Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Rückblick und Analyse der Virenbedrohungen im Monat Oktober

2. November 2009

Der vergangene Monat brachte keine Aufsehen erregenden Viren-Ereignisse. Es gibt aber ein paar interessante Fakten, die gesondert behandelt werden müssen. Cyber-Kriminelle haben Malware absichtlich als Antivirensoftware verbreitet. Der Oktober belegte auch, dass die elektronische Post und Malware-Websites hauptsächliche Verbreitungskanäle für Schadsoftware sind.

Falsche Antivirensoftware – Tabellenführer im Oktober

Ein Blick auf Top 20 der meist verbreiteten Malware im Oktober reicht aus, um festzustellen, dass Trojan.Fakealert die Liste dominiert. Das weist darauf hin, dass falsche Antivirensoftware die hauptsächliche Einnahmenquelle der Virenschreiber ist.

Innerhalb der ersten zwei Wochen wurden laut Angaben unseres Statistikservers mehr als 2,5 Mio. gefälschte Antivirenprogramme pro Tag detektiert. Zur Zeit liegt diese Zahl bei 1 Mio. Visuelle Effekte in den neuen Varianten von Trojan.Fakealert bleiben wie zuvor (siehe siehe Sicherheitsreport für den Monat September 2009).

Warum installieren Anwender solche Malware auf ihren PCs? Der Grund ist alles andere als kompliziert: sie fallen auf vielfältige Betrugsmaschen der Cyber-Kriminellen ein. Die meisten gefälschten Antivirenprogramme im Oktober wurden als gezippte Datei install.exe verbreitet. Diese Datei erwies sich als gefälschtes Update des jeweils benutzten E-Mail-Systems bzw. E-Mail-Clients Microsoft Outlook (die Update-Meldung stammte vom angeblichen Administrator des Mailservers). Solche Dateien wurden auch per E-Mail verbreitet, wo im gezippten Anhang auf die Verletzung der Urherberrechte durch diesen Anwender im Laufe der letzten 6 Monate hingewiesen wurde. Die Cyber-Kriminellen spielen Gerechtigkeitskämpfer nicht zum ersten Mal. Aber die Datei install.zip, die Trojan.Fakealert enthält, wird zum ersten Mal als Desinfektionstool gegen Conficker (Win32.HLLW.Shadow.based nach Dr.Web Klassifikation) positioniert.

Die Übeltäter haben auch eine hohe Beliebtheit der Weboberfläche von Outlook Web Access ausgenutzt. Die Anwender dieses Services sollten Trojan.Fakealert unter einem Link herunterladen, der zur gefälschten OWA-Oberfläche weiterleitete. Auf dieser Seite wurden vermeintliche Einstellungen für das E-Mail-Benutzerkonto angeboten.

Passwortdiebe wollen nicht zurückbleiben

Eine ernsthafte Bedrohung für Benutzerdaten stellen auch Passwortdiebe dar. Diese Malware klaut persönliche Daten für verschiedene Internet-Ressourcen, u.a. für elektronische Geldkonten, soziale Netzwerke usw.

Einer der typischen Vertreter dieser Malware-Klasse bleibt Trojan.PWS.Panda.122. Dieser Trojaner ist auf das Entwenden von Passwörtern für verschiedene Dienste und Services spezialisiert.

Die Phantasie der Autoren von Trojan.PWS.Panda.122 Varianten kennt keine Grenzen. Die Malware wird nicht nur per E-Mail, sondern auch per Updates für Microsoft Outlook verbreitet. Dabei werden E-Mails und Malware-Websites nach dem Muster von Trojan.PWS.Panda gestaltet (siehe Sicherheitsreport für den Monat Juni 2009).

Die Übeltäter versendeten im Namen des US-Steuerdienstes IRS (Internal Revenue Service) Links zu Malware-Websites. In einigen Fällen wurden Malware-Websites vom Yahoo! Geocities gehostet. Man forderte Steuerzahler auf, sich mit ihrer Steuerbilanz auf der IRS-Website vertraut zu machen. So luden die Anwender Malware selbständig herunter.

In der letzten Oktoberwoche wurde Trojan.PWS.Panda.122 versendet. Der angebliche Absender war der Einlagensicherungsfonds der Vereinigten Staaten (Federal Deposit Insurance Corporation, FDIC). Anwender wurden benachrichtigt, dass die Bank, wo sie ihr Geld liegen hatten, bankrott sei. Man sollte deshalb auf der FDIC- Website Informationen über die Entschädigung erhalten. In der Tat luden die Anwender so genannte Passwortdiebe.

Neben Trojan.PWS.Panda.122 wurden auch weitere Schadprogramme verbreitet, die Passwörter klauen. In den beliebten Instant-Messaging-Systemen wurden Links zu Trojan.PWS.LDPinch versendet. Der Trojaner tarnte sich als Videospot.

Wie füllen Sie die Empfängeradresse aus?

Im Laufe der letzten Monate feilten die Übeltäter an Varianten zweier Malware-Typen: Trojan.Botnetlog.11 und Trojan.BhoSpy.97. Im Namen von DHL und UPS teilte man z.B. mit, dass ein Paket wegen einer falsch angegebenen Anschrift nicht zugestellt werden kann.

Trojan.Botnetlog.11 ist dadurch bekannt, dass er Sicherheitslücken des Systems ausnutzen kann. Nach der Installation und dem Starten des Trojaners auf dem System stellt er die Verbindung zum Server des Übeltäters her, um Befehle und zusätzliche Komponenten der Schaddatei zu erhalten. Der ausführbare Code von Trojan.Botnetlog.11 ist durch einen speziellen Algorithmus verschlüsselt.

Trojan.BhoSpy.97 wird auf dem System als Plug-in für den Web-Browser Microsoft Internet Explorer installiert. Dieser Trojaner kann nicht nur Dateien laden, sondern auch Systemdateien nach Befehl löschen.

In den letzten Tagen des Monats machte sich Trojan.Botnetlog.11 bemerkbar. Der vermeintliche Versender war das weltweit beliebte soziale Netzwerk Facebook. Facebook-Nutzer sollten ihre Benutzerkonten aktualisieren. Der Link leitete die Nutzer auf eine gefälschte Website, wo Malware als Update-Tool geladen wurde.

Können Windows-Blockierer gut sein?

In diesem Monat wurde Malware weiter verbreitet, die das System verschlüsselt und für die Entschlüsselung Geld fordert. Solche Schadprogramme werden nach Dr.Web Klassifikation als Trojan.Winlock eingestuft. Früher wurde wegen dieses Trojaners der ganze Bildschirm blockiert. Nun wird nur ein Teil des Bildschirms blockiert. Der Anwender kann auf dem sichtbaren Bildschirm Programme starten und weiter arbeiten.

Die zu Schaden gekommenen Anwender können die meist kritischen Aktionen vornehmen, Dateien des Trojaners erkennen und diese beim Virenlabor zur Analyse einreichen.

Bemerkenswerte Spam-Mails im Oktober

Im vergangenen Monat wurden einige komische Spam-Mails versendet. Beim ersten Spam-Versand handelte es sich um Trojan.PWS.Panda.122, der als gezippte Datei angehängt war. Solche Mails wurden fehlerfrei zugestellt. Trojan.Packed.683 wurde als verschlüsseltes Archiv versendet.

Betrug ohne Malware

In letzter Zeit versuchen die Übeltäter Anwender mit speziellen Tricks um ihr Geld zu bringen. Die Folgen für Anwender sind unüberschaubar. Unter die Lupe gerieten folgende Tricks.

Im ersten Fall waren es Websites, die Anwendern Informationen über SMS-Nachrichten, ein- und ausgehende Anrufe usw. eines beliebigen Mobilfunkteilnehmers angeblich zur Verfügung stellen. Um solche Informationen zu erhalten, sollte man auf der Website seine Telefonnummer übermitteln. Nachdem der Anwender sein Geld überwiesen hatte, ging er leer aus.

Im zweiten Fall versuchen die Cyber-Kriminellen das Interesse der Anwender für so genannte Musikdrogen anzuregen. Sie versprachen dabei einen Drogeneffekt, der bei Anwendern beim Anhören verschiedener Musikdateien eintreten sollte. Man sollte aber zuerst zahlen. Im Endeffekt erhielt der Anwender keine Dateien und spürte keinen Effekt von der angehörte Musik.

Zur Werbung von Drogen-Websites werden sowohl legale (z.B. AdWords) als auch illegale Methoden eingesetzt. In den letzten Jahren wird für solche Web-Inhalte viel Werbung von eingebrochenen Benutzerkonten sozialer Netzwerke gemacht.

Der vergangene Monat hat den Trend letzter Monate nochmals belegt. Zu hauptsächlichen Verbreitungskanälen von Malware auf PCs der Anwender zählen die elektronische Post, Malware-Websites, Instant-Messaging-Systeme und soziale Netzwerke. Die Cyber-Kriminellen stellen ihre Versuche weiter an. Sie kombinieren Betrugsmaschen und setzen dabei auf einfältige und unaufmerksame Opfer. Um solchen Betrugstechniken effizienten Widerstand leisten zu können, müssen Anwender über eine Antivirensoftware verfügen. Dabei soll die automatische Aktualisierung der Schutzkomponenten und Virendatenbanken aktiviert werden. Die Rolle einer Antispam-Кomponente nimmt wegen großer Menge an gefährlichen E-Mails ständig zu. Die Anwender sollten auch einfache Sicherheitsregeln im Netz nicht ignorieren und in Zweifelsfällen sich von Sicherheitsspezialisten beraten lassen.

Top 20 der meist verbreiteten Malware im E-Mail-Verkehr

 01.10.2009 00:00 - 01.11.2009 00:00 
1Trojan.DownLoad.4725610750198 (21.85%)
2Trojan.Fakealert.51157452584 (15.15%)
3Trojan.Fakealert.52385346181 (10.87%)
4Trojan.Packed.29152474234 (5.03%)
5Win32.HLLM.Netsky.353282248095 (4.57%)
6Trojan.DownLoad.372362078358 (4.22%)
7Trojan.Fakealert.52291961846 (3.99%)
8Trojan.Fakealert.53561821482 (3.70%)
9Trojan.DownLoad.502461724409 (3.51%)
10Trojan.Fakealert.54371570923 (3.19%)
11Trojan.Packed.6831347946 (2.74%)
12Trojan.Fakealert.58251164324 (2.37%)
13Win32.HLLM.MyDoom.338081137315 (2.31%)
14Win32.HLLM.Beagle1109455 (2.26%)
15Trojan.DownLoad.5637895101 (1.82%)
16Trojan.Fakealert.5457868063 (1.76%)
17Trojan.Fakealert.5784650010 (1.32%)
18Win32.HLLM.Netsky.based593596 (1.21%)
19Trojan.Fakealert.5311593453 (1.21%)
20W97M.Godzilla499719 (1.02%)

Insgesamt geprüft:80,506,872,758
Infiziert:49,195,078 (0.06%)

Top 20 der meist verbreiteten Malware auf PCs der Anwender

 01.10.2009 00:00 - 01.11.2009 00:00 
1Trojan.DownLoad.472566767108 (17.74%)
2Trojan.Fakealert.52385646226 (14.80%)
3Trojan.Fakealert.51155035344 (13.20%)
4Trojan.Fakealert.52292455376 (6.44%)
5VBS.Sifil1169118 (3.07%)
6Win32.HLLM.Netsky.35328709710 (1.86%)
7Win32.HLLW.Shadow.based680072 (1.78%)
8Win32.HLLM.Beagle673072 (1.76%)
9JS.Nimda657868 (1.72%)
10BackDoor.IRC.Sdbot.5190608800 (1.60%)
11Trojan.DownLoad.5637590821 (1.55%)
12Win32.HLLW.Gavir.ini579411 (1.52%)
13Trojan.MulDrop.16727562342 (1.47%)
14Win32.HLLM.Netsky.based550754 (1.44%)
15Win32.Alman.1542423 (1.42%)
16Win32.HLLM.MyDoom.49416950 (1.09%)
17Win32.Sector.17370738 (0.97%)
18Win32.Virut.14345415 (0.91%)
19W97M.Thus339490 (0.89%)
20Trojan.Recycle328507 (0.86%)

Insgesamt geprüft:208,184,957,146
Infiziert:38,139,894 (0.02%)

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt