Rückblick und Analyse der Virenbedrohungen im März 2010
Windows-Blocker und Banner in Internetbrowsern
Die Verbreitung von Trojan.BrowseBan und Windows Trojan.Winlock ist zurückgegangen und blieb auf dem Niveau des Monats November 2009. Der Statistikserver verzeichnete ca. 10 000 Exemplare pro Woche, was 100 000 infizierten PCs entspricht.
Im März erhielt der Technische Support von Doctor Web über 100 Screenshots von Windows-Blockern zugesendet. Die Gesamtzahl von Support-Anfragen aber viel höher.
 |
 |
Die Windows-Blocker machen Benutzern wie zuvor Kopfschmerzen. Sie verhindern die Arbeit mit dem PC und stellen tatsächlich eine ernsthafte Gefahr dar. Es ist auch nicht leicht, sie loszuwerden. Die meisten Viren agieren versteckt. Aus diesem Grunde ist es dringend empfohlen, bei beliebigen Hinweisen auf Virengefahr den Technischen Support von Doctor Web zu kontaktieren.
Botnet über Microsoft Word betrieben
Mit Trojan.Oficla kommt beim Aufbauen eines Botnets ein weiterer Schädling ins Spiel, der sich unter dem Prozess Microsoft Word versteckt.
Die Autoren von Trojan.Oficla verkaufen neue Versionen des Schadprogramms an andere Cyber-Kriminelle und bauen weltweit neue Botnets auf.
Die mit Trojan.Oficla infizierten Computer sind unter voller Kontrolle des Betreibers und können vom Server weitere böswillige Programme herunterladen, installieren und starten.
Der Statistikserver von Doctor Web verzeichnete im März ca. 100 000 detektierte Exemplare von Trojan.Oficla pro Woche. Der Schädling verbreitet sich meistens über E-Mails und Sicherheitslücken in Internetbrowsern. In jedem einzelnen Fall kommt es aber auf die Phantasie eines Botnet-Betreibers.
Unsichtbarer Banker
Der nächste Vertreter der Virenwelt, mit dem die Benutzer im März zu tun gehabt haben, ist Trojan.PWS.Ibank. Der Trojaner überwacht Internetbrowser, Online-Banking-Programme und fischt nötige Bankdaten (u.a. Benutzernamen und Passwörter) heraus.
Trojan.PWS.Ibank verbreitet sich unregelmäßig. In diesem Monat gab es mehrere Ausbrüche neuer Versionen von Trojan.PWS.Ibank, die im Durchschnitt 1 bis 2 Tage dauerten. Der Statistikserver von Doctor Web verzeichnete über 160 000 detektierte Exemplare.
Trojan.PWS.Ibank übermittelt den Cyber-Kriminellen alle Daten, die der Benutzer im Webbrowser bzw. Online-Banking-Programm eingegeben hat. So gelangen sämtliche Benutzernamen und Passwörter in die Hände der Betrüger.
Gefälschte Antivirensoftware
Ende März ist die Anzahl von Support-Anfragen wegen gefälschter Antivirensoftware zurückgegangen. Die Verbreitung von Trojan.Fakealert, der als klassischer Vertreter dieser Gruppe gilt, setzt sich aber fort und bleibt zur Zeit bei 30 Mio. Varianten pro Monat.
Die Verbreitungsmethoden von gefälschter Antivirensoftware bleiben seit Jahren unverändert. Nur die Optik, die ein bekanntes Sicherheitsprodukt imitieren soll, wird manchmal geändert.
Beispiele von Trojan.Fakealert
|
|
|
|
|
|
|
|
|
|
|
Datei-Verschlüssler
Im März sind weitere neue Varianten von Trojan.Encoder aufgetaucht, die wiederum Geld für die Entschlüsselung erpressten.
So verschlüsselte Trojan.Encoder.67 Dateien aus einigen Systemverzeichnissen, was nicht selten das Systemversagen bewirkte. Die Geldforderung konnte dabei nicht angezeigt werden.
Trojan.Encoder.68 verschlüsselte nur bestimmte Datei-Typen nach einem ZIP-Algorithmus. Das Passwort bestand aus 47 Zeichen und war unter jedem einzelnen infizierten Betriebssystem unterschiedlich. Die Sicherheitsspezialisten von Doctor Web entwickelten für Benutzer ein Passwort-Generierungs-Tool, mit dem sie ihre Dateien entschlüsseln können.
Sämtliche Tools gegen die Trojaner-Familie Trojan.Encoder.68 finden Sie auf der unserer Webseite, die auch kostenlose Tools gegen andere Virenbedrohungen enthält.
Im März stieg der Malware-Anteil im E-Mail-Traffic gegenüber dem Vormonatsniveau um 22% an. Der Anteil von böswilligen Programmen unter geprüften Dateien auf PCs der Anwender ging um 24% zurück. Das prozentuale Verhältnis zwischen Malware und sämtlichen geprüften Dateien hat sich unwesentlich geändert.
Top 20 Malware im E-Mail-Traffic
| 01.03.2010 00:00 - 01.04.2010 00:00 | ||
| 1 | Trojan.DownLoad.41551 | 15495381 (14.11%) |
| 2 | Trojan.DownLoad.37236 | 13614045 (12.39%) |
| 3 | Trojan.DownLoad.47256 | 10053104 (9.15%) |
| 4 | Trojan.Botnetlog.zip | 7267927 (6.62%) |
| 5 | Trojan.MulDrop.40896 | 7103001 (6.47%) |
| 6 | Trojan.Fakealert.5115 | 7029855 (6.40%) |
| 7 | Trojan.Packed.683 | 5753224 (5.24%) |
| 8 | Trojan.Fakealert.5238 | 5266296 (4.79%) |
| 9 | Trojan.DownLoad.50246 | 4054874 (3.69%) |
| 10 | Trojan.Fakealert.5825 | 3445424 (3.14%) |
| 11 | Trojan.Fakealert.5437 | 2519370 (2.29%) |
| 12 | Trojan.Fakealert.5356 | 2283687 (2.08%) |
| 13 | Trojan.Fakealert.5784 | 1974861 (1.80%) |
| 14 | Trojan.PWS.Panda.122 | 1852731 (1.69%) |
| 15 | Trojan.Fakealert.5229 | 1836702 (1.67%) |
| 16 | Trojan.Fakealert.5457 | 1609146 (1.46%) |
| 17 | Trojan.Siggen.18256 | 1527888 (1.39%) |
| 18 | Trojan.Packed.19694 | 1517178 (1.38%) |
| 19 | Trojan.MulDrop.46275 | 1463124 (1.33%) |
| 20 | Trojan.Fakealert.11956 | 1369146 (1.25%) |
| Insgesamt geprüft: | 30,331,944,880 |
| Infiziert: | 109,851,515 (0.36%) |
Top 20 Malware auf PCs der Anwender
| 01.03.2010 00:00 - 01.04.2010 00:00 | ||
| 1 | Win32.HLLW.Gavir.ini | 773623 (6.35%) |
| 2 | BAT.Generic.184 | 576696 (4.73%) |
| 3 | Trojan.Fraudster.36 | 501271 (4.12%) |
| 4 | Trojan.WinSpy.641 | 472955 (3.88%) |
| 5 | Trojan.AntiAV.6 | 428431 (3.52%) |
| 6 | Trojan.WinSpy.616 | 410484 (3.37%) |
| 7 | Trojan.WinSpy.640 | 409803 (3.36%) |
| 8 | Win32.HLLW.Shadow.based | 406787 (3.34%) |
| 9 | Trojan.DownLoad.32973 | 371322 (3.05%) |
| 10 | Win32.HLLM.Xgray.3 | 361513 (2.97%) |
| 11 | VBS.Sifil | 351449 (2.89%) |
| 12 | BAT.310 | 310476 (2.55%) |
| 13 | IRC.Apulia.1215 | 289792 (2.38%) |
| 14 | Trojan.WinSpy.570 | 266963 (2.19%) |
| 15 | Trojan.AuxSpy.111 | 249772 (2.05%) |
| 16 | Win32.HLLP.Jeefo.36352 | 198323 (1.63%) |
| 17 | Trojan.PWS.Ibank.28 | 191114 (1.57%) |
| 18 | ACAD.Pasdoc | 184475 (1.51%) |
| 19 | Trojan.PWS.Ibank.25 | 174119 (1.43%) |
| 20 | Win32.HLLW.Shadow | 148909 (1.22%) |
| Insgesamt geprüft: | 88,035,683,471 |
| Infiziert: | 12,181,429 (0.01%) |
Bewerten
Teilen/Liken
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare