2. April 2009

Doctor Web präsentiert einen Sicherheitsreport für den März 2009. Der vergangene Monat verzeichnete eine vermehrte Anzahl von Betrugsfällen mit besonderer Raffinesse. Botnetze entwickeln sich weiter. Die Betreiber verwenden immer agressivere Verbreitungsmethoden und die Zahl der PC-Zombies nimmt im Endeffekt rasant zu. In Spam-Mails wird immer mehr Werbung für Spam-Services gemacht.Botnetze

Im März 2009 haben die Botnetze Tdss und Shadow für ein beträchtliches Aufsehen gesorgt. Die Betreiber machen sich immer neue, ausgeklügelte Techniken zunutze, um die Effizienz der Botnetze zu erhöhen, bleiben aber auch teilweise bei alten bewährten Verbreitungsmethoden: USB-Sticks, allgemeine Netz-Inhalte und bekannte Anfälligkeiten. Dies bedeutet, dass nicht alle Anwender die Sicherheitstipps der Antivirenhersteller befolgen und die einfachsten Sicherheitsmaßnahmen vernachlässigen.

Dabei informiert das Unternehmen ständig in seinen Reports sowie bei der Schulung der IT-Spezialisten über neue Virenbedrohungen. Wir geben den Anwendern auch regelmäßig Tipps und Tricks, wie sie der Schadsoftware vorbeugen können. Die Betreiber der Botnetze wissen auch Bescheid, dass eine PC-Infektion für das Botnetz mittels einiger Sicheheitslücken im System sich leicht bestimmen lässt. Sie wissen auch, dass viele Administratoren diese Methode auch bei ihrer Arbeit verwenden. Als Folge entstand eine neue Variante von Win32.HLLW.Shadow.based, die bekannte Sicherheitslücken schließt. So lässt sich die Infektion nach diesem Merkmal schwer bestimmen. Die gekaperten PCs erhalten weiter die Anweisungen von den Übeltätern.

Die letzte Modifikation von Win32.HLLW.Shadow.based verwendet den Adressen-Generator, der nach einem bestimmten Algoritmus 50 000 Adressen in 24 Stunden erstellt und dabei 500 aussiebt, von denen dann der Schädling die Anweisungen zu erhalten versucht. Auf Kommando werden anschließend die aktualisierten schädlichen Module nachgeladen. Dieser neue Algoritmus erschwert die Erarbeitung einer Antimalware-Lösung, weil die Serveradressen, von denen das Botnetz betrieben wird, nicht bestimmen und gesetzesmäßig sich nicht stoppen lassen.

Die Übeltäter machen sich BackDoor.Tdss zunutze, um das Botnetz Tdss weiter auszubauen. Es kommen immer neue, ausgeklügelte Techniken zum Einsatz, man feilt auch an Rootkit-Techniken, um Antivirenprogrammen einen Widerstand leisten zu können. Die aktuellen Varianten von BackDoor.Tdss können bereits einem Datei-Monitor des Antivirenprogramms effizient entgegenwirken. Der Schädling nutzt auch die Sicherheitslücken in Windows aus und verbreitet sich erfolgreich über Video-Codecs. Diese Masche funktioniert trotz der allgemeinen Bekanntheit erfolgreich bis jetzt.

Betrug

Im vergangenen Monat war auch ein Zuwachs von neuen Betrugsfällen mittels Malware zu beobachten.

Die Kreditkarten-Nutzer waren im vergangenen Monat wegen einer Nachricht über die in GAA-Netzen einiger russischer Banken detektierten Viren alarmiert. Diese Schadprogramme haben für die Cyber-Kriminellen Bankdaten inkl. Kontostand gesammelt. Diese Schadsoftware wurde von Dr.Web als Trojan.Skimer eingestuft. Derzeit sind in der Dr.Web Virendatenbank rund ein Dutzend Varianten dieses Schadprogramms zu finden. Es sei auch betont, dass der Hersteller noch vor der Detektion des Schädlings durch Virenscanner die Sicherheitsanweisungen an die betroffenen Banken versendet hat. Eine ausführliche Beschreibung der Funktionalität von Trojan.Skimer können Sie in der Virenbibliothek von Doctor Web nachlesen.

Die Übeltäter verbreiten auch aktiv Pseudo-Antivirenprogramme, obwohl entsprechende Informationen von Antivirenherstellern zur Verfügung gestellt werden. Allmählich gewinnen die Schad-Websites, die Pseudo-Antivirenprogramme verbreiten, an Überzeugungskraft und setzen professionelle Design-Tricks ein. Ein Beispiel dafür liefert Antivirus XP 2008.

Sozialnetzwerke bleiben wie zuvor ein fruchtbarer Boden für Cyber-Kriminelle. So verbreitet sich der Trojaner Trojan.PWS.Vkontakte.6 als Programm, das das Rating des beliebten sozialen Netzwerks Vkontakte.ru steigern soll.

Spam

Auf Platz 1 hat sich bei Spam-Mails im März die Werbung für Spam-Services vorgeschoben. Anscheinend übertrifft heute auf dem Spam-Markt das Angebot die Nachfrage. In Spam-Mails wird auch mehr Werbung für Piraterie-DVDs mit Filmen, medizinische Präparate, teure Handys und Uhren gemacht. Man muss auch ein hohes Niveau von Mails hervorheben, die Empfänger zu verschiedenen Konferenzen und Couch-Veranstaltungen einladen.

Die Zahl der Malware und Links zu den mit Schadcode befallenen Websites ist in letzter Zeit wesentlich geschrumpft. Es entstehen deshalb die sogenannten Hintergrundeffekte. So führen oft die Statistiktabelle verschiedene Dateiviren an, die sich nicht über Spam-Mails verbreiten. Dies kann auch damit zusammenhängen, dass die Anwender Dateiarchive erstellen, in die oft auch Viren mitgezogen werden.

Unter Massen-Mail-Aktionen, wo die Verbreitung von Malware zum Ziel gesetzt wird, ist vor allem der kurzläufige Massenversand von Win32.HLLW.Brutus.3 und Trojan.PWS.Panda.114 hervorzuheben. Der letzterwähnte Trojaner verbreitete sich in getarnter DHL-Mail, wo man ein angebliches Paket wegen eines Fehlers in der Anschrift nicht zustellen konnte. Es hieß auch, die angefügte Rechnung auszudrucken und damit ein DHL-Büro zu besuchen. In der Tat versteckte sich im angehängten Archiv eine Schaddatei.

Im März haben die Spammer Mails weiter verschickt, die Anweder zur Beteiligung an verschiedenen Schneeballsystemen aufgefordert haben. Heute nimmt die Zahl socher Betrugsfälle weiter zu.

Die Phishing-Mails bleiben noch in der Hitliste und waren diesmal massenhaft Teilnehmer des Auktionshauses eBay abgezielt.

Malware Top 20 im E-Mail-Verkehr

Malware Top 20 auf PCs der Anwender