1. Juni 2009

Im vorigen Monat haben sich die Erpresser-Programme weiter verbreitet. Dabei wurde an Social- Engineering-Methoden weiter gefeilt. Die Cyber-Kriminellen greifen immer wieder zu neuen Instrumenten, die ihnen das Handwerk erleichtern. Der Kampf gegen neue Rootkits geht weiter. In der Spam-Flut erhöht sich die Zahl von Werbe-Mails, in denen Spammer ihre Service anbieten. Die Täter nutzen auch neue Methoden, um Spam-Filter zu umgehen.

Erpresser-Programme

In den letzten Jahren wurde bösartige Software vollkommen auf kommerzieller Basis produziert. So hat sich eine neue Art von Virenbedrohungen herauskristallisiert: Erpresser-Programme.

Die Verbreitung gleichartiger Schadsoftware begann 2005. Seit dieser Zeit machen sich auch Trojaner breit, die mit Hilfe von verschiedenen Algoritmen Benutzerdateien verschlüsseln und für die Entschlüsselung Lösegeld fordern. Später wurde in den eingebundenen Nachrichten über die Höhe des Lösegeldes und Zahlungsart mitgeteilt. Von Dr.Web werden diese böswilligen Programme als Trojan.PGPCoder und Trojan.Encoder mit zahlreichen Modifikationen eingestuft. Für die Entschlüsselung der Dateien werden von unseren Spezialisten entsprechende Utilities entwickelt, die man kostenlos auf der Webseite von Doctor Web herunterladen kann.

Obwohl Trojaner, die den Zugriff auf Windows blockieren, ihre Verbreitung erst im laufenden Jahr fanden, konnten bereits 2005 einige gleichartige Schadprogramme (Trojan.Winlock) festgesellt werden. So hat eine der ersten Modifikationen von Trojan.Winlock ihr Lösegeld via Jandex.Dengi gefordert.

Die Übeltäter greifen auch verstärkt zu kostenpflichtigen SMS, die die anvisierten Opfer aus verschiedenen Ländern der Welt versenden sollen.

Seit Anfang 2008 sind zahlreiche Varianten von Pornobannern (Trojan.Blackmailer) entstanden. Um diese zu entfernen, sollte man eine SMS absenden. Die meisten solchen Trojaner werden für Internet Explorer geschrieben. In letzter Zeit sind auch Varianten für Mozilla Firefox und Opera entstanden.

Die Erpresser-Methode per SMS kam auch in neuen Modifikationen von Trojan.Winlock zum Einsatz. Um Windows zu entschlüsseln, hat Doctor Web auf seiner Unternehmenswebseite einen speziellen Generator online gestellt. Um verschiedene Varianten von Trojan.Winlock detektieren zu können, haben die Virenanalysten spezielle Signaturen Trojan.Winlock.origin erstellt, die es ermöglichen, solche Modifikationen von Schadsoftware zu detektieren, die noch nicht ins Virenlabor gelangt sind.

Die Modifikationen von Trojan.Winlock verschrecken in letzter Zeit mit noch agressiverem Design. Viele warnen auch, dass Ihre Daten bei der Reinstallation des Systems verloren gehen.

Es sind auch Schadprogramme aufgetaucht, die Trojan.Winlock nachahmen. Oft muss man das im Schadcode des Trojaners vorgegebene Passwort eingeben, um das System zu entschlüsseln. Manchmal ist die Funktion der Entschlüsselung überhaupt nicht vorhanden. Sie können auch aufgefordert werden, eine SMS zu veschicken, ohne dass Ihr System dadurch entschlüsselt wird.

Vor kurzem haben die Virenschreiber einen Baukasten für Trojaner online gestellt, die Windows blockieren sollen. Nun muss man für eine neue Modifikation von Trojan.Winlock nur einen bestimmten Text vorgeben.

Scanner mit der grafischen Benutzeroberfläche

Im Mai 2009 hat Doctor Web einige Versionen des Dr.Web GUI-Scanners für Windows veröffentlicht. Diese schnelle Aktion war gegen eine neue Modifikation von BackDoor.Maosboot und Trojan.AuxSpy ausgerichtet.

Trojan.AuxSpy blockt das Starten sowie die Funktionsweise einiger Utilities, die den Schädling neutralisieren sollen (z.B. Registry-Editor). Er schreibt sich in einen bestimmten Bereich des System-Registry ein und kann sich aus dem Hauptspeicher wiederherstellen.

Solche böswillige Software lässt darauf zurückführen, dass der Anwender nicht nur die Virendatenbanken, sondern auch sämtliche Komponenten des Antivirus-Programms aktualisieren muss.

Schwachstelle im Webbrowser Safari

Mitte Mai ist eine Schwachstelle im Webbrowser Apple Safari 3.2.3 und zwar in einer seiner Bibliotheken in der libxml-Komponente bekannt geworden. Die Anfälligkeit lässt beim Aufrufen der durch die Täter angefertigten Webseite einen beliebigen Code ausführen. Detailierte Informationen finden Sie im Sicherheitsmerkblatt von Apple vom 12.05.2009. Dabei ist es interessant, dass sich diese Schwachstelle unabhängig von der benutzten Plattform (sowohl Mac OS X als auch MS Windows) zeigt. Darüber hinaus können sich die Cyber-Kriminellen diese Schwachstelle zunutze machen, um den Schadcode im System zu installieren.

In letzter Zeit verzeichnet Doctor Web einen sprunghaften Anstieg der böswilligen Aktivitäten gegen Mac OS X.

Spam

Im Mai 2009 blieb die Zahl der Spam-Mails auf dem Vormonatsniveau. Man kann aber einen Anstieg von Spam-Mails, die für Spammer Neukunden gewinnen sollen, hervorheben. Unter den angepriesenen Argumenten werden folgende aufgezählt: Spam-Werbung bringt auf jeden Fall ein Ergebnis, diese Werbemethode ist rechtlich erlaubt, zahlreiche Großuntenehmen benutzen solche Werbetaktik. Solche Erklärungen haben aber wenig mit der Wirklichkeit zu tun.

Allmählich wächst die Zahl von Mails zu, die Ihnen schnell zu großem Geld per Internet verhelfen sollen. Viele Internet-Anwender hegen Zweifel an solchen Schneeballsystemen, nur der Anstieg gleicher Mails belegt die frühere Bilanz von Doctor Web.

Trotz geringer Effizienz werden klassische Phishing-Mails weiter versendet. Zum Opfer der Übeltäter fallen Kunden neuer Online-Bankingsysteme. Die im Mai versendeten Mails zielten z.B. auf Anwender von Comerica Business Connect der Comerica Bank (USA) ab.

Top 20 Malware im E-Mail-Verkehr

Top 20 Malware auf Anwender-PCs