Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Rückblick und Analyse der Virenbedrohungen im Mai 2010

Hanau, 2. Juni 2010

Der Monat Mai zeichnete sich durch eine neue Welle von Windows-Blockern (Trojan.Winlock, Trojan.AdultBan) aus. Den Löwenanteil der verbreiteten Malware machen Variationen aus, die diesmal keinen SMS-Versand vorsehen. In diesem Monat haben die Anwender mit neuen Modifikationen von Verschlüsselungs-Malware (Trojan.Encoder) zu tun. Darüber hinaus wurden neue Bootkits entdeckt, für die Doctor Web ein entsprechendes Neutralisierungs-Tool entwickelte. Die Verbreitung von gefälschter Antivirensoftware (Trojan.Fakealert) geht langsam zurück.

Neue Welle von Windows-Blockern

Ab dem 14. Mai verzeichnete der Statistikserver von Doctor Web den mehrfachen Anstieg einer durchschnittlichen täglichen Detektionsrate bei Windows-Blockern. Am 18. Mai wurden 215 000 detektierte Exemplare von Trojan.Winlock und Trojan.AdultBan registriert. Und das bei einer Tagesnorm von 1 500 detektierten Exemplaren.

Insgesamt wurden 920 000 detektierte Exemplare von Trojan.Winlock im Monat registriert. Das Ergebnis übertraf den Höchststand der Verbreitung von Trojan.Winlock im Januar 2010. Diese Entwicklung können Sie am Bild unten verfolgen.

Trojan.Winlock-Blocker

Am 7. Mai tauchten neue Windows-Blocker auf, die nicht den Versand einer kostenpflichtigen SMS, sondern die Überweisung von Bargeld per Zahlungsterminals forderten. Zuvor hatten die Cyber-Kriminellen mehrere Zahlungsmethoden wie WebMoney, RBKMoney, "Wallet One" verwendet. Solche Blocker und ihre vielfältige Varianten werden von Dr.Web als Trojan.Winlock eingestuft.

Ende des Monats wurden die Anwender aufgefordert, ihr Geld auf das angegebene Konto zu überweisen. Dabei wurden die Mobiltelefonnummern ständig gewechselt, um die Entdeckung durch Rechtsschutzbehörden zu erschweren.

Der Entschlüsselungscode soll laut Meldungen von neuen Trojan.Winlock-Varianten auf einem Rechungszettel stehen.

Bei der Infektion mit Trojan.Winlock handelt es sich um Beträge von 8 bis zu 16 €.

Diese Schadprogramme bewirkten eine neue Verbreitungswelle von Windows-Blockern. Alternative Monetisierungsmodelle ermöglichen es den Cyber-Kriminellen, gemeinsame Aktionen von Mobilfunkanbietern, Service-Aggregatoren, Aufsichtsbehörden und IT-Security-Unternehmen zu umgehen. Der Kampf gegen Cyber-Kriminalität wird durch die Nutzung verschiedener Zahlungssysteme erschwert.

Wir möchten alle zu Schaden gekommenen Anwender darauf aufmerksam machen, dass Doctor Web auf der Seite Dr.Web Unlocker regelmäßig neue Entschlüsselungscodes veröffentlicht. Hier kann man auch neue Passwörter finden, mit denen man die durch Trojan.Encoder verschlüsselten Dateien entschlüsseln kann.

Unten finden Sie die Galerie der meist verbreiteten Windows-Blocker im Mai.

Trojan.Winlock Galerie

Neue Bootkits

Im Mai haben die Sicherheitsspezialisten von Doctor Web neue Bootkits (Rootkit-Vurus, der sich im Boot-Bereich einschleust und sich vor dem Systemstart ausführt) wie Trojan.Alipop und Trojan.Hashish entdeckt. Das erste Bootkit war für chinesiche Anwender gedacht und sollte die Besucherzahl einiger Websites manipulieren. Das zweite Boot-Virus sollte entsprechende böswillige Module starten. Zur Zeit enthält Trojan.Hashish Schadprogramme der Win32.HLLC.Asdas-Familie, die Banner in Webbrowsern anzeigen. Dieses böswillige Programm ist auch mit Funktionen ausgerüstet, die die Infektion von ausführbaren Dateien ermöglicht.

Die Sicherheitsspezialisten von Doctor Web haben blitzschnell reagiert und den Dr.Web GUI-Scanner für Windows gegen neue Bootkits aktualisiert. Nicht alle IT-Security-Unternehmen sind zur Zeit in der Lage, ein effizientes Tool gegen Malware auf den Markt zu bringen. Viele Antivirenprodukte verfügen überhaupt über keine Funktionen gegen Bootkits und können das infizierte System nicht reparieren. Einige Antivirenprogramme können Bootkits überhaupt nicht entdecken.

Verbreitung von gefälschter Antivirensoftware lässt nach

Trotz zurückgehender Verbreitung von Trojan.Fakealert basteln die Cyber-Kriminellen weiter an neuen Malware-Variationen. Dies macht verschiedene Artikel, die vielfältige Vorgehensweisen gegen gefälschte Antivirensoftware empfehlen, nur für einen bestimmten Zeitraum nützlich.

Unten finden Sie die Galerie der meist verbreiteten gefälschten Antivirensoftware im Mai.

Trojan.Fakealert Galerie

Verschlüsselungs-Malware

Im Mai sind einige neue Varianten von Trojan.Encoder aufgetaucht. Deren Verbreitung geht mit der Verbreitung von entsprechenden Baukasten-Programme einher. Vom 15. bis zum 17. Mai wurde der Anstieg der Detektionsrate bei Verschlüsselungssoftware registriert. Die Opfer wurden aufgefordert, sich mit den Cyber-Kriminellen via ICQ in Verbindung zu setzen oder eine kostenpflichtige SMS zu versenden. Täglich wurden etwa 1 300 - 1 900 Exemplare bei einer Tagesnorm von bis zu 500 Exemplaren detektiert.

Neue Variationen von Trojan.Encoder verfolgen öfters das Ziel, Doctor Web bei Anwendern in Mißkredit zu bringen. In deisem Fall haben die verschlüsselten Dateien Dr.Web Firmensymbolik.

Doctor Web empfiehlt den Anwendern, bei Problemen wegen Verschlüsselungs-Malware das Virenlabor von Doctor Web zu kontaktieren.

Der Anteil von Malware unter allen durch Dr.Web geprüften Dateien ist im Mai 2010 sowohl im E-Mail-Traffic als auch auf PCs der Anwender zurückgegangen. Dies lässt sich auf die zurückgehende Verbreitung von gefälschter Antivirensoftware und nachlassende Aktivität der größten Botnets zurückführen.

Top 20 Malware im E-Mail-Traffic

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.Botnetlog.zip 112576 (22.36%)
2 Win32.HLLM.MyDoom.54464 95952 (19.05%)
3 Trojan.Winlock.1651 49108 (9.75%)
4 Win32.HLLW.Shadow.based 43598 (8.66%)
5 Trojan.DownLoad.37236 19956 (3.96%)
6 Win32.HLLW.Autoruner.4360 16815 (3.34%)
7 BackDoor.Siggen.17777 14187 (2.82%)
8 Trojan.Oficla.45 12008 (2.38%)
9 Trojan.MulDrop.64815 8296 (1.65%)
10 JS.Click.136 6842 (1.36%)
11 BAT.Lucky.2671 6301 (1.25%)
12 Win32.HLLW.Kati 6181 (1.23%)
13 Win32.HLLM.Netsky.18401 6056 (1.20%)
14 Trojan.MulDrop.55238 5556 (1.10%)
15 Win32.HLLM.Netsky.35328 5447 (1.08%)
16 Win32.HLLM.Netsky.based 5314 (1.06%)
17 Win32.HLLM.Netsky 4859 (0.96%)
18 Trojan.DownLoad1.55035 4034 (0.80%)
19 Exploit.PDF.820 3936 (0.78%)
20 Trojan.DownLoad1.54042 3928 (0.78%)

Insgesamt geprüft:8,016,805,833
Infiziert:503,569 (0.00628%)

Top 20 Malware auf PCs der Anwender

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.PWS.Webmonier.364 3224492 (13.66%)
2 ACAD.Pasdoc 741227 (3.14%)
3 Win32.HLLW.Shadow 664019 (2.81%)
4 Win32.HLLM.Dref 659756 (2.80%)
5 VBS.Sifil 507591 (2.15%)
6 Win32.HLLP.Neshta 370930 (1.57%)
7 Trojan.WinSpy.641 364950 (1.55%)
8 Win32.HLLP.Jeefo.36352 323031 (1.37%)
9 Win32.HLLW.Shadow.based 318348 (1.35%)
10 Trojan.Winlock.1678 306182 (1.30%)
11 Win32.HLLW.Autoruner.21042 243231 (1.03%)
12 Win32.HLLW.Gavir.ini 222372 (0.94%)
13 Trojan.Winlock.1686 191359 (0.81%)
14 Win32.HLLW.Autoruner.5555 170284 (0.72%)
15 Trojan.DownLoad.32973 165409 (0.70%)
16 Win32.HLLP.PissOff.36864 156540 (0.66%)
17 Trojan.Inject.8798 132271 (0.56%)
18 Trojan.Winlock.1793 122261 (0.52%)
19 Win32.Virut.5 113156 (0.48%)
20 DDoS.Pamela 110075 (0.47%)

Insgesamt geprüft:855,347,743,950
Infiziert:23,604,815 (0.00276%)

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt