Rückblick und Analyse der Virenbedrohungen im Januar 2010
Die Trojan.Winlock-Familie sorgte im Monat Januar für eine große Infektionswelle. Die meisten aufgedeckten Betrugsfälle setzen die Zahlungsweise via SMS voraus. Cyber-Kriminelle feilen weiter an neuen Monetisierungs-Tricks und Methoden zur Verbreitung von Malware.
Windows-Blockierer
Die massive Verbreitung mehrerer Varianten von Trojan.Winlock wurde zum Hauptereignis auf der Sicherheitsszene im Monat Januar. Der Schädling lässt oberhalb aller anderen Fenster sein eigenes Fenster anzeigen und stört die Funktion einiger auf dem PC installierten Programme. Das blockierte System kann laut Angreifer nur gegen Gebühr entsperrt werden. Sie fordern Anwender auf, eine kostenpflichtige SMS an die angebotene Kurznummer zu versenden. Eine solche SMS-Nachricht kostete z.B. im Januar 7-14 €.
Der Statistikserver von Doctor Web verzeichnete über 850.000 detektierte Exemplare von Trojan.Winlock auf mit Dr.Web geschützten Systemen (Dr.Web Enterprise Suite und Dr.Web Antivirus-Service inbegriffen). Diese Zahl ist im Vergleich zum Dezember 2009 um 215 % gewachsen. Im Vergleich zum November 2009 ist sie um 2340 % gestiegen. Es handelt sich um eine große Epidemie von Trojan.Winlock in Russland und der Ukraine. Im vorigen Monat infizierte der Trojaner PCs mehrerer Millionen Anwender.
Windows-Blockierer brachten Internetanwendern viele Sorgen im Januar. Nach dem großen Aufsehen kam die Reaktion der Provider von Kurznummern, die den zu Schaden gekommenen Abonnenten Entsperrungscodes kostenlos zur Verfügung stellten. Mobilfunkanbieter richten jetzt Services ein, die es ihren Abonnenten ermöglichen, die Gebühr jeder SMS-Nachricht vor dem Versand genau zu kalkulieren.Hersteller von Antivirensoftware bieten bereits Tools zur Neutralisierung von Trojan.Winlock.
Am 22. Januar haben wir auf unserer Website einen speziellen Bereich gelauncht, wo der Entsperrungscode für Windows generiert werden kann (nur innerhalb einer Woche wurde diese Webseite von über 1 Mio. Besucher aufgerufen). Es wurden auch mehrere Varianten von Dr.Web CureIt! veröffentlicht, mit dem man kontaminierte PCs effizient desinfizieren kann.
SMS-Betrug
Die mit Hilfe von SMS-Nachrichten erwirtschafteten illegalen Gewinne spornten die ganze Industrie von Malware-Websites an, die nicht existierende Services und Software anbieten.
So boten die Betrüger gefälschte Antivirensoftware an, die auf dem PC der Anwender Programme zur Verwaltung von Mobiltelefonen, mobile Scanner usw. entdeckten.
In den meisten Fällen wurden solche Services und Software-Produkte via SMS bezahlt. Ende Januar geriet diese Zahlungsweise ins Visier der Kurznummer-Provider, die diesen Service für viele Malware-Websites wegen Trojan.Winlock-Epidemie gesperrt haben. Nun greifen die Online-Kriminellen zu alt bewährten Zahlungsmethoden (z.B. via WebMoney) und lassen sich immer wieder neue Maschen einfallen.
Neue Monetisierungs-Tricks
Die Angreifer rüsten sich mit neuen Monetisierungs-Tricks aus. So fordert man z.B. Anwender auf, ihre Mobilfunknummer auf der angebotenen Website einzugeben. Anschließend bekommt man eine SMS-Nachricht, in der man per Klick auf einen vorhandenen Link den gewünschten Service aktivieren kann. Danach wird vom Konto des Anwenders ein Betrag abgebucht.
Die Gefahr besteht darin, dass jeder Handynummer-Besitzer eine solche SMS-Nachricht bekommen kann. Auf den ersten Blick erscheint die Nachricht als harmlos. Per Klick auf den angebotenen Link kann aber das Konto des Besitzers angezapft werden. Doctor Web fordert alle Anwender auf, solche SMS-Nachrichten zu ignorieren.
Neue Verbreitungsmethoden von Malware und Spam
Im vergangenen Monat haben die Übeltäter neue Methoden zur Verbreitung von Malware eingesetzt. So wurden z.B. Spam-Mails mit angehängten Torrent-Dateien versendet, durch die man vermeintliche E-Cards vom Torrent-Tracker laden konnte. Die Karten erwiesen sich als böswillige Software. Die Mailserver lassen solche Mails durchkommen, weil eine Torrent-Datei als solche keinen Schadcode enthält.
Die Spammer lassen sich auch immer wieder neue Methoden zur Übertragung großer Datenmengen einfallen. Den Beweis liefern Spams mit angehängten mp3-Dateien, die ca. 1 Stunde lange Lektionen enthielten. Außerdem wurden Spam-Mails verschickt, die zu Videospots auf Websites der Angreifer und auf YouTube weiterleiteten.
Tipps zur Vorbeugung einer Infizierung mit Trojan.Winlock
- Installieren Sie immer eine lizenzierte Antivirensoftware und halten Sie die Software laut Empfehlung des Herstellers auf dem aktuellen Stand.
- Benutzen Sie alternative Webbrowser (Mozilla Firefox, Opera oder Google Chrome) und installieren Sie rechtzeitig empfohlene Sicherheits-Updates.
- Installieren Sie rechtzeitig Sicherheits-Updates für Ihr Betriebssystem.
- Gehen Sie nicht auf Websites, die in Popup-Fenstern erscheinen.
- Verzichten Sie auf Codecs und andere Programme, die Ihnen zum Ansehen von Videos angeboten werden. Gehen Sie auf die offizielle Homepage des Herstellers und laden Sie diese Software herunter. In vielen Fällen wird Trojan.Winlock als Video-Codec verbreitet.
Tipps zur Desinfektion von Trojan.Winlock
Wenn auf Ihrem Bildschirm das Fenster erscheint, in dem von Ihnen verlangt wird, eine SMS-Nachricht zu versenden, und dieses Fenster sich nicht schließen lässt, heißt es, dass Sie mit Trojan.Winlock infiziert sind.
- Versenden Sie in keinem Fall kostenpflichtige SMS-Nachrichten. Jede versendete SMS motiviert Online-Kriminelle zur Anfertigung neuer Varianten von Trojan.Winlock.
- Gehen Sie auf die Seite, wo Sie einen Entsperrungscode bekommen können.
- Laden Sie die spezielle Variante von Dr.Web CureIt! und benutzen Sie das Tool zur Desinfektion des Systems und Entfernung von Trojan.Winlock.
- Gehen Sie auf www.freedrweb.com/ und laden Sie Dr.Web LiveCD herunter. Nach der Desinfektion durch Dr.Web LiveCD ist es empfehlenswert, das System mit Dr.Web CureIt! zu prüfen.
- Besuchen Sie unser Forum und zwar den Bereich Hilfe bei der Desinfektion.
- Rufen Sie den Provider der Kurznummer an und fordern Sie ihn auf, den Entsperrungscode kostenlos zur Verfügung zu stellen.
Der Anteil von Schadprogrammen im gesamten E-Mail-Traffic im Januar ist im Vergleich zum Dezember 2009 um 30% gefallen. Der Anteil von Schadsoftware auf PCs der Anwender ist um 35% geschrumpft. Diese Korrektur ist allem Anschein nach auf einen extrem hohen Anteil der Schadsoftware im vorigen Monat zurückzuführen.
Top-20-Malware im E-Mail-Traffic
| 01.01.2010 00:00 - 01.02.2010 00:00 | ||
| 1 | Trojan.DownLoad.37236 | 13268129 (12.99%) |
| 2 | Trojan.DownLoad.47256 | 10044467 (9.84%) |
| 3 | Trojan.MulDrop.40896 | 7096903 (6.95%) |
| 4 | Trojan.Fakealert.5115 | 7023800 (6.88%) |
| 5 | Win32.HLLM.MyDoom.44 | 6490377 (6.36%) |
| 6 | Trojan.Packed.683 | 5749108 (5.63%) |
| 7 | Trojan.Fakealert.5238 | 5261760 (5.15%) |
| 8 | Win32.HLLM.Netsky.35328 | 4772813 (4.67%) |
| 9 | Trojan.DownLoad.50246 | 4051880 (3.97%) |
| 10 | Trojan.Botnetlog.zip | 3758307 (3.68%) |
| 11 | Trojan.Fakealert.5825 | 3442880 (3.37%) |
| 12 | Trojan.Fakealert.5437 | 2517200 (2.47%) |
| 13 | Win32.HLLM.MyDoom.33808 | 2392000 (2.34%) |
| 14 | Trojan.Fakealert.5356 | 2281720 (2.23%) |
| 15 | Trojan.Fakealert.5784 | 1973160 (1.93%) |
| 16 | Trojan.PWS.Panda.122 | 1851377 (1.81%) |
| 17 | Trojan.Fakealert.5229 | 1835120 (1.80%) |
| 18 | Trojan.Fakealert.5457 | 1607760 (1.57%) |
| 19 | Trojan.Siggen.18256 | 1526581 (1.49%) |
| 20 | Win32.HLLM.Beagle | 1505664 (1.47%) |
| Insgesamt geprüft: | 139,350,636,730 |
| Infiziert: | 102,115,886 (0.07%) |
Top-20-Malware auf PCs der Anwender
| 01.01.2010 00:00 - 01.02.2010 00:00 | ||
| 1 | Win32.HLLM.MyDoom.49 | 4020788 (16.80%) |
| 2 | Win32.HLLM.Netsky.35328 | 1637229 (6.84%) |
| 3 | Win32.HLLW.Gavir.ini | 1081250 (4.52%) |
| 4 | Trojan.WinSpy.440 | 1053086 (4.40%) |
| 5 | Trojan.AppActXComp | 907785 (3.79%) |
| 6 | Trojan.AuxSpy.137 | 734318 (3.07%) |
| 7 | Win32.HLLM.Beagle | 656944 (2.74%) |
| 8 | Win32.HLLM.MyDoom.33808 | 646730 (2.70%) |
| 9 | Trojan.PWS.Gamania.23481 | 623699 (2.61%) |
| 10 | Trojan.MulDrop.16727 | 584477 (2.44%) |
| 11 | Win32.HLLW.Shadow | 513252 (2.14%) |
| 12 | Win32.Virut.5 | 493248 (2.06%) |
| 13 | Win32.HLLW.Shadow.based | 380166 (1.59%) |
| 14 | Trojan.MulDrop.13408 | 325488 (1.36%) |
| 15 | JS.Popup.1 | 316857 (1.32%) |
| 16 | Win32.Virut.14 | 295463 (1.23%) |
| 17 | Win32.HLLW.Kazaa.17 | 263143 (1.10%) |
| 18 | Win32.Alman.1 | 261298 (1.09%) |
| 19 | Exploit.MySql.11 | 260470 (1.09%) |
| 20 | Trojan.Winlock.715 | 256356 (1.07%) |
| Insgesamt geprüft: | 169,874,198,147 |
| Infiziert: | 23,938,315 (0.01%) |
Bewerten
Teilen/Liken
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare