Der Monat Mai zeichnete sich durch eine neue Welle von Windows-Blockern (Trojan.Winlock, Trojan.AdultBan) aus. Den Löwenanteil der verbreiteten Malware machen Variationen aus, die diesmal keinen SMS-Versand vorsehen. In diesem Monat haben die Anwender mit neuen Modifikationen von Verschlüsselungs-Malware (Trojan.Encoder) zu tun. Darüber hinaus wurden neue Bootkits entdeckt, für die Doctor Web ein entsprechendes Neutralisierungs-Tool entwickelte. Die Verbreitung von gefälschter Antivirensoftware (Trojan.Fakealert) geht langsam zurück.

Neue Welle von Windows-Blockern

Ab dem 14. Mai verzeichnete der Statistikserver von Doctor Web den mehrfachen Anstieg einer durchschnittlichen täglichen Detektionsrate bei Windows-Blockern. Am 18. Mai wurden 215 000 detektierte Exemplare von Trojan.Winlock und Trojan.AdultBan registriert. Und das bei einer Tagesnorm von 1 500 detektierten Exemplaren.

Insgesamt wurden 920 000 detektierte Exemplare von Trojan.Winlock im Monat registriert. Das Ergebnis übertraf den Höchststand der Verbreitung von Trojan.Winlock im Januar 2010. Diese Entwicklung können Sie am Bild unten verfolgen.

Trojan.Winlock-Blocker

Am 7. Mai tauchten neue Windows-Blocker auf, die nicht den Versand einer kostenpflichtigen SMS, sondern die Überweisung von Bargeld per Zahlungsterminals forderten. Zuvor hatten die Cyber-Kriminellen mehrere Zahlungsmethoden wie WebMoney, RBKMoney, "Wallet One" verwendet. Solche Blocker und ihre vielfältige Varianten werden von Dr.Web als Trojan.Winlock eingestuft.

Ende des Monats wurden die Anwender aufgefordert, ihr Geld auf das angegebene Konto zu überweisen. Dabei wurden die Mobiltelefonnummern ständig gewechselt, um die Entdeckung durch Rechtsschutzbehörden zu erschweren.

Der Entschlüsselungscode soll laut Meldungen von neuen Trojan.Winlock-Varianten auf einem Rechungszettel stehen.

Bei der Infektion mit Trojan.Winlock handelt es sich um Beträge von 8 bis zu 16 €.

Diese Schadprogramme bewirkten eine neue Verbreitungswelle von Windows-Blockern. Alternative Monetisierungsmodelle ermöglichen es den Cyber-Kriminellen, gemeinsame Aktionen von Mobilfunkanbietern, Service-Aggregatoren, Aufsichtsbehörden und IT-Security-Unternehmen zu umgehen. Der Kampf gegen Cyber-Kriminalität wird durch die Nutzung verschiedener Zahlungssysteme erschwert.

Wir möchten alle zu Schaden gekommenen Anwender darauf aufmerksam machen, dass Doctor Web auf der Seite Dr.Web Unlocker regelmäßig neue Entschlüsselungscodes veröffentlicht. Hier kann man auch neue Passwörter finden, mit denen man die durch Trojan.Encoder verschlüsselten Dateien entschlüsseln kann.

Unten finden Sie die Galerie der meist verbreiteten Windows-Blocker im Mai.

Trojan.Winlock Galerie

Neue Bootkits

Im Mai haben die Sicherheitsspezialisten von Doctor Web neue Bootkits (Rootkit-Vurus, der sich im Boot-Bereich einschleust und sich vor dem Systemstart ausführt) wie Trojan.Alipop und Trojan.Hashish entdeckt. Das erste Bootkit war für chinesiche Anwender gedacht und sollte die Besucherzahl einiger Websites manipulieren. Das zweite Boot-Virus sollte entsprechende böswillige Module starten. Zur Zeit enthält Trojan.Hashish Schadprogramme der Win32.HLLC.Asdas-Familie, die Banner in Webbrowsern anzeigen. Dieses böswillige Programm ist auch mit Funktionen ausgerüstet, die die Infektion von ausführbaren Dateien ermöglicht.

Die Sicherheitsspezialisten von Doctor Web haben blitzschnell reagiert und den Dr.Web GUI-Scanner für Windows gegen neue Bootkits aktualisiert. Nicht alle IT-Security-Unternehmen sind zur Zeit in der Lage, ein effizientes Tool gegen Malware auf den Markt zu bringen. Viele Antivirenprodukte verfügen überhaupt über keine Funktionen gegen Bootkits und können das infizierte System nicht reparieren. Einige Antivirenprogramme können Bootkits überhaupt nicht entdecken.

Verbreitung von gefälschter Antivirensoftware lässt nach

Trotz zurückgehender Verbreitung von Trojan.Fakealert basteln die Cyber-Kriminellen weiter an neuen Malware-Variationen. Dies macht verschiedene Artikel, die vielfältige Vorgehensweisen gegen gefälschte Antivirensoftware empfehlen, nur für einen bestimmten Zeitraum nützlich.

Unten finden Sie die Galerie der meist verbreiteten gefälschten Antivirensoftware im Mai.

Trojan.Fakealert Galerie

Verschlüsselungs-Malware

Im Mai sind einige neue Varianten von Trojan.Encoder aufgetaucht. Deren Verbreitung geht mit der Verbreitung von entsprechenden Baukasten-Programme einher. Vom 15. bis zum 17. Mai wurde der Anstieg der Detektionsrate bei Verschlüsselungssoftware registriert. Die Opfer wurden aufgefordert, sich mit den Cyber-Kriminellen via ICQ in Verbindung zu setzen oder eine kostenpflichtige SMS zu versenden. Täglich wurden etwa 1 300 - 1 900 Exemplare bei einer Tagesnorm von bis zu 500 Exemplaren detektiert.

Neue Variationen von Trojan.Encoder verfolgen öfters das Ziel, Doctor Web bei Anwendern in Mißkredit zu bringen. In deisem Fall haben die verschlüsselten Dateien Dr.Web Firmensymbolik.

Doctor Web empfiehlt den Anwendern, bei Problemen wegen Verschlüsselungs-Malware das Virenlabor von Doctor Web zu kontaktieren.

Der Anteil von Malware unter allen durch Dr.Web geprüften Dateien ist im Mai 2010 sowohl im E-Mail-Traffic als auch auf PCs der Anwender zurückgegangen. Dies lässt sich auf die zurückgehende Verbreitung von gefälschter Antivirensoftware und nachlassende Aktivität der größten Botnets zurückführen.

Top 20 Malware im E-Mail-Traffic

Top 20 Malware auf PCs der Anwender