2. Januar 2010

Die IT-Sicherheitslage im Dezember 2009 zeichnet sich durch Entwicklungen vorangegangener Monate aus. Die Erpressungssoftware macht im Malware-Traffic den Löwenanteil aus. Dafür basteln die Übeltäter Trojaner-Software und zahlreiche Malware-Websites. In der Spam-Flut waren immer öfter Audio-Dateien niedriger Qualität anzutreffen.

Windows-Blockierer

Im Dezember sind viele neue Windows-Blockierer aufgetaucht, die der Sicherheitssoftware die Malware-Analyse schwer machen. Nach Dr.Web Klassifikation werden solche Programme als Trojan.Winlock eingestuft. In den letzten Monaten wurden mehrere Erpressungsfälle in Russland und der Ukraine registriert.

Diese Malware blockiert das Starten von Tools, durch die man sie analysieren kann und bewirkt schnelles Herunterfahren des Computers. Um die manuelle Entfernung komplizierter zu machen, erstellt der Trojaner in Windows-Systemverzeichnissen seine Kopien. Dabei stimmt der Name des gestarteten Prozesses mit dem Namen der ausführbaren Datei nicht überein.

Gefälschte Antivirensoftware geht online

In den letzten Monaten sind Malware-Websites nur so aus dem Boden geschossen. Inzwischen bieten diese Malware-Websites dem Anwender an, sein System auf Malware und Sicherheitslücken zu prüfen. Dabei kann auch die Konfiguration des Systems geändert werden, um es schneller zu machen.

Um die Aufmerksamkeit der Internetnutzer zu gewinnen, wird während der Prüfung die IP-Adresse, die Version des Betriebssystems und des Browsers angezeigt.

Um entdeckte Sicherheitslücken zu schließen, soll der Anwender eine SMS versenden. Dabei kostet jede SMS nicht wenig.

Alle angebotenen Software-Produkte erweisen sich als Attrappen, die nur zur reinen Gelderpressung dienen.

E-Mail-Trojaner

Spam-Mails bleiben immer noch eine der effektivsten Verbreitungsmethoden von Malware.

Im vergangenen Monat verbreiteten sich verschiedene Varianten von Trojan.PWS.Panda als Protokolle zu mit Visa-Karten durchgeführten Operationen und als neue Facebook-Passwörter.

Als bloßstellende Fotos wurden solche Trojaner wie Trojan.NtRootKit.3226 und Modifikationen von Trojan.Packed verbreitet. Im Namen des Paketdienstes DHL wurde Trojan.Botnetlog verbreitet.

Audio-Dateien in der Spam-Flut

Im Dezember wurden auf einmal mehrere Spam-Aktionen gestartet, die über Spam-Mails Audio-Dateien verbreiten sollten. Es waren MP3-Dateien (16 КBit/s).

Auf diese Weise wurde die Werbung für Online-Shops verbreitet. Audio-Dateien enthielten die Internetadresse des jeweiligen Online-Shops. Manchmal waren auch Dateien mit einer Größe von 6 MB verbreitet.

Trends für 2009-2010

Die Virenschreiber haben es im vergangenen Jahr auf das Geld der Internetanwender abgesehen. Das scheint eine kluge Taktik zu sein, weil viele Nutzer sehr oft auf Links von vermeintlichen Freunden und bekannten Unternehmen gehen und Software verschiedener Funktionalität nachladen. Die Geldforderungen waren nicht nur im Webbrowser, sondern auch auf dem Desktop und in einzelnen Fenstern zu sehen. Zur Virenverbreitung dienten E-Mails und Instant-Messaging-Systeme, soziale Netzwerke und Blogs.

2010 werden kriminelle Cyber-Banden weiter versuchen, neue Betriebssysteme und Webbrowser unter Kontrolle zu bekommen. Dabei soll nicht nur die klassische Signatursuche, sondern auch die Heuristik und Tools zur Verhaltensanalyse umgangen werden. Immer mehr neue und raffinierte Rootkit-Techniken werden auftauchen. Bereits 2010 kann ein Rootkit für die 64-Bit Windows-Plattform gebastelt werden. Die Zahl von Malware-Websites wird weiter zunehmen. Antifishing-Tools, die in einem modernen Webbrowser eingesetzt werden und Internetanwender vor Malware-Websites fernhalten sollen, versagen nicht selten.

Die Zahl von Malware-Programmen im E-Mail-Traffic ist im Vergleich zum November 2009 um das 2,8fache gestiegen. Der Anteil von Malware unter allen geprüften Dateien auf PCs der Benutzer erhöhte sich um das 2,2fache. Cyber-Kriminelle fordern für die Wiederherstellung des Systems immer mehr Geld.

Top 20 Malware im E-Mail-Traffic

Top 20 Malware auf PCs der Anwender