Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Rückblick und Analyse der Bedrohungen im März 2009

2. April 2009

Doctor Web präsentiert einen Sicherheitsreport für den März 2009. Der vergangene Monat verzeichnete eine vermehrte Anzahl von Betrugsfällen mit besonderer Raffinesse. Botnetze entwickeln sich weiter. Die Betreiber verwenden immer agressivere Verbreitungsmethoden und die Zahl der PC-Zombies nimmt im Endeffekt rasant zu. In Spam-Mails wird immer mehr Werbung für Spam-Services gemacht.Botnetze

Im März 2009 haben die Botnetze Tdss und Shadow für ein beträchtliches Aufsehen gesorgt. Die Betreiber machen sich immer neue, ausgeklügelte Techniken zunutze, um die Effizienz der Botnetze zu erhöhen, bleiben aber auch teilweise bei alten bewährten Verbreitungsmethoden: USB-Sticks, allgemeine Netz-Inhalte und bekannte Anfälligkeiten. Dies bedeutet, dass nicht alle Anwender die Sicherheitstipps der Antivirenhersteller befolgen und die einfachsten Sicherheitsmaßnahmen vernachlässigen.

Dabei informiert das Unternehmen ständig in seinen Reports sowie bei der Schulung der IT-Spezialisten über neue Virenbedrohungen. Wir geben den Anwendern auch regelmäßig Tipps und Tricks, wie sie der Schadsoftware vorbeugen können. Die Betreiber der Botnetze wissen auch Bescheid, dass eine PC-Infektion für das Botnetz mittels einiger Sicheheitslücken im System sich leicht bestimmen lässt. Sie wissen auch, dass viele Administratoren diese Methode auch bei ihrer Arbeit verwenden. Als Folge entstand eine neue Variante von Win32.HLLW.Shadow.based, die bekannte Sicherheitslücken schließt. So lässt sich die Infektion nach diesem Merkmal schwer bestimmen. Die gekaperten PCs erhalten weiter die Anweisungen von den Übeltätern.

Die letzte Modifikation von Win32.HLLW.Shadow.based verwendet den Adressen-Generator, der nach einem bestimmten Algoritmus 50 000 Adressen in 24 Stunden erstellt und dabei 500 aussiebt, von denen dann der Schädling die Anweisungen zu erhalten versucht. Auf Kommando werden anschließend die aktualisierten schädlichen Module nachgeladen. Dieser neue Algoritmus erschwert die Erarbeitung einer Antimalware-Lösung, weil die Serveradressen, von denen das Botnetz betrieben wird, nicht bestimmen und gesetzesmäßig sich nicht stoppen lassen.

Die Übeltäter machen sich BackDoor.Tdss zunutze, um das Botnetz Tdss weiter auszubauen. Es kommen immer neue, ausgeklügelte Techniken zum Einsatz, man feilt auch an Rootkit-Techniken, um Antivirenprogrammen einen Widerstand leisten zu können. Die aktuellen Varianten von BackDoor.Tdss können bereits einem Datei-Monitor des Antivirenprogramms effizient entgegenwirken. Der Schädling nutzt auch die Sicherheitslücken in Windows aus und verbreitet sich erfolgreich über Video-Codecs. Diese Masche funktioniert trotz der allgemeinen Bekanntheit erfolgreich bis jetzt.

Betrug

Im vergangenen Monat war auch ein Zuwachs von neuen Betrugsfällen mittels Malware zu beobachten.

Die Kreditkarten-Nutzer waren im vergangenen Monat wegen einer Nachricht über die in GAA-Netzen einiger russischer Banken detektierten Viren alarmiert. Diese Schadprogramme haben für die Cyber-Kriminellen Bankdaten inkl. Kontostand gesammelt. Diese Schadsoftware wurde von Dr.Web als Trojan.Skimer eingestuft. Derzeit sind in der Dr.Web Virendatenbank rund ein Dutzend Varianten dieses Schadprogramms zu finden. Es sei auch betont, dass der Hersteller noch vor der Detektion des Schädlings durch Virenscanner die Sicherheitsanweisungen an die betroffenen Banken versendet hat. Eine ausführliche Beschreibung der Funktionalität von Trojan.Skimer können Sie in der Virenbibliothek von Doctor Web nachlesen.

Die Übeltäter verbreiten auch aktiv Pseudo-Antivirenprogramme, obwohl entsprechende Informationen von Antivirenherstellern zur Verfügung gestellt werden. Allmählich gewinnen die Schad-Websites, die Pseudo-Antivirenprogramme verbreiten, an Überzeugungskraft und setzen professionelle Design-Tricks ein. Ein Beispiel dafür liefert Antivirus XP 2008.

Sozialnetzwerke bleiben wie zuvor ein fruchtbarer Boden für Cyber-Kriminelle. So verbreitet sich der Trojaner Trojan.PWS.Vkontakte.6 als Programm, das das Rating des beliebten sozialen Netzwerks Vkontakte.ru steigern soll.

Spam

Auf Platz 1 hat sich bei Spam-Mails im März die Werbung für Spam-Services vorgeschoben. Anscheinend übertrifft heute auf dem Spam-Markt das Angebot die Nachfrage. In Spam-Mails wird auch mehr Werbung für Piraterie-DVDs mit Filmen, medizinische Präparate, teure Handys und Uhren gemacht. Man muss auch ein hohes Niveau von Mails hervorheben, die Empfänger zu verschiedenen Konferenzen und Couch-Veranstaltungen einladen.

Die Zahl der Malware und Links zu den mit Schadcode befallenen Websites ist in letzter Zeit wesentlich geschrumpft. Es entstehen deshalb die sogenannten Hintergrundeffekte. So führen oft die Statistiktabelle verschiedene Dateiviren an, die sich nicht über Spam-Mails verbreiten. Dies kann auch damit zusammenhängen, dass die Anwender Dateiarchive erstellen, in die oft auch Viren mitgezogen werden.

Unter Massen-Mail-Aktionen, wo die Verbreitung von Malware zum Ziel gesetzt wird, ist vor allem der kurzläufige Massenversand von Win32.HLLW.Brutus.3 und Trojan.PWS.Panda.114 hervorzuheben. Der letzterwähnte Trojaner verbreitete sich in getarnter DHL-Mail, wo man ein angebliches Paket wegen eines Fehlers in der Anschrift nicht zustellen konnte. Es hieß auch, die angefügte Rechnung auszudrucken und damit ein DHL-Büro zu besuchen. In der Tat versteckte sich im angehängten Archiv eine Schaddatei.

Im März haben die Spammer Mails weiter verschickt, die Anweder zur Beteiligung an verschiedenen Schneeballsystemen aufgefordert haben. Heute nimmt die Zahl socher Betrugsfälle weiter zu.

Die Phishing-Mails bleiben noch in der Hitliste und waren diesmal massenhaft Teilnehmer des Auktionshauses eBay abgezielt.

Malware Top 20 im E-Mail-Verkehr

 01.03.2009 00:00 - 01.04.2009 00:00 
1 Win32.HLLW.Shadow.based 5348 (16.27%)
2 Win32.Virut 3942 (11.99%)
3 Win32.HLLM.MyDoom.based 3887 (11.83%)
4 Trojan.MulDrop.13408 1998 (6.08%)
5 Trojan.MulDrop.18280 1709 (5.20%)
6 Win32.HLLM.Netsky 1629 (4.96%)
7 Win32.HLLM.Beagle 1252 (3.81%)
8 Trojan.MulDrop.16727 1137 (3.46%)
9 Win32.HLLW.Brutus.3 1134 (3.45%)
10 Win32.HLLW.Gavir.ini 964 (2.93%)
11 Win32.HLLM.Alaxala 901 (2.74%)
12 Win32.HLLM.Netsky.35328 511 (1.55%)
13 Win32.HLLM.MyDoom.33808 472 (1.44%)
14 Trojan.MulDrop.19648 443 (1.35%)
15 BackDoor.Poison.78 403 (1.23%)
16 Win32.HLLM.MyDoom.44 393 (1.20%)
17 Trojan.MulDrop.30412 379 (1.15%)
18 Trojan.MulDrop.17431 351 (1.07%)
19 Trojan.MulDrop.30415 351 (1.07%)
20 Win32.HLLW.Sinfin 339 (1.03%)
Insgesamt überprüft::407,512,378
Infiziert:32,867 (0.0081%)

Malware Top 20 auf PCs der Anwender

 01.03.2009 00:00 - 01.04.2009 00:00 
1 Win32.HLLW.Gavir.ini 1292200 (11.60%)
2 Win32.HLLW.Shadow.based 713002 (6.40%)
3 Win32.Virut 590384 (5.30%)
4 Win32.Virut.5 581332 (5.22%)
5 DDoS.Kardraw 436270 (3.91%)
6 Win32.HLLW.Autoruner.5555 426000 (3.82%)
7 Trojan.DownLoader.42350 409721 (3.68%)
8 Win32.Alman 393549 (3.53%)
9 Trojan.Starter.881 253295 (2.27%)
10 Win32.Sector.17 246519 (2.21%)
11 BackDoor.IRC.Itan 245957 (2.21%)
12 Exploit.PDF.56 235196 (2.11%)
13 Win32.Parite.1 176361 (1.58%)
14 Win32.HLLP.Neshta 163406 (1.47%)
15 Win32.HLLM.Lovgate.2 151434 (1.36%)
16 Win32.HLLM.Generic.440 146493 (1.31%)
17 Win32.HLLP.Whboy 142174 (1.28%)
18 Win32.HLLW.Autoruner.6293 139671 (1.25%)
19 Trojan.PWS.Wsgame.4983 116799 (1.05%)
20 Win32.HLLW.Autoruner.6126 115798 (1.04%)
Insgesamt überprüft:83,190,605,938
Infiziert:11,144,291 (0.0134%)

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2018

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt