Im Monat Februar 2011 entdeckte Kaspersky Lab über 67.000 so genannte "schädliche Packer", die den Netzwerkwurm Palevo schützen sollen. Dieser Wurm war für den Aufbau des Mariposa-Botnetzes verantwortlich, das von der spanischen Polizei im Jahr 2010 zerschlagen wurde. Die aktive Ausbreitung des gepackten Wurms lässt darauf schließen, dass Cyberkriminelle versuchen, ein neues Botnetz aufzubauen beziehungsweise das alte wiederherzustellen. Der "Packer" verfügt über eine interessante Besonderheit: Er fügt der Datei, die gepackt wird, willkürlich eine Vielzahl von Programmzeilen hinzu.
Diese mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Consumer-Software "Anti-Virus", "Internet Security" und "Pure Total Security". Im Februar 2011 wehrten die Kaspersky-Heimanwender-Lösungen genau 228.649.852 Netzattacken ab, blockierten 70.465.949 Infizierungsversuche über das Web und machten insgesamt 252.187.961 Schadprogramme unwirksam. So listet Kaspersky zum einen die am weitesten verbreiteten Mal- und Adware (Schad- und Werbeprogramme) im Internet, zum anderen zeigt der Security-Anbieter, mit welchen Schadprogrammen die Computer am häufigsten infiziert waren.
Mobile Bedrohungen im Kommen
Im Februar 2011 entdeckte die Experten aus Russland gleich mehrere neue Schädlinge für die mobile Plattform Android, wovon einer - Trojan-Spy.AndroidOS.Adrd.a - wie eine Backdoor funktioniert und vor allem in China auftritt. Er verbindet sich mit einem entfernten Server und schickt ihm die Identifizierungsdaten des Mobiltelefons zu. Das Steuerungszentrum sendet im Gegenzug Informationen, die vom Schadprogramm verwendet werden, um Anfragen an das Telefon-Suchsystem im Hintergrund umzusetzen.
Der zweite Schädling, der im Februar 2011 Nutzer des Betriebssystems Android attackierte, nennt sich Trojan-Spy.AndroidOS.Geinimi.a. Es handelt sich hierbei um eine überarbeitete Version der Familie Adrd, die nicht nur in China, sondern auch in Spanien, Brasilien und Russland sowie in den USA entdeckt wurde.
Auch Schadprogramme für die Plattform J2ME (Java 2 Micro Edition) sind bei Cyberkriminellen beliebt. So schaffte es der Schädling Trojan-SMS.J2ME.Agent.cd im Februar sogar auf Platz 19 der Top-Internet-Schädlinge. Seine Hauptfunktion besteht im SMS-Versand an eine kostenpflichtige Premium-Nummer. Er verbreitet sich hauptsächlich mit Hilfe von Links in Spam-E-Mails und ICQ-Messengern. Das Hauptverbreitungsgebiet dieses Schädlings liegt in Russland und Spanien.
|
Position |
Positionsänderung |
Name |
|
1 |
Neu |
Trojan-Downloader.HTML.Agent.sl |
|
2 |
18 |
Trojan-Downloader.Java.OpenConnection.cx |
|
3 |
Neu |
Trojan-Downloader.Java.OpenConnection.cx |
|
4 |
Neu |
Trojan-Downloader.Java.OpenConnection.dd |
|
5 |
-1 |
Exploit.HTML.CVE-2010-1885.ad |
|
6 |
-5 |
AdWare.Win32.FunWeb.gq |
|
7 |
Neu |
AdWare.Win32.HotBar.dh |
|
8 |
Neu |
Trojan.Java.Agent.ak |
|
9 |
Neu |
Exploit.JS.Pdfka.ddt |
|
10 |
Neu |
Trojan-Downloader.Java.OpenConnection.dc |
|
11 |
-2 |
Trojan.JS.Iframe.rg |
|
12 |
-7 |
Trojan-Downloader.Java.OpenConnection.cg |
|
13 |
Neu |
Trojan.HTML.Iframe.dl |
|
14 |
-1 |
Exploit.JS.StyleSheeter.b |
|
15 |
-8 |
Trojan.JS.Fraud.ba |
|
16 |
-8 |
Trojan-Clicker.JS.Agent.op |
|
17 |
-7 |
Trojan.JS.Popupper.aw |
|
18 |
Neu |
Trojan.JS.Agent.bhr |
|
19 |
Neu |
Trojan-SMS.J2ME.Agent.cd |
|
20 |
-6 |
Trojan.JS.Agent.bte |
An die Spitze des Rankings der Schadprogramme bei heimischen Anwendern hat es der "Trojan-Downloader.HTML,Agent.sl" geschafft.
Sicherheitslücken in PDF-Dokumenten
Im Februar gab es ferner erstärkt Drive-by-Download-Attacken, bei denen sich Anwender allein über das Aufrufen einer legalen Webseite infizieren. Dabei entdeckten die Experten von Kaspersky Lab eine Malware-Verbreitungsart, bei der Cyberkriminelle so genannte Cascading Style Sheets (CSS) zur Speicherung von Dateninformationen über Skript-Downloader einsetzen. Dies erschwert die Erkennung schädlicher Skripte für viele Antiviren-Lösungen erheblich. Diese Methode kommt heute in den meisten Drive-by-Downloads zum Einsatz. Cyberkriminelle schützen auf diese Weise ihre zu ladenden Exploits vor Entdeckung.
Foto: Kaspersky Lab
Im Zuge eines Drive-by-Downloads wird von einer infizierten Webseite - in der Regel mit Hilfe eines IFrames - eine automatische Weiterleitung auf eine Seite durchgeführt, die CSS und einen schädlichen Skript-Downloader enthält. In den Top 20 der Internet-Schädlinge für Februar sind gleich drei solcher Programme vertreten: Trojan-Downloader.HTML.Agent.sl (1. Platz), Exploit.JS.StyleSheeter.b (13. Platz) und Trojan.JS.Agent.bte (19. Platz). Die Skript-Downloader auf den infizierten Webseiten starten zwei Typen von Exploits. Einer davon nutzt die Sicherheitslücke CVE-2010-1885 aus und wird von Kaspersky Lab als Exploit.HTML.CVE-2010-1885.ad identifiziert (4. Platz). Dieser Exploit wurde täglich auf durchschnittlich 10.000 verschiedenen Computern entdeckt.
Die statistischen Daten des Kaspersky Security Networks zeigen, dass bei 58.000 Nutzern Sicherheitslücken in PDF-Dateien entdeckt wurden. Die Ausnutzung von Schwachstellen in PDF-Dateien ist aktuell eine der beliebtesten Methoden, um Schädlinge auf Computern zu platzieren. Eines dieser PDF-Exploits - Exploit.JS.Pdfka.ddt - belegte im Februar den 8. Platz im Rating der Top-Schadprogramme im Internet. (rw)