Im ersten Herbstmonat plagten neue verschlüsselte Trojaner und Massen-Mailings mit Links zu bösartigen Codes sowie vermeintliche 'Anti-Viren'-Programme die PC-Anwender.

Gleich zu Beginn des Monats traten zwei neue Modifikationen des Erpresser-Trojaners auf. Diese Programme verschlüsseln Dokumente auf Computern und fordern dann eine Gebühr für deren Rückgabe. Doctor Web berichtete in diesem Zusammenhang bereits im vergangenen Monat über die Varianten Trojan.Encoder.20 und Trojan.Encoder.21. Die Entwickler des Security-Unter¬nehmens reagierten schnell auf diese neue Bedrohung und entwickelten ein Entschlüsselungs- Utility, das jedermann kostenlos zur Verfügung steht.

Tendenz im September – Scriptsprache AutoIt wird verstärkt zum Schreiben von Viren missbraucht

Immer häufiger wurde im September die Programmiersprache AutoIt zum Schreiben von Viren benutzt beziehungsweise missbraucht. Das Open Source-Programm erfreut sich wachsender Popularität und wurde entwickelt, um Tasks in Windows zu automatisieren. Seine neuesten Versionen haben zahlreiche Optionen wie die Möglichkeit TCP / UDP-Verbindungen aufzubauen, ausführ¬bare Dateien in eine kompilierte Datei aufzunehmen, die beim deren Start extra¬hiert werden kann, oder eine Option die Tastatur-Tasten loggen kann. Diese Optionen sowie die Benutzerfreundlichkeit macht diese Sprache bei zahlreichen Virus-Schreibern immer beliebter.

Neues Internet Explorer-Plug-in führt zahlreiche System-Änderungen durch

Als Plug-in für den Internet Explorer trat ein weiteres gefährliches Erpresser-Programm im vergangenen Monat auf - mit dramatisch zunehmender Häufigkeit. Das Plug-in erscheint im Internet Explorer und verdeckt den größten Teil des Bildschirms. Anschließend fordert die Malware vom Benutzer, eine SMS-Nach¬richt von seinem Handy zu schicken, um Anweisungen für die Deinstallation zu erhalten. Doctor Web Virus-Analysten klassifizieren diesen Schädling als Trojan.Blackmailer. Durch den Eintrag von Trojan.Blackmailer.origin in der Doctor Web Virus-Datenbank können zahlreiche Änderungen die durch das Erpresser-Plug-in vorgenommen wurden aus einem infizierten System entfernt werden.

Vermeintliche Antiviren-Programme auf dem Vormarsch

Neue vermeintliche Antiviren-Programme wurden im September verbreitet. Solche Programme installieren sich selbst und zeigen eine Nachricht, dass angeblich ein Virus erkannt worden sei. Um das angebliche Virus zu entfernen, wird der Benutzer aufgefordert die volle Version eines 'Anti-Virus'-Programms herunter zu laden. Das Virus Trojan.Fakealert deaktiviert anschließend einige Funktionen der Standard-Windows-Fenster und das Ändern von Bildern auf dem Desktop wird unmöglich, da solche vermeintlichen 'Infektions-Warnungen mit Hilfe just solcher Bilder angezeigt werden.

Trojaner erstellen mehrere Modifikationen pro Tag

Am häufigsten versprachen im September verbreitete Spam-Mails erotische Filme von berühmten Stars, die der Empfänger über URLs herunter laden solle, sich aber dann als Trojaner-Programme erwiesen, die von Doctor Web als Trojan.DownLoad.4419 erkannt wurden. Aber nicht nur Links zu erotischen Filmen wurden den Spam-Empfängern schmackhaft gemacht, auch Links auf durchaus bekannte Websites führten zu anderen, Trojaner-verseuchten Seiten. Die Trojaner verändern häufig Packer und Inhalt und erstellten zudem mehrere Modifikationen pro Tag. Zahlreiche Einträge wurden dazu in der Doctor Web Virus-Datenbank vorgenommen, um Trojaner dieser Kategorie zu erkennen. Hierzu gehören beispielsweise die Trojaner Trojan.Packed.628, Trojan.Packed.642 und Trojan.Packed.648.

Angebliche Schulden oder Preislisten sammeln E-Mail-Adressen

Im September erhöhte sich die Anzahl von Spam-Distributionen mit Datei-Anhängen. In der Regel enthalten sie ZIP-Dateien. Diese Mails enthalten eine kurze Erklärung, die die Benutzer dazu anregen, den Anhang zu öffnen. In einigen Fällen waren es eine Auflistung von Schulden, die sofort getilgt werden sollten sowie andere Tricks. Diese Anhänge werden von Dr.Web als eine Modifi¬kation der Trojan.Inject oder Tro-jan.PWS.GoldSpy identifiziert.

Eine weitere nennenswerte Spam-Distribution enthielt eine gezippte Preisliste, wie sie von Kunden häufig angefordert werden. Geöffnet sah das Dokument aus wie eine reine Spam-Nachricht, aber in der Tat es enthielt es ein Makro, das automatisch gestartet wurde. Das Makro stellt eine ausführbare Datei her, die in einen temporären Ordner geschrieben, und anschließend ausgeführt wird. Diese Malware, Trojan.EmailSpy.136, sammelt Informationen über gespeicherte E-Mails auf dem Computer und sendet diese E-Mails zu dem Programmierer des Virus. Die dadurch gesammelten E-Mail-Adressen werden zur Verteilung von Spam verwendet.

Ebenfalls ein großer Schwall von E-Cards war im September wieder im Umlauf. Diese werden als kurze Text-Nachrichten mit einer URL versendet, die auf eine Datei mit dem Namen e-card.exe verweisen. Werden sie ausgeführt, öffnen sol¬che Dateien nicht nur ein, sondern gleich mehrere bösartige Programme. Eines dieser Beispiele ist der Trojaner Trojan.MulDrop.19265. Nach seiner Ausführung installiert das Programm gleich drei bösartige Trojaner - Trojan.MulDrop.19266, Trojan.Siggen.252 und Trojan.Sentinel.based. Fast jede weitere Verbreitung dieser Trojaner ist einzigartig und keines der Schädlinge tritt in der gleichen Form ein zweites Mal wieder auf.

Doctor Web Top 20 der Virenbedohungen

Doctor Web Top 20 der Schaddateien auf PCs der Anwender