Der russische Sicherheitsspezialist Doctor Web präsentiert seinen Sicherheitsreport für das Jahr 2009. Cyber-Kriminelle haben es in diesem Jahr auf das Geld der Internetnutzer abgesehen. Dafür nutzten sie das Vertrauen gutgläubiger Anwender aus und ließen sie auf Links von vermeintlichen Freunden klicken und böswillige Software herunterladen. Geldforderungen waren sowohl in Internetbrowsern als auch auf dem Desktop zu beobachten. Zur Verbreitung von Malware wurden klassische Methoden wie E-Mail, Instant-Messaging-Programme, soziale Netzwerke und Blogs verwendet. Nachfolgend möchten wir auf bemerkenswerte Virenereignisse und sich abzeichnende Trends eingehen.

Rootkits

Eine harte Nuss für Dr.Web Sicherheitsspezialisten haben 2009 die Autoren von Rootkits geliefert. Diese Malware-Spezies maskiert sich im System und ermöglicht es anderen Schadprogrammen, Viren & Co. von Malware-Websites nachzuladen. Nicht selten sind jeweilige Virenkennungen in der Virendefinitionsdatei bereits eingetragen. Das Antivirenprogramm kann aber den Schädling nicht ausfindig machen.

Vertreter der BackDoor.Tdss-Familie machten sich am meisten bemerkbar. Die Doctor Web Spezialisten haben in diesem Jahr mehrere frische Updates und Erweiterungen für den GUI-Scanner veröffentlicht. Dabei wurde auch das Antirootkit-Modul Dr.Web Shield aktualisiert, das neue Rootkit-Techniken effizienter neutralisieren soll.

Im März dieses Jahres haben wir bereits von der nächsten Modifikation des BackDoor.Tdss berichtet. Der Schädling stört den Datei-Wächter und umgeht Antirootkit-Module. Damals war BackDoor.Tdss relativ wenig verbreitet.

Im November 2009 haben sich aber die Varianten von BackDoor.Tdss breit gemacht. Laut Aufzeichnungen des Statistikservers von Doctor Web wurde der Schädling ca. 400 000 Mal detektiert. Bisher lag die monatliche Entdeckungsrate bei etwa 1 000 Exemplaren.

Dabei ist es besonders interessant, dass neue Modifikationen von BackDoor.Tdss mit jeweiligen Tarnungstechniken ausgerüstet werden, die es ermöglichen, virtuelle Values und Tools zur Verhaltensanalyse zu umgehen. Die Sicherheitsspezialisten von Doctor Web haben aber die Aufgabe bei der Neutralisierung des BackDoor.Tdss erfolgreich gemeistert. Alle Lösungen auf Basis der Dr.Web Software sind jetzt in der Lage, den Schädling zu detektieren und fehlerfrei zu beseitigen.

Gefälschte Antivirensoftware

In den letzten Monaten des zu Ende gehenden Jahres hat sich die gefälschte Antivirensoftware, die nach Dr.Web Klassifikation Trojan.Fakealert heißt, aktiv verbreitet. Solche Programme sehen authentischer Antivirensoftware ähnlich aus, sind aber keine Antivirensoftware als solche. Das Ziel der Cyber-Kriminellen ist es, Internetanwender auf eine Malware-Website zu locken, wo sie angeblich eine Vollversion der Antivirensoftware erwerben sollen.

Gefälschte Antivirensoftware wird im Anhang von Spam-Mails bzw. über Malware-Websites verbreitet. So werden häufig Downloader verbreitet, die beim Ausführen weitere Malware-Komponenten nachladen. Der Betrüger zeigt den Scanfortschritt an und versucht den Benutzern vorzugaukeln, dass Viren detektiert werden.

Nachdem der Benutzer eine vermeintliche Vollversion bezahlt hat, können in sein System weitere Malware-Objekte nachgeladen werden.

In den drei Herbstmonaten 2009 wurden Dutzende Millionen Exemplare detektiert. Bisher war die Detektionsrate 40 Mal niedriger.

Windows-Blockierer

Viel Kopfschmerzen brachten den Benutzern auch Windows-Blockierer, die nach Dr.Web Klassifikation Trojan.Winlock heißen. Beim Laden von Windows zeigt der Schädling eine Meldung an, dass der Zugriff auf das System gesperrt ist. Um das System zu entsperren, soll der Benutzer eine kostenpflichtige SMS versenden. Als Grund für die Systemblockierung konnte er auch angeben, dass das Betriebssystem oder andere Software nicht lizenziert ist.

Vor einigen Jahren waren Vertreter der Trojan.Winlock-Familie relativ harmlos. Im Unterschied zu modernen Exemplaren konnten sich ihre Vorgänger innerhalb weniger Stunden nach der Installation deinstallieren, wenn der Benutzer keine weiteren Aktionen vornahm und Windows im sicheren Modus startete. Die SMS-Gebühr war gering.

Die letzten Modifikationen von Trojan.Winlock sind aggressiver geworden. SMS-Nachrichten sind jetzt teurer. Einige Varianten können das angegriffene System überhaupt nicht entsperren und werden nicht entfernt. Trojan.Winlock kann jetzt auch Widerstand leisten und lässt das System nach dem Starten nicht herunterfahren.

Bei einer Infizierung durch Trojan.Winlock müssen Sie auf keinen Fall den Cyber-Kriminellen Ihr Geld übergeben. Am besten kontaktieren Sie den Technischen Support von Doctor Web oder besuchen Sie unser Forum.

Browser-Banner

Malware, die als Erweiterung für den verwendeten Webbrowser installiert wird, macht eine weitere Variante der Erpresser-Trojaner aus. Während der Installation der Malware erscheint ein Fenster, das mehr als die Hälfte des Browserfensters abdeckt. Um ein solches Fenster loszuwerden, soll man eine kostenpflichtige SMS versenden.

Nach Dr.Web Klassifikation werden solche böswillige Programme als eine neue Variante von Trojan.Blackmailer oder Trojan.BrowseBan eingestuft. Trojan.Blackmailer wird in der Regel nur in Internet Explorer installiert. Und Trojan.BrowseBan wird außer Internet Explorer auch in Mozilla Firefox und Opera installiert. Dafür erstellen die Übeltäter ein Skript, das den jeweiligen Webbrowser erkennt und das Nachladen von Schadsoftware ermöglicht.

Im März 2009 ist die Verbreitung von Malware solcher Spielart auf PCs der Benutzer kräftig angesprungen. Damals wurde Trojan.Blackmailer 3 Mio. Mal detektiert. Im Durchschnitt lag die monatliche Entdeckungsrate in diesem Jahr bei 5 000 bis 10 000.

Verschlüsselungsmalware

Das nächste Problem, mit dem Anwender in diesem Jahr konfrontiert wurden, ist die Verschlüsselungsmalware, die laut Dr.Web Klassifikation Trojan.Encoder heißt. Der Trojaner schleust sich in das Zielsystem ein und verschlüsselt Benutzer-Dateien. System-Dateien bleiben aber unberührt. Anschließend erscheint auf dem Desktop eine Meldung, dass jeweilige Benutzer-Dateien verschlüsselt sind und man für die Entschlüsselung von Dateien aufkommen soll.

Dabei stellte Doctor Web fest, dass Trojan.Encoder Autoren nicht selten die Firmensymbolik von Doctor Web ausnutzen. Zudem gab es Spam-Mails im Namen der Doctor Web Mitarbeiter. Einige Varianten von Trojan.Encoder verwendeten eine drweb-Erweiterung, um Dateien zu verschlüsseln. Solches Verhalten des Trojan.Encoder Autors ist allem Anschein nach darauf zurückzuführen, dass Doctor Web Spezialisten eine effiziente Hilfestellung gegen den Schädling bieten. Hierbei erklären wir, dass unser Unternehmen kein Verhältnis zu solchen Spam-Aktionen hat.

Trotz geringer Verbreitung der Malware kann sie dem Benutzer beim Eindringen ins System spürbaren Schaden zufügen. Verschlüsselte Dateien haben oft einen hohen Stellenwert für Benutzer. Die wegen Trojan.Encoder zu Schaden gekommenen Anwender können das Virenlabor von Doctor Web kontaktieren. Die Spezialisten von Doctor Web helfen Ihnen dabei, verschlüsselte Dateien zu entschlüsseln. Und das absolut kostenlos.

Netz-Würmer

2009 erinnerten Netz-Würmer viele Administratoren lokaler Netzwerke an einfachste Sicherheitsregeln, an sie sich halten sollen. Win32.HLLW.Shadow.based gehört in dieser Hinsicht zu einem der markantesten Schadprogramme.

Der Schädling verbreitet sich über Wechseldatenträger und Logical Values. Aus Sicherheitsgründen soll die Autorun-Funktion deaktiviert werden. Der Wurm kann sich auch über das Windows SMB-Protokoll verbreiten und versucht dann auf Grundlage eines Wörterbuchs und der häufigsten Passwörter, einen Fernzugriff auf den Zielrechner zu erhalten. Gelingt es ihm, das Passwort zu knacken, kopiert sich der Schädling in das System-Verzeichnis und erstellt dort eine Applikation, die zu einem bestimmten Zeitpunkt ausgeführt werden soll. Darüber hinaus kann der Wurm Sicherheitslücken von Microsoft ausnutzen. Empfehlenswert ist deshalb die automatische Installation von Windows-Updates.

Der Grafik ist zu entnehmen, dass sich Win32.HLLW.Shadow.based auch jetzt weiter verbreitet.

Vielfalt an Programmumgebungen

Wir haben Sie bereits daran erinnert, dass einige Malware-Objekte das Betriebssystem, den Browser und sogar Versionen der beliebten Software identifizieren können, um das System effizienter zu infizieren. Damit es funktioniert, versuchen die Virenschreiber, böswillige Programme zu schaffen, die unter den meisten Betriebssystemen laufen können.

Wenn wir uns die Sicherheitsstatistik für verschiedene Plattformen im Jahre 2009 ansehen, ergibt sich folgende Schlussfolgerung. Das Interesse für alternative Plattformen wächst ständig. Bei Mac OS, Linux und Windows CE ist dieser Trend nicht besonders ausgeprägt, obwohl sie manchmal auch Schlagzeilen machen. Das besondere Augenmerk gilt Java (diese mobile Plattform wird von den meisten mobilen Endgeräten unterstützt) und Symbian, obwohl die Detektion von Viren & Co. unter diesen Plattformen zur Zeit einen geringen Anteil ausmacht.

Die Sicherheitsanalysten von Doctor Web verfolgen diese Trends und erarbeiten entsprechende Lösungen. Zur Zeit läuft z.B. der Beta-Test von Dr.Web Antivirus für Symbian OS. Das neue Antivirenprogramm wird in Kürze für alle Benutzer der Smartphones, die unter diesem Betriebssystem laufen, verfügbar sein.

Trends für 2010

Im Jahre 2010 werden Übeltäter konsequent versuchen, weitere Betriebssysteme und Webbrowser in Griff zu bekommen. Wir nehmen an, dass die Zahl von Malware-Websites mit Schadcode, der auch die Programmumgebung identifizieren kann, zunehmen wird. Der Markt für Betriebssysteme kommt in Bewegung. Es erscheinen immer mehr neue Betriebssysteme, mobile Endgeräte usw. Immer mehr Nutzer interessieren sich für Freeware sowie alternative Software. Die Virenschreiber werden auf sich nicht lange warten lassen und versuchen, ein Stück von diesem Kuchen zu bekommen.

Es ist auch zu erwarten, dass die Virenschreiber immer mehr die signaturbasierte und heuristische Technologien umgehen und verschiedene Analyse-Tools vortäuschen werden. Einige krasse Beispiele können wir schon heute feststellen.

Neue Rootkit-Techniken werden allem Anschein nach weiter entwickelt werden. Der Kampf gegen Rootkits wird kaum an Intensivität verlieren. Wie schnell man ein Rootkit für die 64-Bit-Plattform Windows bastelt, ist eine Frage der Zeit. Der intensivere Einsatz von polymorphren Viren ist höchstwahrscheinlich.

Malware-Websites werden sich weiter vermehren. Antifishing-Technologien in einem modernen Webbrowser, die den Benutzer vor gefährlichen Inhalten fernhalten sollen, versagen nicht selten. Die Übeltäter schaffen zu viele Kopien der Website und Antifishing-Systeme können auf alle böswilligen Web-Inhalte nicht sofort reagieren.

Zum Schluss finden Sie hier einige Empfehlungen, mit denen Sie das Risiko einer Infizierung wesentlich verringern können. Dafür soll aber Ihr Virenschutz mehrere Stufen haben.

Zunächst soll die automatische Aktualisierung des Betriebssystems und anderer Software eingestellt werden. Dadurch können Sie bekannte Sicherheitslücken der Software kontinuierlich schließen. Dabei sollte auch die automatische Aktualisierung Ihres Antivirenprogramms aktiviert werden, um die Infizierung durch neue Viren & Co. zu vermeiden. Anschließend soll Ihr Benutzerkonto, unter dem alle Internetaktivitäten eingeleitet werden, in den Rechten auf die Verwaltung der Systemeinstellungen eingeschränkt werden. Es ist auch empfehlenswert, das automatische Starten der Programme von Wechseldatenträgern zu deaktivieren.

Geschäftskunden empfehlen wir den Einsatz von Unternehmenslösungen. Dabei sollte man sich an die festgelegten sicherheitspolitischen Vorgaben halten und Mitarbeitern einfachste Sicherheitsregeln beibringen. Doctor Web bietet hierfür eine Reihe von aufschlussreichen Studiengängen unter Einsatz von Dr.Web Antivirensoftware an.

Wir möchten Sie daran erinnern, dass Sie bei einem Malware-Verdacht den technischen Support von Doctor Web jederzeit kontaktieren können.

Top 20 Malware im E-Mail-Traffic

Top 20 Malware auf PCs der Anwender