Rückblick und Analyse der Virenbedrohungen im Februar 2010
Der vergangene Monat war ziemlich reich an Viren-Ereignissen. Für großes Aufsehen sorgte vor allem gefälschte Antivirensoftware, die nicht nur online, sondern auch auf eine klassische Weise verbreitet wurde. Cyber-Kriminelle greifen zu neuen Erpressungsmethoden und verwenden dabei mobile Endgeräte. Das Ausmaß der Epidemie, die durch Windows-Blockierer hervorgerufen wurde, ließ nach und ist erfreulicherweise auf das Niveau des Novembers 2009 gesunken.
Windows-Blockierer
Dank einer erfolgreichen Zusammenarbeit zwischen Doctor Web, dem Kriminalamt und Mobilfunkbetreibern sowie einer umfassenden Beleuchtung von Problemen wegen Windows-Blockierer (Trojan.Winlock nach Dr.Web Klassifikation) ist die Zahl der Opfer wesentlich gesunken und bleibt jetzt auf dem Anfangsniveau. Nach Angaben des Statistikservers von Doctor Web wurde Trojan.Winlock über 100 000 Mal detektiert. Im Februar lag diese Zahl bei nur mehreren tausend Detektionen pro Tag.
Obwohl das Ausmaß der Trojan.Winlock-Epidemie nachließ, macht der Schädling noch tausenden Internetanwendern Kopfschmerzen.
In der zweiten Hälfte des Monats wurden Webbrowser angegriffen. So konnte man beim Besuchen einer Malware-Seite auf ein Dialogfenster treffen, das sich auf die gewohnte Weise nicht schließen ließ. Um das Fenster zu schließen, sollte man einen Aktivierungscode eingeben. Um den Code zu bekommen, sollte man eine kostenpflichtige SMS verschicken. Obwohl das Problem leicht behoben werden kann, (man muss im Task-Manager nur einen Prozess abbrechen, der zum Webbrowser gehört, und den Computer neu starten), wächst die Zahl der Opfer permanent. Im Visier der Übeltäter sind nicht nur Windows-, sondern auch Mac-Anwender.
Gefälschte Antivirensoftware
Im Februar setzten die Betrüger immer mehr auf neue Erpressungstechniken durch Malware-Websites, die sogenannte Online-Antivirensoftware anboten. Links zu solchen Websites wurden per E-Mail, über gehackte ICQ-Benutzerkonten, Kontextwerbung beliebter Suchmaschinen und soziale Netzwerke verbreitet (solche Malware-Websites werden durch Dr.Web Elterliche Kontrolle blockiert).
 |
 |
Neben gefälschter Online-Antivirensoftware bietet man Internetanwendern den klassischen Trojan.Fakealert. Dem Anwender wird suggeriert, dass gefälschte Sicherheitssoftware heruntergeladen und installiert werden soll. Nach einer angeblichen Prüfung wird man danach aufgefordert, eine kostenpflichtige SMS zu versenden.
 |
 |
Wegen Trojan.Fakealert sind vor allem Internetanwender aus englischsprachigen Ländern zu Schaden gekommen. Trojan.Fakealert forderte sie auf, die angebliche Antivirensoftware per Bankkarte zu bezahlen. Eine solche Attrappe kostete sie im besten Fall 50 US-Dollar.
Zahlungsaufforderungen können sowohl im Internetbrowser als auch auf der Oberfläche der Antivirensoftware erscheinen. Wenn man auf die Verbreitungsstatistik von Trojan.Fakealert in den letzten 6 Monaten zurückblickt, kann man eine steigende Tendenz feststellen. Der Statistikserver von Doctor Web protokolliert täglich eine große Zahl von Detektionen solcher Antivirensoftware. Wenn man sich die Top 20 Malware ansieht, kann man dort noch 8 Varianten von Trojan.Fakealert finden.
 |
 |
Neue Betrugstechniken
Seit kurzem greifen die Cyber-Kriminellen zu neuen Täuschungsmanövern, um das Opfer zur Kasse zu bitten. Der Trick besteht darin, dass der Kunde zunächst seine Mobiltelefonnummer zusenden soll, um einen bestimmten Service zu abonnieren. Danach bekommt er die Antwort-SMS mit einem Aktivierungscode. Gibt man diesen Code ein, wird ein neuer Service automatisch abonniert. Dabei wird vom Kundenkonto täglich ein jeweiliges Guthaben abgebucht. Da eine relativ kleine Summe abgebucht wird, kann der Anwender das Problem nicht sofort identifizieren. Ein solcher Service lässt sich auch nicht einfach kündigen. Dafür soll man nicht selten eine kostenpflichtige SMS versenden.
 |
 |
Der Anteil von Malware im E-Mail-Traffic hat sich gegenüber dem Vormonatsniveau vervierfacht. Das ist auf eine massive Verbreitung gefälschter Antivirensoftware per E-Mail zurückzuführen. Der Anteil von geprüften böswilligen Dateien auf PCs der Anwender ist um 24 % gestiegen und bleibt auf dem Niveau des Dezembers 2009.
Top 20 Malware im E-Mail-Traffic
| 01.02.2010 00:00 - 01.03.2010 00:00 | ||
| 1 | Trojan.DownLoad.37236 | 13268129 (12.99%) |
| 2 | Trojan.DownLoad.47256 | 9134010 (10.07%) |
| 3 | Trojan.DownLoad.41551 | 8884635 (9.80%) |
| 4 | Trojan.MulDrop.40896 | 6453617 (7.12%) |
| 5 | Trojan.Fakealert.5115 | 6387160 (7.04%) |
| 6 | Trojan.Botnetlog.zip | 5901875 (6.51%) |
| 7 | Trojan.Packed.683 | 5227906 (5.76%) |
| 8 | Trojan.Fakealert.5238 | 4784832 (5.28%) |
| 9 | Trojan.DownLoad.50246 | 3684616 (4.06%) |
| 10 | Trojan.Fakealert.5825 | 3130816 (3.45%) |
| 11 | Trojan.Fakealert.5437 | 2289040 (2.52%) |
| 12 | Trojan.Fakealert.5356 | 2074904 (2.29%) |
| 13 | Trojan.Fakealert.5784 | 1794312 (1.98%) |
| 14 | Trojan.PWS.Panda.122 | 1683685 (1.86%) |
| 15 | Trojan.Fakealert.5229 | 1668784 (1.84%) |
| 16 | Trojan.Fakealert.5457 | 1462032 (1.61%) |
| 17 | Trojan.Siggen.18256 | 1388200 (1.53%) |
| 18 | Trojan.MulDrop.46275 | 1329338 (1.47%) |
| 19 | Win32.HLLM.MyDoom.54464 | 1180755 (1.30%) |
| 20 | Trojan.Proxy.7778 | 915616 (1.01%) |
| Insgesamt geprüft: | 30,893,462,045 |
| Infiziert: | 90,692,324 (0.294%) |
Top 20 Malware auf PCs der Anwender
| 01.02.2010 00:00 - 01.03.2010 00:00 | ||
| 1 | VBS.Redlof | 4183128 (21.44%) |
| 2 | Trojan.DownLoader.based | 3130742 (16.05%) |
| 3 | Trojan.AuxSpy.111 | 1182739 (6.06%) |
| 4 | Win32.HLLW.Gavir.ini | 949089 (4.86%) |
| 5 | Win32.Dref | 790282 (4.05%) |
| 6 | Trojan.WinSpy.440 | 633507 (3.25%) |
| 7 | Trojan.AuxSpy.137 | 560187 (2.87%) |
| 8 | Win32.HLLW.Shadow.based | 349694 (1.79%) |
| 9 | VBS.Generic.548 | 347960 (1.78%) |
| 10 | VBS.Sifil | 259869 (1.33%) |
| 11 | Trojan.DownLoad.32973 | 251364 (1.29%) |
| 12 | Win32.Alman.1 | 240227 (1.23%) |
| 13 | Win32.HLLW.Shadow | 240103 (1.23%) |
| 14 | Trojan.Packed.666 | 187657 (0.96%) |
| 15 | JS.Redirector.based.1 | 182715 (0.94%) |
| 16 | Trojan.Packed.19647 | 166247 (0.85%) |
| 17 | Win32.HLLW.Autoruner.2536 | 160988 (0.83%) |
| 18 | Win32.HLLW.Autoruner.5555 | 145973 (0.75%) |
| 19 | BackDoor.IRC.Sdbot.4590 | 114824 (0.59%) |
| 20 | Trojan.Fraudster.48 | 101890 (0.52%) |
| Insgesamt geprüft: | 95,717,237,918 |
| Infiziert: | 19,509,126 (0.0172%) |
Bewerten
Teilen/Liken
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare