seite der Macht zu berichten: Kaspersky Lab stellte im Juni vermehrt Angriffe auf Mac-Nutzer fest. Darüber hinaus tauchte ein Schadprogramm auf, das andere Dateien auf Anwender-Computern infiziert. Experten dachten, diese Art von Malware sei bereits ausgestorben.
Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im Juni 2011 wehrten die Kaspersky-Heimanwenderlösungen 249.345.057 Netzattacken ab, blockierten 68.894.639 Infektionsversuche über das Web und neutralisierten insgesamt 216.177.223 Schadprogramme.
Attacken gegen Mac-Nutzer
Mac-Nutzer werden immer mehr zum Angriffsziel der Cyberkriminellen. Während im Mai gefälschte Antiviren-Lösungen für diese Plattform entdeckt wurden, verbreiteten Betrüger im Juni das Schadprogramm Backdoor.OSX.Olyx.a, das infizierte Macs fernsteuern kann. Cyberkriminelle sind so in der Lage, das befallene System etwa zum Download anderer Schädlinge, zum Starten von Programmen und zum Ausführen von Befehlen zu missbrauchen. Durch die gestiegene Popularität der Marke Apple mit seinen mobilen Devices wie dem iPod, iPhone und schließlich dem iPad wird diese zu einem immer interessanteren Ziel für Cyberkriminelle.
International effektiv: Schläge gegen Cybercrime-Szene
Im Juni erzielten die Strafverfolgungsbehörden weltweit Erfolge im Kampf gegen Cyberkriminalität. Die erfolgreichen Verhaftungen fußen zum Teil auf eine gelungene länderübergreifende Zusammenarbeit. So gelang es den Behörden in den USA, zwei internationale Gruppen zu zerschlagen, die Geld über den Verkauf gefälschter Antiviren-Programme abgriffen. Nach vorläufigen Schätzungen betrug der von ihnen verursachte Schaden 74 Millionen US-Dollar. Neben den nordamerikanischen Geheimdiensten waren an der Operation insgesamt elf weitere Landesbehörden beteiligt – unter anderem aus Deutschland, Frankreich und Großbritannien.
Auch in einigen südostasiatischen Ländern wurden etwa 600 Personen wegen Internetbetrugs dingfest gemacht. Schließlich wurde in Russland Pavel Vrublevsky, der Inhaber des größten russischen Online-Zahlungsdienstes ChronoPay, verhaftet. Ihm wird vorgeworfen, DDoS-Attacken auf einen Konkurrenz-Service organisiert zu haben.
Folgende Rangliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.
Position Positionsänderung Name
1 2 AdWare.Win32.FunWeb.kd
2 4 Trojan-Downloader.JS.Agent.fxq
3 2 AdWare.Win32.FunWeb.jp
4 -2 Trojan.JS.Popupper.aw
5 Neu Trojan.JS.Redirector.pz
6 5 Trojan.HTML.Iframe.dl
7 Neu Trojan.JS.Redirector.qa
8 Neu Trojan.JS.Redirector.py
9 Neu Trojan.JS.Redirector.qb
10 Neu Exploit.HTML.CVE-2010-4452.bc
11 Neu Trojan-Downloader.JS.Agent.gbj
12 Neu Trojan-Downloader.JS.Agent.fzn
13 Neu Trojan-Downloader.JS.Agent.gay
14 Neu Trojan-Downloader.JS.Iframe.cfw
15 Neu Trojan.JS.Iframe.tm
16 Neu Exploit.JS.Pdfka.dyi
17 Neu Exploit.JS.Pdfka.duj
18 Neu Trojan-Ransom.JS.SMSer.id
19 Neu Trojan-Downloader.JS.Agent.gaf
20 -1 Hoax.Win32.Screensaver.b
In den Top 20 für Juni waren vier Redirect-Schädlinge vertreten: Trojan-Downloader.JS.Agent.fzn (12. Platz), Trojan-Downloader.JS.Agent.gay (13. Platz), Trojan-Downloader.JS.IFrame.cfw (14. Platz) und Trojan.JS.IFrame.tm (15. Platz). Während die beiden letztgenannten Schädlinge primitiv sind und mit Hilfe des Tags <iframe> den Anwender lediglich auf eine Webseite der Cyberkriminellen umleiten, wenden die beiden ersten eine viel raffiniertere Technik an. Sie infizieren nicht nur legale js-Dateien, sondern veranlassen auch noch den Download eines anderen JavaScript-Programms. Das geschieht allerdings nur, wenn das Ereignis "mousemove" im Objekt "window" eintritt, also wenn der Maus-Cursor innerhalb des aktiven Fensters bewegt wird. Diese Technik wird offensichtlich zur Umgehung einiger Sandboxes und Emulatoren eingesetzt.
Die folgende Liste zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden.
Position Positionsänderung Name
1 0 Net-Worm.Win32.Kido.ir
2 2 AdWare.Win32.FunWeb.kd
3 -1 Virus.Win32.Sality.aa
4 -1 Net-Worm.Win32.Kido.ih
5 0 Trojan.Win32.Starter.yy
6 0 Virus.Win32.Sality.bh
7 1 Virus.Win32.Sality.ag
8 -1 Trojan-Downloader.Win32.Geral.cnh
9 0 HackTool.Win32.Kiser.il
10 Wieder dabei AdWare.Win32.HotBar.dh
11 1 Virus.Win32.Nimnul.a
12 -2 Trojan-Downloader.Win32.FlyStudio.kx
13 5 Trojan.JS.Agent.bhr
14 0 Worm.Win32.FlyStudio.cu
15 1 Worm.Win32.Mabezat.b
16 -3 HackTool.Win32.Kiser.zv
17 0 Hoax.Win32.Screensaver.b
18 1 Trojan-Downloader.Win32.VB.eql
19 -4 Hoax.Win32.ArchSMS.pxm
20 Neu Trojan-Downloader.SWF.Small.dj
Kido/Conficker hält sich hartnäckig auf Platz eins der zweiten Top 20. Neben den üblichen Verdächtigen machte im Juni allerdings ein ungewöhnlicher Dateivirus mit dem Namen Virus.Win32.Nimnul.a auf sich aufmerksam. Im Mai war dieser Schädling erstmals in den Top 20 vertreten und innerhalb von zwei Monaten kletterte er von Position 20 auf Platz elf. Das ist überaus erstaunlich, zumal Schadprogramme, die Dateien infizieren, bis dato als praktisch vom Aussterben bedroht galten. Gegenwärtig bevorzugen Cyberkriminelle Schädlinge, die durch polymorphe Packer geschützt sind, wodurch das gepackte Schadprogramm einmalig wird. Der Einsatz von Dateiviren ist einfach nicht mehr einträglich: Entwicklung und Pflege sind reichlich kompliziert, während es andererseits relativ einfach ist, sie im System aufzuspüren.
Der hier vertretene Schädling stiehlt persönliche Konfigurationsdateien gängiger Browser, verbindet sich mit einem entfernten Server und ist in der Lage, die Ausgabe von Webseiten auszutauschen. Der Virus verbreitet sich über selbst infizierte Dateien sowie mobile Speichermedien mit Hilfe von autorun.inf. Das Verbreitungsgebiet dieses Virus ist recht interessant: Indien, Indonesien, Bangladesch und Vietnam. Offensichtlich sind die Anwender in diesen Ländern um IT-Sicherheitsfragen recht unbesorgt und verwenden ungepatchte Windows-Versionen. Denn bereits am 8. Februar 2011 veröffentlichte Microsoft Updates, die den Autostart von Wechseldatenträgern deaktivieren.
[Bildquelle: iStockPhoto]