Top-20 der Mal- und Adware

Die zwei Seiten der Macht in der Cybercrime-Szene


Die zwei Seiten der Macht in der Cybercrime-Szene News

Im Juni 2011 konnten in Südostasien, Russland und den USA zahlreiche Cyberkriminelle entlarvt und dingfest gemacht werden. Hierbei kam die erfolgreiche Kooperation von Behörden aus der ganzen Welt zum Tragen. Dennoch gibt es auch weiterhin von der anderen Seite der Macht zu berichten: Kaspersky Lab stellte im Juni vermehrt Angriffe auf Mac-Nutzer fest. Darüber hinaus tauchte ein Schadprogramm auf, das andere Dateien auf Anwender-Computern infiziert. Experten dachten, diese Art von Malware sei bereits ausgestorben.
Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im Juni 2011 wehrten die Kaspersky-Heimanwenderlösungen 249.345.057 Netzattacken ab, blockierten 68.894.639 Infektionsversuche über das Web und neutralisierten insgesamt 216.177.223 Schadprogramme.

Attacken gegen Mac-Nutzer

Mac-Nutzer werden immer mehr zum Angriffsziel der Cyberkriminellen. Während im Mai gefälschte Antiviren-Lösungen für diese Plattform entdeckt wurden, verbreiteten Betrüger im Juni das Schadprogramm Backdoor.OSX.Olyx.a, das infizierte Macs fernsteuern kann. Cyberkriminelle sind so in der Lage, das befallene System etwa zum Download anderer Schädlinge, zum Starten von Programmen und zum Ausführen von Befehlen zu missbrauchen. Durch die gestiegene Popularität der Marke Apple mit seinen mobilen Devices wie dem iPod, iPhone und schließlich dem iPad wird diese zu einem immer interessanteren Ziel für Cyberkriminelle.

International effektiv: Schläge gegen Cybercrime-Szene

Im Juni erzielten die Strafverfolgungsbehörden weltweit Erfolge im Kampf gegen Cyberkriminalität. Die erfolgreichen Verhaftungen fußen zum Teil auf eine gelungene länderübergreifende Zusammenarbeit. So gelang es den Behörden in den USA, zwei internationale Gruppen zu zerschlagen, die Geld über den Verkauf gefälschter Antiviren-Programme abgriffen. Nach vorläufigen Schätzungen betrug der von ihnen verursachte Schaden 74 Millionen US-Dollar. Neben den nordamerikanischen Geheimdiensten waren an der Operation insgesamt elf weitere Landesbehörden beteiligt – unter anderem aus Deutschland, Frankreich und Großbritannien.

Auch in einigen südostasiatischen Ländern wurden etwa 600 Personen wegen Internetbetrugs dingfest gemacht. Schließlich wurde in Russland Pavel Vrublevsky, der Inhaber des größten russischen Online-Zahlungsdienstes ChronoPay, verhaftet. Ihm wird vorgeworfen, DDoS-Attacken auf einen Konkurrenz-Service organisiert zu haben.

Folgende Rangliste spiegelt die am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet wider.

Position    Positionsänderung    Name
1                      2                                AdWare.Win32.FunWeb.kd
2                      4                                Trojan-Downloader.JS.Agent.fxq
3                      2                                AdWare.Win32.FunWeb.jp
4                      -2                               Trojan.JS.Popupper.aw
5                      Neu                            Trojan.JS.Redirector.pz
6                      5                                Trojan.HTML.Iframe.dl
7                      Neu                            Trojan.JS.Redirector.qa
8                      Neu                            Trojan.JS.Redirector.py
9                      Neu                            Trojan.JS.Redirector.qb
10                    Neu                            Exploit.HTML.CVE-2010-4452.bc
11                    Neu                            Trojan-Downloader.JS.Agent.gbj
12                    Neu                            Trojan-Downloader.JS.Agent.fzn
13                    Neu                            Trojan-Downloader.JS.Agent.gay
14                    Neu                            Trojan-Downloader.JS.Iframe.cfw
15                    Neu                            Trojan.JS.Iframe.tm
16                    Neu                            Exploit.JS.Pdfka.dyi
17                    Neu                            Exploit.JS.Pdfka.duj
18                    Neu                            Trojan-Ransom.JS.SMSer.id
19                    Neu                            Trojan-Downloader.JS.Agent.gaf
20                    -1                               Hoax.Win32.Screensaver.b


In den Top 20 für Juni waren vier Redirect-Schädlinge vertreten: Trojan-Downloader.JS.Agent.fzn (12. Platz), Trojan-Downloader.JS.Agent.gay (13. Platz), Trojan-Downloader.JS.IFrame.cfw (14. Platz) und Trojan.JS.IFrame.tm (15. Platz). Während die beiden letztgenannten Schädlinge primitiv sind und mit Hilfe des Tags <iframe> den Anwender lediglich auf eine Webseite der Cyberkriminellen umleiten, wenden die beiden ersten eine viel raffiniertere Technik an. Sie infizieren nicht nur legale js-Dateien, sondern veranlassen auch noch den Download eines anderen JavaScript-Programms. Das geschieht allerdings nur, wenn das Ereignis "mousemove" im Objekt "window" eintritt, also wenn der Maus-Cursor innerhalb des aktiven Fensters bewegt wird. Diese Technik wird offensichtlich zur Umgehung einiger Sandboxes und Emulatoren eingesetzt.

Die folgende Liste zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden.

Position    Positionsänderung       Name
1                      0                             Net-Worm.Win32.Kido.ir
2                       2                            AdWare.Win32.FunWeb.kd
3                      -1                            Virus.Win32.Sality.aa
4                      -1                            Net-Worm.Win32.Kido.ih
5                      0                             Trojan.Win32.Starter.yy
6                      0                             Virus.Win32.Sality.bh
7                      1                             Virus.Win32.Sality.ag
8                      -1                            Trojan-Downloader.Win32.Geral.cnh
9                      0                             HackTool.Win32.Kiser.il
10                    Wieder dabei            AdWare.Win32.HotBar.dh
11                    1                             Virus.Win32.Nimnul.a
12                    -2                            Trojan-Downloader.Win32.FlyStudio.kx
13                    5                             Trojan.JS.Agent.bhr
14                    0                             Worm.Win32.FlyStudio.cu
15                    1                             Worm.Win32.Mabezat.b
16                    -3                            HackTool.Win32.Kiser.zv
17                    0                             Hoax.Win32.Screensaver.b
18                    1                             Trojan-Downloader.Win32.VB.eql
19                    -4                            Hoax.Win32.ArchSMS.pxm
20                    Neu                         Trojan-Downloader.SWF.Small.dj

Kido/Conficker hält sich hartnäckig auf Platz eins der zweiten Top 20. Neben den üblichen Verdächtigen machte im Juni allerdings ein ungewöhnlicher Dateivirus mit dem Namen Virus.Win32.Nimnul.a auf sich aufmerksam. Im Mai war dieser Schädling erstmals in den Top 20 vertreten und innerhalb von zwei Monaten kletterte er von Position 20 auf Platz elf. Das ist überaus erstaunlich, zumal Schadprogramme, die Dateien infizieren, bis dato als praktisch vom Aussterben bedroht galten. Gegenwärtig bevorzugen Cyberkriminelle Schädlinge, die durch polymorphe Packer geschützt sind, wodurch das gepackte Schadprogramm einmalig wird. Der Einsatz von Dateiviren ist einfach nicht mehr einträglich: Entwicklung und Pflege sind reichlich kompliziert, während es andererseits relativ einfach ist, sie im System aufzuspüren.

Der hier vertretene Schädling stiehlt persönliche Konfigurationsdateien gängiger Browser, verbindet sich mit einem entfernten Server und ist in der Lage, die Ausgabe von Webseiten auszutauschen. Der Virus verbreitet sich über selbst infizierte Dateien sowie mobile Speichermedien mit Hilfe von autorun.inf. Das Verbreitungsgebiet dieses Virus ist recht interessant: Indien, Indonesien, Bangladesch und Vietnam. Offensichtlich sind die Anwender in diesen Ländern um IT-Sicherheitsfragen recht unbesorgt und verwenden ungepatchte Windows-Versionen. Denn bereits am 8. Februar 2011 veröffentlichte Microsoft Updates, die den Autostart von Wechseldatenträgern deaktivieren.


[Bildquelle: iStockPhoto]

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.