1. September 2008

Der IT-Sicherheitsexperte Doctor Web präsentiert einen neuen Bericht zur Virenaktivität für den August 2008.

Obwohl es im August keine aus Sicht der Virenanalysten neuen und interessanten Schadprogramme gab, war dieser Monat an der Virenfront auch reich an verschiedenen Ereignissen.

Der August war durch eine neue Modifikation von Trojan.Encoder und zwar Trojan.Encoder.19 gekennzeichnet. Über diesen Trojaner haben wir schon in unseren Nachrichten berichtet. Er verschlüsselt Anwenderdateien auf dem PC, entfernt sich und bietet anschlißend an, diese gegen Entgelt zu entschlüsseln. Die Sicherheitsspezialisten von Doctor Web haben auf diese Herausforderung operativ reagiert und Anwendern eine kostenfreie Utility für die Entschlüsselung zur Verfügung gestellt.

Die Art und Weise, auf die Viren in PCs der Anwender einbrechen, bleiben jedoch versandte E-Mails mit darin enthaltenen Links zu Schaddateien und Websites, in die Scripts eingebunden sind, die Schaddateien automatisch laden oder bestimmte Dateien für Anwender attraktiv machen und sie dann starten lassen. In der Regel sind es E-Mails mit Links zu erotischen Videos mit Celebrities oder die sogenannten Blitz-E-Mails, die eilende Nachrichten von bekannten Nachrichtenagenturen enthalten und Sie auffordern, sich ein Video zum vermeintlichen Ereignis anzusehen.

Fast alle solche Schadateien werden von Dr.Web Antivirus als neue Modifikationen Trojan.Fakealert , Trojan.DownLoad oder Trojan.Packed identifiziert. Sie stellen eine ausführbare Datei dar, die jedes Mal von einem neuen Packprogramm gepackt wurde (solche Packprogramme nennt man auch polymorphe Packer). Abhängig von der Absicht eines Virenschreibers laden solche Schaddateien andere Malware aus dem Internet und starten sie dann auf dem Anwnder-PC. Fast alle E-Mails werden vom Antispamprogramm Dr.Web, das in die Antivirenprodukte Dr.Web integriert ist, abgefangen.

Weiter handelt es sich um Viren, die durch Spammeldungen versendet werden. Diese müssen wir gesondert behandeln.

Über politische Ereignisse, die weltweit Schlagzeielen machen, wird auch in der virtuellen Presse belichtet. Im August haben die Virenschreiber die Ereignisse im Kaukasus anvisiert und diese für ihre Zwecke benutzt. Und zwar wurde der E-Mail-Versand mit dem Thema „Journalisten in Georgien getötet“ und dem angehängten Archiv Georgia.zip, dessen Inhalt von Dr.Web Antivirus als Trojan.Packed.151 eingestuft wurde, festgestellt.

Den Wunsch der Anwender, ihre auf dem PC gespeicherten Informationen zu sichern, wird von Bösewichtern für die Verbreitung der Trojanerprogrammen auch aktiv ausgenutzt. Und zwar wird der Anwender aufgefordert, das beste und kostenlose Antivirenprogramm oder eine Aktualisierung für das Betriebssystem herunterzuladen. Im Endergebinis stellen sie sich als Trojaner heraus. Man sollte hier auch den E-Mails mit dem Thema Antivirus XP 2008 anführen, der von Dr.Web Antivirus als Trojan.Fakealert.995 eingestuft wird.

In letzter Zeit nutzen die Virenschreiber den direkten Versand der angehängten Schaddeteien sehr selten. Nichtsdestoweniger wurden einige Versandaktionen mit angehängten Dateien, die Dr.Web als Trojan.Click.19861 einstuft, festgestellt. Beim Massenversand lag der Verkehersanteil solcher Schaddateien bei 90% vom ganzen schädlichen E-Mail-Verkehr.

Bemerkenswertes Virenprogramm

Nach Angaben des Virenlabors des IT-Sicherheitsunternehmens Doctor Web verbreitete sich aktiv Ende August eine neue Gestalt von Backdoor.Haxdoor und zwar BackDoor.Haxdoor.559. Diese neue Virenmodifikation stiehlt von PCs Zertifikate und Passwörter wie bei der Investitionsbank KITFinans, beim Zahlungssystem faktura.ru, das Online-Banking für 134 russische Banken anbietet, bei Lata-Bank in Novosibirsk.

Das Virus verbreitet sich durch ICQ in Form einer GIF-Datei, die aber in Wirklichkeit, eine verschlüsselte Script darstellt. Sobald der Anwender die schädliche GIF-Datei startet, lädt diese Script andere Komponenten des Schadprogramms.

Statistik zu Virenfunden und Detektion von Schaddateien im Mail-Strom:

01.08.2008 00:00 - 01.09.2008 00:00
1. Trojan.Click.19861 229735 (44.54%)
2. Trojan.Click.19769 68445 (13.27%)
3. Win32.HLLM.Beagle 37641 (7.30%)
4. Trojan.MulDrop.16727 19324 (3.75%)
5. Win32.HLLM.MyDoom.based 15435 (2.99%)
6. Trojan.MulDrop.18335 15234 (2.95%)
7. Win32.Virut 12030 (2.33%)
8. Trojan.MulDrop.18280 11368 (2.20%)
9. Win32.Alman 8601 (1.67%)
10. Trojan.MulDrop.13408 8401 (1.63%)
11. Win32.HLLM.Netsky.35328 7891 (1.53%)
12. Program.RemoteAdmin 7227 (1.40%)
13. Trojan.Proxy.3747 6314 (1.22%)
14. Win32.HLLM.Alaxala 3771 (0.73%)
15. Win32.HLLM.MyDoom.33808 3359 (0.65%)
16. Trojan.MulDrop.18290 3217 (0.62%)
17. Trojan.MulDrop.18402 3066 (0.59%)
18. Trojan.Starman.100 3014 (0.58%)
19. Trojan.MulDrop.17530 2735 (0.53%)
20. Trojan.DownLoad.3580 2523 (0.49%)

Statistik zu Virenfunden und Detektion von Schaddateien in den Arbeitsstationen:

01.08.2008 00:00 - 01.09.2008 00:00
1. Win32.HLLW.Gavir.ini 1225356 (21.80%)
2. Win32.HLLM.Generic.440 400789 (7.13%)
3. Win32.Alman 252514 (4.49%)
4. Trojan.MulDrop.6474 151756 (2.70%)
5. Win32.HLLW.Autoruner.437 149373 (2.66%)
6. Win32.HLLP.Whboy 140085 (2.49%)
7. BackDoor.IRC.Sdbot.55 134476 (2.39%)
8. VBS.Generic.548 124833 (2.22%)
9. Win32.HLLW.Autoruner.1874 118801 (2.11%)
10. Win32.HLLP.Jeefo.36352 110430 (1.96%)
11. Win32.HLLW.Krepper 105703 (1.88%)
12. Win32.HLLW.Whboy 103159 (1.83%)
13. BackDoor.Bulknet.233 99968 (1.78%)
14. Win32.HLLM.Lovgate.2 93992 (1.67%)
15. Win32.HLLP.Neshta 77261 (1.37%)
16. Win32.HLLW.Autoruner.2339 71152 (1.27%)
17. Win32.HLLM.Limar.2536 70664 (1.26%)
18. Trojan.Siggen.172 66007 (1.17%)
19. Win32.HLLW.Autoruner.1469 60004 (1.07%)
20. Trojan.Starter.217 54101 (0.96%)